Исследователи из Лаборатории Касперского выявили версию вымогательского вредоносного ПО RansomEXX для Linux. Изначально RansomEXX распространялся только на платформе Windows и стал известен, благодаря нескольким крупным инцидентам с поражением систем различных госучреждений и компаний, включая Департамент транспорта штата Техас и компанию Konica Minolta.

RansomEXX выполняет шифрование данных на диске, после чего требует выкуп для получения ключа расшифровки. Шифрование организовано при помощи открытой библиотеки mbedtls. После запуска вредоносное ПО генерирует 256-битный ключ и использует его для шифрования всех доступных файлов, применяя блочный шифр AES в режиме ECB. Каждую секунду генерируется новый AES-ключ, т.е. разные файлы оказываются зашифрованы разными ключами AES. Каждый AES-ключ шифруется при помощи публичного ключа RSA-4096, встроенного в код вредоносного ПО, и прикрепляется к каждому зашифрованному файлу. Для расшифровки вымогатели предлагают купить у них закрытый ключ.

Особенностью RansomEXX является использование в целевых атаках, в ходе которых злоумышленники через компрометацию уязвимостей или методы социальной инженерии получают доступ к одной из систем в сети, после чего атакуют другие системы и внедряют специально собранный для каждой атакованной инфраструктуры вариант вредоносного ПО, включающий название компании и каждый раз разные контактные данные.

Изначально, злоумышленники пытались в ходе атаки на корпоративные сети получить управление как можно большим числом рабочих станций для установки на них вредоносного ПО, но данная стратегия оказалась ошибочной и во многих случаях системы просто переустанавливали с использованием резервной копии, не платя выкуп. Теперь стратегия злоумышленников изменилась и они нацелились на поражение в первую очередь корпоративных серверных систем, и особенно централизованных систем хранения, в том числе работающих под управлением Linux.