Redazione RHC : 9 Febbraio 2023 07:22
Nel dicembre 2022, i ricercatori di sicurezza hanno scoperto una versione del ransomware Clop che prendeva di mira i server Linux. Tuttavia, c’era una vulnerabilità nello schema di crittografia di questa variante del malware, grazie alla quale le vittime potevano ripristinare i propri file gratuitamente.
Clop per Linux è stato individuato per la prima volta da SentinelLabs dopo che gli aggressori lo hanno utilizzato per attaccare un’università in Colombia, insieme alla variante Windows.
Sebbene il nuovo malware sia molto simile alla versione per Windows (poiché utilizza lo stesso metodo di crittografia e una logica di processo quasi identica), è ancora in fase di sviluppo. Inoltre, ci sono ancora alcune differenze tra queste varianti di Clop, principalmente relative alle chiamate API e funzionalità non ancora implementate.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli esperti affermano che quando viene avviato, il file eseguibile del malware (ELF) crea un nuovo processo che tenta di elevare i diritti a un livello che consente di crittografare i dati.
I file e le cartelle presi di mira da Clop includono la directory /home dell’utente, che contiene tutti i file personali, le directory /root, /opt e le directory Oracle (/u01 – /u04) utilizzate per archiviare i file di database o come punti di montaggio per il software Oracle.
I ricercatori hanno notato che questo è piuttosto insolito, poiché il ransomware Linux in genere non prende di mira specifiche cartelle di database Oracle ed è più focalizzato sulla crittografia delle macchine virtuali ESXi.
Inoltre, si segnala che la versione Linux di Clop non supporta ancora l’algoritmo di hashing utilizzato nella versione Windows per escludere determinati tipi di file e cartelle dal processo di crittografia. Inoltre, la versione Linux non ha ancora un meccanismo per gestire file di dimensioni diverse in modi diversi.
Nel loro rapporto, gli esperti parlano in dettaglio della vulnerabilità che hanno riscontrato nel sistema di crittografia del malware. Ad esempio, l’attuale versione di Clop per Linux non crittografa le chiavi RC4 utilizzate per crittografare i file con un algoritmo asimmetrico basato su RSA, come fa Windows.
Invece, il malware Linux utilizza una chiave master RC4 codificata per generare chiavi di crittografia, quindi utilizza la stessa chiave per crittografarle e memorizza le chiavi localmente in un file separato.
Ma la mancanza di protezione delle chiavi non è l’unico svantaggio di Clop per Linux.
Inoltre, quando la chiave di crittografia viene scritta in un file, il malware vi scrive una serie di dati aggiuntivi, comprese le informazioni sul file (la sua dimensione e il tempo di crittografia). I ricercatori affermano che tali dati avrebbero dovuto essere nascosti, perché possono aiutare i cyber criminologi a decrittografare file specifici.
Gli esperti spiegano che in realtà un tale schema non protegge le chiavi dall’estrazione e la crittografia può essere “ripristinata”, cosa che alla fine è stata effettuata.
Su GitHub è già stato pubblicato uno speciale script Python creato dai ricercatori per questo scopo.
SentinelLabs ha affermato di aver già fornito il proprio decryptor alle forze dell’ordine e di aver aiutato le vittime del ransomware a recuperare i dati gratuitamente.
RedazioneUna nuova inserzione apparsa su Exploit pochi minuti fa mostra quanto sia cruciale la Cyber Threat Intelligence per prevenire le minacce informatiche. Su uno dei principali forum underground del dark ...
Nel corso dell’ultima settimana, Google ha annunciato che l’assistente Gemini potrà da ora integrare nativamente i servizi YouTube e Google Maps senza la necessità di utilizzare comandi specific...
C’era una volta una Città che aveva un Bosco Magico. Era felice di averlo, anche un po’ orgoglioso. Motivo per cui tutti i cittadini facevano volentieri meno a qualche piccola comodità per mante...
La città di New York ha intentato una causa mercoledì contro un gruppo di piattaforme di social media di spicco, come TikTok, YouTube, Instagram e Facebook, con l’accusa di aver contribuito a scat...
Il colosso della tecnologia ha annunciato la creazione di un nuovo team di sviluppo per un’intelligenza artificiale “sovrumana” che supererà in accuratezza gli esperti umani nelle diagnosi medi...
