IceFire勒索软件转变攻击Linux企业网络

最近几周，黑客一直在针对 Linux 企业网络部署“IceFire”勒索软件，这是曾经仅适用于 Windows 的恶意软件的明显转变。

SentinelOne在3月9日发布的一份报告表明，这可能代表了一种萌芽趋势。

在最近几周和几个月的网络攻击中，勒索软件攻击者比以往任何时候都更关注 Linux 系统，尤其是因为与 Windows 相比，Linux 更难部署勒索软件，尤其是在大规模部署时。

但是，如果 Linux 让他们的工作变得更加困难，为什么勒索软件参与者会越来越多地转向它呢？

去年 3 月首次发现的 IceFire是标准票价勒索软件，与其他“大型游戏狩猎”(BGH) 勒索软件家族一致。

BGH勒索病毒的特点是双重勒索，针对大型企业，使用大量持久化机制，通过删除日志文件逃避分析。

但是，IceFire 曾经是专门基于 Windows 的恶意软件，它最近的攻击是针对基于 Linux 的企业网络。

攻击流程很简单。攻破目标网络后，IceFire 攻击者窃取目标机器上任何有价值或其他有趣数据的副本。只有这样才能加密。

IceFire 主要寻找的是用户和共享目录，因为这些是重要但文件系统中未受保护的部分，不需要提升权限即可写入或修改。

不过，攻击者很小心。IceFire 勒索软件不会加密 Linux 上的所有文件：它避免加密某些路径，因此系统的关键部分不会被加密并保持运行。

IceFire 用“.ifire”扩展名标记加密文件，正如许多 IT 管理员后来自己发现的那样。

它还会自动删除一个简洁的勒索字条：“你所有的重要文件都已加密。任何试图恢复你的文件的尝试......”基于 Tor 的赎金支付门户。

完成后，IceFire 会自行删除。

这些细节中的大部分自 IceFire 首次出现以来一直保持一致。然而，最近几周一些重要的细节发生了变化，包括受害者情况。

IceFire 曾经主要用于针对医疗保健、教育和技术部门的攻击活动，而最近的攻击主要集中在娱乐和媒体组织，主要是在中东国家，伊朗、巴基斯坦、土耳其、阿拉伯联合酋长国等。

IceFire 的 MO 的其他变化源于其操作系统转向 Linux。SentinelOne 过去曾指出，网络攻击者会通过网络钓鱼和鱼叉式网络钓鱼电子邮件分发 IceFire，然后使用 Metasploit 和 Cobalt Strike 等第三方渗透测试工具来帮助其传播。

但许多 Linux 系统都是服务器，因此典型的感染媒介，如网络钓鱼或路过式下载，效果较差。

因此，最近的 IceFire 攻击利用了CVE-2022-47986 ——IBM Aspera 数据传输服务中的一个关键远程代码执行 (RCE) 漏洞，CVSS 评级为 9.8。

为什么最近越来越多的勒索软件攻击者选择 Linux 的几个原因。

一方面，基于 Linux 的系统经常在企业环境中用于执行关键任务，例如托管数据库、Web 服务器和其他关键任务应用程序。

因此，这些系统通常是勒索软件攻击者更有价值的目标，因为与典型的 Windows 用户相比，成功的攻击可能导致更大的支出。

第二个因素是一些勒索软件参与者可能将 Linux 视为一个未开发的市场，可以产生更高的投资回报。

最后，企业环境中容器化和虚拟化技术的流行扩大了勒索软件参与者的潜在攻击面，其中许多技术都是基于 Linux 的。

因此随着勒索软件组织耗尽‘唾手可得的果实’的供应，他们可能会优先考虑这些更努力的目标。

无论主要动机是什么，如果有更多的威胁行为者走上同样的道路，运行基于 Linux 的系统的企业需要做好准备。

防御勒索软件需要“多方面的方法”，同时优先考虑可见性、教育、保险、多层安全和补丁。

通过采取积极主动的网络安全措施，企业可以增加成功抵御勒索软件攻击的机会。

Linux 版 IceFire 赎金记录