RansomEXX: ransomware per sistemi Linux based

RansomEXX fa parte di una famiglia di ransomware che ha preso di mira più aziende dalla metà del 2020, in particolare sono stati rilevati attacchi contro le reti del Governo Brasiliano e precedentemente contro il Dipartimento dei Trasporti del Texas, Konica Minolta, Tyler Technologies.

A differenza degli altri ransomware, RansomExx viene utilizzato per bloccare obiettivi di in certo spessore e che quindi hanno un interesse maggiore riguardo i propri dati, tralasciando le workstation presenti all’interno della rete e puntando direttamente ai server che contengono i dati più importanti e sensibili dell’azienda vittima.

RansomExx è gestito direttamente dall’attaccante ed utilizzato come un vero e proprio tool per crittografare i dati dei server vittima, nessun server C&C, nessun sistema anti-analisi e nessuna altra implementazione accessoria o blocco dei processi in esecuzione.

Gli autori di questi attacchi si muovono inizialmente compromettendo la rete e seguendo un escalation fino ad arrivare ad ottenere le credenziali di amministratore. Una volta acquisiti i diritti di amministratore, provvedono alla distribuzione del ransomware, crittografando tutti i dispositivi.

Non si tratta del classico malware che viene lanciato in modalità massiva, ogni vittima viene scelta accuratamente, ogni campione ritrovato di RansomExx contiene: il nome dell’azienda vittima all’interno del proprio codice e sia l’estensione del file che l’indirizzo e-mail, fanno uso del nome della vittima.

Vediamo insieme come è composto questo ransomware e come difendersi.

RansomEXX: come opera all’interno dei sistemi Linux eseguendo la crittografia dei dati

Il trojan è contenuto all’interno di un unico eseguibile ELF a 64 bit. I file ELF, Executable and Linkable Format ( Formato eseguibile e collegabile), è un formato standard per gli eseguibili sui sistemi operativo quali Linux, Unix, BeOS, Itanium e persino su PlayStation.

Per crittografare i dati RansomExx utilizza un algoritmo di crittografia AES a 256 bit in modalità ECB (ECB (Electronic Codebook) è essenzialmente la prima generazione di AES e rappresenta la forma più semplice di crittografia a blocchi), attualmente non decifrabile se non con la propria chiave crittografica. 

La chiave AES è crittografata da una chiave pubblica RSA-4096 incorporata su ciascun file cifrato e rigenerata circa ogni secondo.

Per implementare il motore di crittografia è stata utilizzata una libreria open source mbedtls, sul sito è possibile trovare esempi e how-to su come utilizzare le API.

Oltre a crittografare i file ed emanare il comunicato di riscatto, il malware non effettua nessun altra operazione.

Sotto riportato un frammento dello pseudocodice della funzione di crittografia dei file rilasciato da Kaspersky.

Una volta pagato il riscatto i criminali informatici rilasciano un decryptor con la corrispondente chiave privata, la versione Linux è denominata “decryptor64”.

Come proteggersi dagli attacchi

L’unica strategia che le aziende possono adottare per proteggersi dal ransomware RansomEXX per sistemi Linux, ma anche per la versione Windows, consiste nell’evitare intrusioni dall’esterno rafforzando e proteggendo la sicurezza perimetrale, salvaguardando i dispositivi di rete applicando le dovute patch e monitorando costantemente i dispositivi di gateway.