Particulièrement actif ces derniers mois, le ransomware RansomEXX a subi un développement de son code, qui compromet désormais les systèmes Linux.
Les systèmes Windows ne sont pas les seules cibles des cyberbackers et de leurs campagnes de phishing. La preuve avec RansomEXX, un ransomware dont on avait parlé ces derniers mois en attaquant de nombreuses entreprises et organismes publics tels que le US Department of Transportation, Konica Minolta, IPG Photonics ou encore les systèmes de transports en commun de Montréal et le tribunal brésilien. Comme nous pouvons le voir dans un récent rapport du fournisseur de solutions de sécurité Kaspersky, RansomExx, un développement de son code offre désormais la possibilité de cibler les systèmes Linux.
«Nous avons récemment découvert un nouveau cheval de Troie de cryptage de fichiers construit comme un exécutable ELF et conçu pour crypter les données sur des machines exécutées par des systèmes d’exploitation basés sur Linux», a déclaré Kaspersky. « Après l’analyse initiale, nous avons remarqué des similitudes dans le code du cheval de Troie, le texte de la rançon et l’approche générale de l’extorsion, suggérant que nous avions effectivement rencontré une version Linux de la famille de ransomwares RansomEXX. »
Selon l’analyse de Kaspersky, ce cheval de Troie implémente son schéma cryptographique en utilisant les fonctionnalités de la bibliothèque open source mbedtls. Une fois lancé, Trojan génère une clé de 256 bits et l’utilise pour crypter tous les fichiers appartenant à l’organisation ciblée auxquels il peut accéder en utilisant le chiffrement par bloc AES en mode ECB. La clé AES est chiffrée par une clé publique RSA-4096 bits intégrée dans le corps du cheval de Troie et ajoutée à chaque fichier chiffré.
De plus, les logiciels malveillants lancent un thread qui régénère et re-crypte la clé AES toutes les 0,18 secondes. Sur la base d’une analyse de l’implémentation, les clés ne diffèrent en réalité qu’à chaque seconde », prévient l’éditeur. Bien que les versions PE précédemment découvertes de RansomEXX utilisent WinAPI (fonctionnalités spécifiques du système d’exploitation Windows), la conception du code de ce cheval de Troie et la méthode d’utilisation des fonctionnalités spécifiques de la bibliothèque mbedtls indiquent que ELF et PE peuvent provenir du même code source. LIEN lemondeinformatique.fr