قالت شركة الأمن Kaspersky اليوم إنها اكتشفت إصدار Linux من RansomEXX ransomware، وهي المرة الأولى التي يتم فيها نقل سلالة Windows ransomware رئيسية إلى Linux للمساعدة في عمليات الاختراق المستهدفة.
RansomEXX عبارة عن سلسلة جديدة نسبيًا من برامج الفدية تم اكتشافها لأول مرة في وقت سابق من هذا العام في يونيو.
تم استخدام برامج الفدية في هجمات ضد وزارة النقل في تكساس، وكونيكا مينولتا والمقاول الحكومي الأمريكي Tyler Technologies، ونظام النقل العام في مونتريال، ومؤخراً ضد نظام المحاكم البرازيلي (STJ).
RansomEXX هو ما يسميه الباحثون الأمنيون "صياد الألعاب الكبيرة" أو "برامج الفدية التي يديرها الإنسان". يستخدم هذان المصطلحان لوصف مجموعات برامج الفدية التي تصطاد أهدافًا كبيرة بحثًا عن مدفوعات كبيرة، مع العلم أن بعض الشركات أو الوكالات الحكومية لا تستطيع تحمل البقاء على قيد الحياة أثناء استرداد أنظمتها.
تشتري هذه المجموعات شبكات الوصول أو الاختراق بأنفسها، وتوسع الوصول إلى أكبر عدد ممكن من الأنظمة، ثم تنشر يدويًا ملف الفدية الثنائي كحمولة نهائية لشل أكبر قدر ممكن من البنية التحتية للهدف.
لكن خلال العام الماضي، كان هناك تحول في النموذج في كيفية عمل هذه المجموعات.
أدركت العديد من عصابات برامج الفدية أن مهاجمة محطات العمل أولاً ليست صفقة مربحة، حيث تميل الشركات إلى إعادة تصوير الأنظمة المتأثرة والمضي قدمًا دون دفع فدية.
في الأشهر الأخيرة، في العديد من الحوادث، لم تزعج بعض عصابات برامج الفدية عناء محطات العمل المشفرة، واستهدفت أولاً وقبل كل شيء خوادم مهمة داخل شبكة الشركة، مع العلم أنه من خلال إزالة هذه الأنظمة أولاً، لن تتمكن الشركات من الوصول إلى مجموعات البيانات المركزية، حتى لو لم تتأثر محطات العمل.
تتناسب عصابة RansomEXX التي تنشئ إصدارًا من Linux من برنامج Windows ransomware مع عدد الشركات التي تعمل اليوم، حيث تعمل العديد من الشركات على أنظمة داخلية على Linux، وليس دائمًا على Windows Server.
نسخة Linux منطقية تمامًا من منظور المهاجم؛ يتطلعون دائمًا إلى توسيع ولمس أكبر قدر ممكن من البنية التحتية الأساسية في سعيهم لشل الشركات والمطالبة بفدية أعلى.
قد يتحول ما نراه من RansomEXX قريبًا إلى اتجاه محدد للصناعة، مع قيام مجموعات برامج الفدية الكبيرة الأخرى بطرح إصدارات Linux الخاصة بهم في المستقبل أيضًا.
ويبدو أن هذا الاتجاه قد بدأ بالفعل. وفقًا لشركة Emsisoft للأمن السيبراني، إلى جانب RansomEXX، طورت عصابة Mespinoza (Pysa) أيضًا مؤخرًا متغير Linux من إصدار Windows الأولي.
لكن Linux ransomware ليس فريدًا أيضًا. في السنوات الماضية، أنشأت عصابات برامج الفدية الأخرى سلالات من برامج الفدية على Linux، مثل مجموعة Snatch. ومع ذلك، كانت تلك المجموعات عمليات صغيرة تعتمد على حملات البريد العشوائي لإصابة الضحايا ، ونادرًا ما كانت ناجحة ، ولم تشارك في عمليات اقتحام مستهدفة مثل الجيل الحالي من مجموعات برامج الفدية التي نراها اليوم.
تقول Emsisoft إن متغيرات RansomEXX Linux التي اكتشفوها شوهدت منذ يوليو. لا تعد تهيئة الأنظمة لاكتشاف متغيرات RansomEXX Linux استراتيجية قوية بسبب الطريقة التي تعمل بها أطقم برامج الفدية الكبيرة للصيادين. بحلول الوقت الذي ينشر فيه المهاجمون برنامج الفدية، فإنهم يمتلكون بالفعل معظم شبكة الشركة. أفضل استراتيجية يمكن للشركات اتخاذها ضد هذه الأنواع من التدخلات هي تأمين محيط الشبكة من خلال تطبيق تصحيحات الأمان على أجهزة البوابة والتأكد من عدم تكوينها بشكل خاطئ باستخدام بيانات اعتماد ضعيفة أو افتراضية.
تتوفر التفاصيل الفنية حول RansomEXX Linux في Kaspersky report.