最近發現基于Windows的勒索軟件IceFire現在開始針對多個領域的Linux企業網絡。

SentinelLabs的研究人員發現了IceFire勒索軟件新的Linux版本。該勒索軟件最初只針對基于Windows的系統，主要是針對技術公司。IceFire于2022年3月首次被MalwareHunterTeam的研究人員發現，但該組織自2022年8月起便開始活躍在暗網上。

專家們觀察到IceFire利用IBM Aspera Faspex文件共享軟件（CVE-2022-47986，CVSS評分：9.8）的反序列化漏洞來部署勒索軟件。

大多數IceFire攻擊事件主要發生在土耳其、伊朗、巴基斯坦和阿拉伯聯合酋長國。專家指出，這些國家通常不是勒索組織行動的重點。

SentinelOne研究人員成功地測試了IceFire Linux版本對基于英特爾的Ubuntu和Debian發行版。該勒索軟件成功加密了一臺運行IBM Aspera Faspex文件服務器軟件的CentOS主機。該勒索軟件對文件進行加密，并在文件名上附加".ifire "擴展名，然后通過刪除二進制文件來自我刪除。

IceFire不加密帶有".sh "和".cfg "擴展名的文件，它還避免加密某些文件夾，以便受感染的機器繼續可用。

通過分析，位于/home/[user_name]/的用戶配置文件目錄看到的加密活動最多。IceFire針對用戶和共享目錄（例如，/mnt，/media，/share）進行加密；這些是文件系統中未受保護的部分，不需要提升權限來寫入或修改。

該勒索軟件的Windows版本通過網絡釣魚信息傳播，并使用開發后的工具包進行透視。Linux變體仍處于早期階段。

專家指出，在報告發布時，IceFire二進制文件被0/61個VirusTotal引擎檢測到。贖金票據包含硬編碼的憑證，用于登錄托管在Tor隱藏服務上的贖金支付門戶。

IceFire的這一演變證實了針對Linux的勒索軟件在2023年會繼續流行。Linux勒索軟件，包括BlackBasta、Hive、Qilin、Vice Society aka HelloKitty等。

專家總結道：與Windows相比，Linux更難以部署勒索軟件，特別是在規模上。為了克服這一點，攻擊者轉變方向，利用應用程序的漏洞，正如IceFire運營商通過IBM Aspera漏洞部署有效載荷所證明的那樣。