Scheinbar haben die Angreifer die Ransomware über eine Deserialisierung-Schwachstelle in der IBM Aspera Faspex File Sharing Software eingesetzt.
Bei Angriffen auf Netzwerke mehrerer Unternehmen der Medien- und Unterhaltungsbranche weltweit ist laut SentinelLabs die neuartige Linux-Version der IceFire-Ransomware eingesetzt worden. Im Zusammenhang mit bekannten Berichten über IceFire, einer Ransomware-Familie, die von MalwareHunterTeam im März 2022 entdeckt wurde, soll die Dateierweiterung iFire stehen.
Dass die Angreifer die Ransomware unter Ausnutzung von CVE-2022-47986, einer Deserialisierung-Schwachstelle in der IBM Aspera Faspex File Sharing Software, eingesetzt haben, darauf deuten derzeitige Beobachtungen hin. Die Betreiber der IceFire-Malware konzentrierten sich bisher nur auf Windows, haben ihren Fokus aber nun scheinbar auch auf Linux ausgeweitet. Mit diesem Schritt hat die Gruppe einen strategischen Wechsel vorgenommen, der sie in eine Reihe mit anderen Ransomware-Gruppen stellt, die ebenfalls auf Linux-Systeme abzielen.
Übereinstimmung mit Big-Game-Hunting-Ransomware
Mit der Taktik der „Big-Game-Hunting“-Ransomware-Familien stimmt auch die Taktik dieser Angreifer überein. Es wurde auf doppelte Erpressung gesetzt, auf große Unternehmen wurde abgezielt, zahlreiche Persistenzmechanismen wurden verwendet und die Entdeckung wurde durch das Löschen von Protokolldateien vermieden. Es wird vermutet, dass IceFire sich auf Technologieunternehmen konzentriert. Die Beobachtungen der Forscher von SentinelLabs zeigen jedoch, dass die jüngsten Angriffe auf Organisationen in der Medien- und Unterhaltungsbranche abzielen. Opfer, die normalerweise nicht im Fokus organisierter Bedrohungsakteure stehen, wie die Türkei, dem Iran, Pakistan und den Vereinigten Arabischen Emiraten wurden von dieser neuen Ransomware-Variante angegriffen.
Die Linux-Version von IceFire ist eine 2,18 MB große 64-Bit-ELF-Binärdatei, die mit gcc für die AMD64-Architektur kompiliert wurde. Das Beispiel auf Intel-basierten Distributionen von Ubuntu und Debian haben die Sicherheitsforscher getestet und IceFire lief erfolgreich auf beiden Testsystemen. Die Linux-Version wurde bei den beobachteten Angriffen auf CentOS-Hosts eingesetzt, auf denen eine anfällige Version der IBM Aspera Faspex-Dateiserver-Software lief. Die Dateien werden bei der Ausführung verschlüsselt und umbenannt, wobei die Erweiterung „.ifire“ an den Dateinamen angehängt wird.
VirusTotal-Engines haben IceFire-Binary nicht erkannt
Dass das IceFire-Binary von keinem der 61 VirusTotal-Engines erkannt wurde und die Binärdatei einen hartcodierten öffentlichen RSA-Schlüssel enthält, ist dabei ein interessanter Befund der Untersuchung. Das Relikt befand sich nahe dem Ende der OpenSSL-Funktionalität, daher ist es möglich, dass das OpenSSL-Paket dieses Artefakt enthielt und es sich dabei nicht unbedingt um den Entwickler der Ransomware handelt. Aus einer eingebetteten Ressource in der Binärdatei wird die Lösegeldforderung abgelegt und in jedes Verzeichnis geschrieben, das für die Dateiverschlüsselung vorgesehen ist.
Einen fest kodierten Benutzernamen und ein Passwort, mit denen man sich in das Portal für die Lösegeldzahlung einloggen muss, das auf einem versteckten Tor-Dienst läuft, enthält die Forderung dabei auch noch.
Dass Ransomware, die auf Linux abzielt, immer weiter an Popularität gewinnt, dies bestätigt die Entwicklung bei IceFire. Bereits im Jahr 2021 wurde der Grundstein gelegt. Der Trend zu Linux-Ransomware beschleunigte sich dann aber im Jahr 2022, als berühmt-berüchtigte Gruppen Linux-Verschlüsselungsprogramme in ihre Angriffstechniken aufnahmen, darunter BlackBasta, Hive, Qilin, Vice Society alias HelloKitty und andere.
Bei Linux-Systemen ist es im Vergleich zu Windows schwieriger, Ransomware einzusetzen – vor allem in großem Maßstab. Klassische Infektionsvektoren wie Phishing oder Drive-by-Downloads sind hier einfach weniger effektiv. Die Bedrohungsakteure setzen aus diesem Grund auf Schwachstellen in Anwendungen, wie die Betreiber der IceFire-Malware mit der Bereitstellung von Nutzdaten über eine IBM-Aspera-Schwachstelle aufzeigen konnten.