Входной точкой хакеров стала уязвимость в файловом сервере IBM Aspera Faspex.
Программа-вымогатель IceFire, ранее известная только в атаках на Windows-системы, расширила свою активность на корпоративные сети Linux. По данным компании SentinelOne, занимающейся кибербезопасностью, вторжения связаны с использованием недавно обнаруженной уязвимости десериализации в программном обеспечении для обмена файлами IBM Aspera Faspex ( CVE-2022-47986 , оценка CVSS: 9,8).
Большинство атак, наблюдаемых SentinelOne, были направлены против компаний, расположенных в Турции, Иране, Пакистане и ОАЭ — странах, которые обычно не являются мишенью организованных групп вымогателей.
IceFire впервые был обнаружен в марте 2022 года командой MalwareHunterTeam. Однако по данным GuidePoint Security, Malwarebytes и NCC Group, о жертвах стало известно только в августе 2022 года через сайт утечки в даркнете.
Файл-записка с требованиями вымогателей
Сама программа-вымогатель, нацеленная на Linux, представляет из себя 64-разрядный файл формата «.elf», предназначенный для хостов CentOS, на которых запущена уязвимая версия программного обеспечения файлового сервера IBM Aspera Faspex. Вредонос шифрует каталоги выборочно, чтобы не нарушить работоспособность заражённой машины.
«Многие системы Linux являются серверами: типичные векторы заражения, такие как фишинг или загрузка с диска, менее эффективны против них. Поэтому злоумышленники всё чаще прибегают к использованию уязвимостей приложений», — заявил Алекс Деламот, старший исследователь угроз в SentinelOne.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках