Una nueva versión de un peligroso ransomware de Windows (se abre en una pestaña nueva) ha sido observado apuntando a dispositivos Linux, según han revelado investigadores de ciberseguridad.
Lo que es aún más preocupante es que los actores de amenazas han tomado «decisiones bien pensadas» para asegurarse de que la variedad de Linux apunte a los dispositivos correctos y las vulnerabilidades correctas.
En un comunicado de prensa, los investigadores de ciberseguridad de SentinelLabs confirmaron que habían visto una versión de Linux del ransomware IceFire por primera vez. Esta variante se denominó iFire y tiene como objetivo una vulnerabilidad de deserialización en el software para compartir archivos IBM Aspera Faspex, rastreada como CVE-2022-47986.
Caza mayor
Pero este no es el único desarrollo sorprendente cuando se trata de IceFire. Los investigadores también encontraron que el actor de amenazas se dirige a empresas en los sectores de medios y entretenimiento en países como Turquía, Irán, Pakistán y los Emiratos Árabes Unidos, países «que generalmente no son un foco para los actores de ransomware organizados».
En cambio, los actores de la amenaza consideraron a IceFire como un grupo de amenazas centrado en Windows que se dedicaba a la «caza mayor»: apuntar a grandes empresas con tácticas de doble extorsión, usar innumerables mecanismos de persistencia y evadir el análisis mediante la eliminación de archivos de registro.
En comparación con Windows, Linux es un sistema operativo más difícil de infectar con ransomware, agregaron los investigadores, y también dijeron que esto es particularmente difícil de lograr a escala.
“Muchos sistemas Linux son servidores”, dicen. “Los vectores de infección típicos como el phishing o las descargas no autorizadas son menos efectivos. Para superar esto, los actores recurren a la explotación de las vulnerabilidades de las aplicaciones, como lo demostró el operador de IceFire al implementar cargas útiles a través de una vulnerabilidad de IBM Aspera”.
Aún así, a pesar de los desafíos, los actores de amenazas buscan cada vez más implementar ransomware en dispositivos Linux, concluyen los investigadores, diciendo que la evolución de IceFire es solo otro argumento que prueba el caso. El trabajo preliminar para el ransomware dirigido a Linux se estableció en 2021, dijeron, pero la tendencia se aceleró en 2022 con BlackBasta, Hive, Qilin, ViceSociety y otros, que también comenzaron a apuntar al sistema operativo.