Sabe aquela história de que nada é tão ruim que não possa piorar? Pois é, esta é uma notícia desse tipo. O IceFire, ransomware que fez estragos em 2022, está de volta em uma nova versão. Agora, o programa consegue atacar também sistemas Linux.
A descoberta foi feita pelo SentinelLabs. Segundo os especialistas, empresas do ramo de mídia e entretenimento foram vítimas do esquema recentemente.
O IceFire explora uma falha no software Aspera Faspex, da IBM. Uma correção foi disponibilizada em 18 de janeiro de 2023. Mesmo assim, quem não tem a versão 4.4.2 PL2 ou superior instalada está vulnerável.
IceFire é seletivo na criptografia
Após conseguir acesso, o IceFire criptografa os arquivos e adiciona a eles a extensão “.ifire”. Curiosamente, ele não faz isso com todos. Caminhos cruciais continuam operando.
É o caso, por exemplo, das pastas “boot”, de dados de inicialização, “etc”, de arquivos de configuração, e “lib”, com bibliotecas usadas por apps e pelo sistema.
O ataque parece direcionado a pastas de usuário e compartilhadas. Geralmente, elas ficam desprotegidas e podem ser modificadas sem necessidade de privilégios.
Assim, é possível evitar danos irreversíveis — e, claro, tentar extorquir dinheiro de quem sofreu o ataque.
Os agentes exigem que os responsáveis pelo sistema entrem em contato em até cinco dias. A ameaça para quem não cumpre a exigência é vazar os dados na internet.
Grupo já fez mais de 40 vítimas
O IceFire foi visto em ação pela primeira vez em março de 2022. Em agosto daquele ano, ele fez seu primeiro vazamento, expondo mais de 40 vítimas.
Os alvos eram quase todos do setor de tecnologia, mas vinham de países geralmente pouco atacados, como Turquia, Paquistão, Irã e Emirados Árabes Unidos.
Outra coisa incomum desses hackers é que eles cobram uma unidade da criptomoeda Monero (cerca de R$ 700) para descriptografar um arquivo e provar que tem mesmo controle sobre o sistema. Geralmente, atacantes fazem isso de graça.
Ransomware para Linux foca em servidores
O Linux tem um número pequeno de usuários finais, mas possui uma fatia relevante de servidores. Isso dificulta as ações de hackers, já que técnicas como phishing ou download são menos efetivas.
Não é a primeira vez que vemos um ransomware direcionado ao Linux, mas esta é uma tendência que vem se intensificando desde 2021, segundo a SentinelLabs.
De lá para cá, foram registrados ataques usando ferramentas como Conti, LockBit, Hive e HelloKitty, entre outras.
Com informações: SentinelLabs, GuidePoint Security, The Hacker News, Bleeping Computer.