IceFire ransomware now encrypts both Linux and Windows systems
ceFire ransomware มุ่งเป้าไปที่ระบบ Linux และ Windows ทั่วโลกด้วยตัวเข้ารหัสแบบใหม่ นักวิจัยด้านความปลอดภัยของ SentinelLabs พบว่ากลุ่มผู้โจมตีทำการเจาะระบบเครือข่ายขององค์กรด้านสื่อและความบันเทิงหลายแห่งทั่วโลกในช่วงไม่กี่สัปดาห์ที่ผ่านมา โดยเริ่มตั้งแต่กลางเดือนกุมภาพันธ์ เมื่อเข้าไปในเครือข่ายแล้วผู้โจมตีจะใช้มัลแวร์รูปแบบใหม่เพื่อเข้ารหัสระบบ Linux ของเหยื่อ จากนั้น IceFire ransomware จะเข้ารหัสไฟล์และเพิ่มนามสกุลต่อท้ายชื่อไฟล์เป็น .ifire หลังจากนั้นจะทำการลบตัวมันเองเพื่อปกปิดร่องรอยของการโจมตี
การโจมตีของ IceFire ransomware นั้นจะไม่ได้เข้ารหัสไฟล์ทั้งหมดบน Linux แต่จะหลีกเลี่ยงการเข้ารหัสบางอย่าง เพื่อทำให้ส่วนสำคัญของระบบยังคงทำงานได้ โดยวิธีการนี้มีจุดมุ่งหมายเพื่อป้องกันการปิดระบบโดยสมบูรณ์ ซึ่งอาจทำให้เกิดความเสียหายที่แก้ไขไม่ได้ IceFire ransomware นั้นใช้ประโยชน์จากช่องโหว่ deserialization ในซอฟต์แวร์แชร์ไฟล์ IBM Aspera Faspex ซึ่งถูกติดตามเป็น CVE-2022-47986 เพื่อเจาะเข้าสู่ระบบที่มีช่องโหว่ของเป้าหมายและปรับใช้ payloads ของแรนซัมแวร์
การเคลื่อนไหวของ IceFire ransomware นั้นได้กำหนดเป้าหมายไปยัง Linux หลังจากที่ก่อนหน้านี้เน้นไปที่การโจมตีเฉพาะระบบ Windows เนื่องจากเป็นการเปลี่ยนแปลงเพื่อให้สอดคล้องกับกลุ่ม ransomware อื่นๆ ที่เริ่มโจมตีระบบ Linux ในช่วงไม่กี่ปีที่ผ่านมา เนื่องจากในปัจจุบันองค์กรต่างๆก็เริ่มมีแนวโน้มที่จะเปลี่ยนไปใช้เครื่อง VMware ESXi ที่เป็น Linux กันมากขึ้น แม้ว่า IceFire ransomware จะไม่เจาะจงไปที่ VMware ESXi VM แต่ตัวเข้ารหัสของ Linux ก็มีประสิทธิภาพพอๆ กับไฟล์ที่เข้ารหัสของ ID-Ransomware
https://www.bleepingcomputer.com/news/security/icefire-ransomware-now-encrypts-both-linux-and-windows-systems/