Prikaži glavni meni

Opasni ransomware Clop sada inficira i Linux sisteme

Opisi virusa, 08.02.2023, 10:00 AM

Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put pojavio 2019. godine, ciljajući velike kompanije, finansijske institucije, škole i kritičnu infrastrukturu širom sveta. Nakon što je grupa u novembru 2020. napala nekoliko velikih južnokorejskih kompanija, više osoba povezanih sa grupom uhapšeno je u Kijevu, u Ukrajini.

Antonis Terefos, istraživač SentinelOne, je objasnio da je nova Linux varijanta ransomwarea uglavnom korišćena za napade na obrazovne institucije, ali je imala greške koji su se mogli iskoristiti da se pomogne žrtvama. Istraživači su napravili alat za dešifrovanje. Oni kažu da od tada nisu videli nijednu novu verziju ransomwarea, ali predviđaju da će autori malvera verovatno pokušati da poprave greške u budućim verzijama ransomwarea.

Istraživači kažu da je Linux verzija Cl0p ransomwarea u ranoj fazi razvoja, što ukazuje na to da autori još uvek rade na njoj i podešavaju ransomware da cilja određene žrtve. Takođe, neki detalji u kodu ukazuju da su napadači imali saznanja o okruženju žrtava pre nego što bi pokrenuli napad.

Linux varijanta ransomwarea liči na verziju za Windows, i koristi isti metod šifrovanja, navodi se u izveštaju.

Windows verzija omogućava ransomware grupi da izdvoji foldere i fajlove koji ne bi trebalo da budu šifrovani, ali ta funkcionalnost nije viđena u verziji za Linux. Linux verzija šifruje određene foldere i sve vrste fajlova.

„SentinelLabs očekuje da buduće verzije Linux varijante počnu da eliminišu te razlike i da će svaka ažurirana funkcionalnost biti primenjena u obe varijante istovremeno“, navodi se u izveštaju koji je objavio SentinelOne.

Linux verzija takođe ostavlja obaveštenje o otkupnini u .txt formatu, dok verzija za Windows ostavlja belešku o otkupnini u .rtf formatu.

Terefos kaže da je Linux verzija Clopa deo šireg trenda među ransomware grupama. Hive, Qilin, Snake, Smaug, Qyick i brojne druge grupe takođe su koristile Linux varijante svojih ransomwarea.

Uprkos hapšenjima u junu 2021. godine, Clop nije prestao da radi i razvoj Linux verzije ransomwarea bi trebalo da podstakne organizacije da budu spremne na sve, rekao je Terefos.

„Ransomware grupe stalno traže nove ciljeve i metode da maksimiziraju svoj profit. Budući da se široko koriste u poslovnim okruženjima, Linux i cloud uređaji nude bogat skup potencijalnih žrtava“, rekao je Terefos.

Naslovna fotografija: Soumil Kumar, Pexels