I cyber criminali associati al ransomware IceFire hanno preso di mira i sistemi Linux di tutto il mondo con un nuovo encryptor.
Hacker mirano IBM Aspera Faspex
Il ransomware Icefire, scoperto a marzo 2022, è tornato all’inizio di quest’anno nel panorama delle minacce informatiche. Gli hacker distribuiscono la loro nuova variante di malware per crittografare i sistemi Linux delle vittime.
Il motore di ricerca Shodan mostra più di 150 server IBM Aspera Faspex esposti online, la maggior parte dei quali sono situati negli Stati Uniti e in Cina.
Il ransomware Icefire codifica i server Linux
La mossa del ransomware IceFire di scegliere Linux come target è una scelta strategica che si allinea con altri gruppi di ransomware.
Tale azione segue il trend che vede le aziende passare a macchine virtuali come VMware ESXi alimentate da Linux, che presentano una migliore gestione delle risorse molto più efficiente.
Dopo aver distribuito il malware sugli host ESXi, gli hacker possono utilizzare un singolo comando per criptare in massa i server Linux delle vittime. È anche in grado di evitare la crittografia di alcuni percorsi in modo che la macchina infetta continui a essere operativa.
Vulnerabilità di IBM Aspera Faspex
Gli hacker di IceFire sfruttano il difetto di RCE di pre-autenticazione nel software di file-sharing IBM Aspera Faspex CVE-2022-47986 per introdursi nei sistemi vulnerabili degli obiettivi e distribuire il malware.
Il vulnerabilità è stata corretta da IBM con le versioni Faspex 4.4.2 Patch livello 2 e Faspex 5.x, dopo che Assetnote ha pubblicato un report contenente il codice di exploit.
Le bande di ransomware, hanno rilasciato crittografi simili ad Icefire come LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX e Hive.
