A primeira variante Linux de sempre do Clop ransomware foi detectada na natureza, mas com um algoritmo de encriptação defeituoso que tornou possível a engenharia inversa do processo.
“O executável ELF contém um algoritmo de encriptação defeituoso que permite desencriptar ficheiros bloqueados sem pagar o resgate,” o investigador Antonis Terefos da SentinelOne disse num relatório partilhado com The Hacker News.
A empresa de ciber-segurança, que tem disponibilizou um decifradorA Comissão Europeia, em 26 de Dezembro de 2022, disse que observou a versão ELF, ao mesmo tempo que observou as suas semelhanças com o sabor do Windows quando se trata de utilizar o mesmo método de encriptação.
Diz-se que a amostra detectada faz parte de um ataque de maior envergadura contra instituições educacionais na Colômbia, incluindo a Universidade de La Salle, por volta da mesma altura. A universidade foi acrescentada ao local de fuga do grupo criminoso no início de Janeiro de 2023, por FalconFeedsio.
Conhecida como activa desde 2019, a operação de resgate Clop (estilizada como Cl0p) sofreu um grande golpe em Junho de 2021, quando seis indivíduos afiliados ao bando foram presos na sequência de uma operação internacional de aplicação da lei com o nome de código Operação Ciclone.
Mas o grupo de cibercriminalidade encenou um “explosivo e inesperado“regresso no início de 2022, reclamando dezenas de vítimas abrangendo verticais industriais e tecnológicas.
SentinelOne caracterizou a versão Linux como uma versão em fase inicial devido ao facto de faltarem algumas funções que estão presentes no seu homólogo Windows.
Esta falta de paridade de características é também explicada pelo facto de os autores de malware terem optado por construir uma carga útil Linux personalizada em vez de simplesmente portarem sobre a versão Windows, sugerindo que as futuras variantes do Clop poderiam colmatar essas lacunas.
“Uma razão para isto pode ser que o actor da ameaça não tenha precisado de dedicar tempo e recursos para melhorar a ofuscação ou evasividade devido ao facto de não ser actualmente detectado por todos os 64 motores de segurança no VirusTotal”, explicou Terefos.
A versão Linux foi concebida para destacar pastas e tipos de ficheiros específicos para encriptação, com o software de resgate contendo uma chave-mestra codificada que pode ser utilizada para recuperar os ficheiros originais sem fazer um pagamento aos actores da ameaça.
Acima de tudo, o desenvolvimento aponta para uma tendência crescente de actores ameaçadores que se aventuram cada vez mais para além do Windows, visando outras plataformas.
“Enquanto a variação do Cl0p com sabor a Linux está, neste momento, na sua infância, o seu desenvolvimento e o uso quase ubíquo do Linux em servidores e cargas de trabalho em nuvem sugere que os defensores devem esperar ver mais campanhas de resgate direccionadas para o Linux a avançarem”, disse Terefos.