سلالة برامج الفدية المعروفة سابقًا والتي تستند إلى Windows والمعروفة باسم IceFire وسعت نطاق تركيزها لاستهداف شبكات Linux المؤسسية التي تنتمي إلى العديد من مؤسسات قطاع الإعلام والترفيه في جميع أنحاء العالم.
تتضمن عمليات الاقتحام استغلال ثغرة أمنية تم الكشف عنها مؤخرًا في برنامج مشاركة الملفات IBM Aspera Faspex ( CVE-2022-47986 ، درجة CVSS: 9.8) ، وفقًا لشركة الأمن السيبراني SentinelOne.
قال أليكس ديلاموت ، كبير الباحثين في مجال التهديد في SentinelOne ، في تقرير تمت مشاركته مع The Hacker News: "هذا التحول الاستراتيجي خطوة مهمة تجعلها تتماشى مع مجموعات برامج الفدية الأخرى التي تستهدف أيضًا أنظمة Linux".
كانت غالبية الهجمات التي لاحظتها SentinelOne موجهة ضد الشركات الموجودة في تركيا وإيران وباكستان والإمارات العربية المتحدة ، وهي دول لا تستهدفها عادةً أطقم برامج الفدية المنظمة.
تم اكتشاف IceFire لأول مرة في مارس 2022 بواسطة MalwareHunterTeam ، ولكن لم يتم الإعلان عن الضحايا عبر موقع تسريب الويب المظلم حتى أغسطس 2022 ، وفقًا لـ GuidePoint Security و Malwarebytes و NCC Group .
برنامج الفدية الثنائي الذي يستهدف Linux هو ملف ELF بحجم 2.18 ميجابايت و 64 بت يتم تثبيته على مضيفي CentOS الذين يشغلون إصدارًا ضعيفًا من برنامج خادم ملفات IBM Aspera Faspex.
كما أنه قادر على تجنب تشفير مسارات معينة بحيث يستمر الجهاز المصاب في العمل.
قال ديلاموت: "بالمقارنة مع نظام التشغيل Windows ، يعد نشر برامج الفدية على نظام Linux أكثر صعوبة - لا سيما على نطاق واسع". "العديد من أنظمة Linux عبارة عن خوادم: نواقل العدوى النموذجية مثل التصيد الاحتيالي أو التنزيل من محرك الأقراص أقل فعالية. للتغلب على ذلك ، يلجأ الفاعلون إلى استغلال الثغرات الأمنية في التطبيقات."
يأتي هذا التطوير في الوقت الذي كشفت فيه Fortinet FortiGuard Labs عن حملة LockBit ransomware جديدة تستخدم "طريقة مراوغة" لتجنب الكشف من خلال حاويات IMG التي تتجاوز إجراءات حماية Mark-of-the-Web ( MotW ).