內容簡述

近期 SentinelOne 的安全分析師發現惡名昭彰的 IceFire 勒索軟體從 2 月開始使用新的專用加密器積極地將 Linux 系統作為攻擊目標。受害者一旦進入他們的網絡，駭客就會部署新惡意軟體變體來加密受害者的 Linux 系統。

IceFire 勒索軟體攻擊會加密受害者的文件，並要求付款以換取解密文件的密鑰。SentinelOne  表示，與 Windows 相比，Linux 更難部署勒索軟體，因為許多 Linux 系統都是服務器，而典型的感染媒介（如網絡釣魚或路過式下載）效果較差。但這次 IceFire 似乎已經攻克這個難題。

攻擊手法

針對 Linux 的勒索軟體二進製文件是一個 2.18 MB 的 64 位 ELF 文件，它安裝在運行易受攻擊版本的 IBM Aspera Faspex 文件服務器軟體的 CentOS 主機上。

這是 IceFire Linux 版本:

SHA-1: b676c38d5c309b64ab98c2cd82044891134a9973

據 SentinelOne 的安全研究人員表示，IceFire 操作者攻擊 Linux 大多利用應用程序漏洞，像此次攻擊活動利用了 CVE-2022-47986 漏洞，該漏洞是 IBM Aspera Faspex 文件共享軟體中最近修補的反序列化漏洞。

圖片轉載:https://thehackernews.com/2023/03/icefire-linux-ransomware.html

IceFire 勒索軟體不會加密 Linux 上的所有文件，它避免加密某些路徑，防止系統完全關閉，因為這可能導致無法修復的損壞甚至更嚴重的中斷。IceFire 還會在勒索時將贖金票據嵌入到二進制資源中，該資源被丟棄並寫入每個目標目錄以進行文件加密。根據統計，IceFire 至今已經影響了土耳其、伊朗、巴基斯坦和阿拉伯聯合酋長國 (UAE) 的受害者。SentinelOne 觀察到的 Linux 變種在 61個 VirusTotal 引擎中都沒有被檢測出來，這代表用戶很難察覺到他們的文件或系統已經被 IceFire 勒索軟體入侵。

結語

企業使用 Linux 的系統是常見的做法，以便執行關鍵任務，例如託管數據庫、Web 服務器和其他對企業至關重要的應用程序。因此駭客們將之視為比入侵 Windows 計算機更有價值的目標，因為一旦成功攻擊可能會為他們帶來更高的回報。IceFire 的這種變種勒索軟體至少在 2023 年將繼續流行，防範這種針對 Linux 的勒索軟體比 Windows 困難得多。為確保企業系統的安全性，應該實施多層次的安全措施，定期進行系統更新和弱點掃描、使用可信任的防毒軟體和防火牆等。

 

參考資料：

1. IceFire Ransomware Targets Linux Enterprise Networks (10 Mar 2023) -https://www.infosecurity-magazine.com/news/icefire-ransomware-targets-linux/

2. IceFire ransomware now targets Linux Enterprise Networks (9 Mar 2023) -https://cybersafe.news/icefire-ransomware-now-targets-linux-enterprise-networks/

3. IceFire Ransomware Exploits IBM Aspera Faspex to Attack Linux-Powered Enterprise Networks (9 Mar 2023)  -https://thehackernews.com/2023/03/icefire-linux-ransomware.html

4. IceFire Ransomware Attacks Both Windows and Linux Enterprise Networks 

(16 Mar 2023)-https://gbhackers.com/icefire-ransomware-attacks/amp/