Οι φορείς απειλών που συνδέονται με τη λειτουργία ransomware IceFire στοχεύουν τώρα ενεργά συστήματα Linux σε όλο τον κόσμο με έναν νέο αποκλειστικό κρυπτογράφηση.
Οι ερευνητές ασφαλείας της SentinelLabs ανακάλυψαν ότι η συμμορία έχει παραβιάσει τα δίκτυα πολλών μέσων ενημέρωσης και οργανισμών ψυχαγωγίας σε όλο τον κόσμο τις τελευταίες εβδομάδες, ξεκινώντας από τα μέσα Φεβρουαρίου.
Μόλις εισέλθουν στα δίκτυά τους, οι εισβολείς αναπτύσσουν τη νέα τους παραλλαγή κακόβουλου λογισμικού για να κρυπτογραφήσουν τα συστήματα Linux των θυμάτων.
Όταν εκτελείται, το ransomware IceFire κρυπτογραφεί αρχεία, προσθέτει την επέκταση ‘.ifire’ στο όνομα του αρχείου και στη συνέχεια καλύπτει τα ίχνη του διαγράφοντας τον εαυτό του και αφαιρώντας το δυαδικό αρχείο.
Είναι επίσης σημαντικό να σημειωθεί ότι το IceFire δεν κρυπτογραφεί όλα τα αρχεία στο Linux. Το ransomware αποφεύγει στρατηγικά την κρυπτογράφηση συγκεκριμένων διαδρομών, επιτρέποντας σε κρίσιμα μέρη του συστήματος να παραμένουν λειτουργικά.
Αυτή η υπολογισμένη προσέγγιση έχει σκοπό να αποτρέψει έναν πλήρη τερματισμό λειτουργίας του συστήματος, ο οποίος θα μπορούσε να προκαλέσει ανεπανόρθωτη ζημιά και ακόμη πιο σημαντική διακοπή.
Ενώ ενεργός τουλάχιστον από τον Μάρτιος 2022 και κυρίως ανενεργό από τα τέλη Νοεμβρίου, το ransomware IceFire επέστρεψε στις αρχές Ιανουαρίου σε νέες επιθέσεις, όπως φαίνεται από τις υποβολές στην πλατφόρμα ID-Ransomware.
