Recientemente se había descubierto que un nuevo ransomware se estaba propagando peligrosamente por el sistema operativo Windows, sin embargo, ahora también se dirige a dispositivos con sistemas Linux.
Hablamos del ransomware IceFire, según los informes, este ransomware ha comprometido a varias redes de organizaciones del sector de medios de comunicación y entretenimiento alrededor de todo el mundo.
-El ransomware IceFire ahora acecha los sistemas Linux
Los ciberdelincuentes responsables del ransomware utilizan una técnica que aprovecha una debilidad en la forma en que el software de intercambio de archivos IBM Aspera Faspex maneja la deserialización de datos.
Una vez que han logrado infiltrarse en el sistema de la víctima, proceden a implementar el ransomware IceFire, que se encarga de cifrar los datos y añadir la extensión ‘.ifire’ a los archivos afectados. Como medida de precaución para evitar ser detectados, los atacantes eliminan el ransomware al finalizar su trabajo.
Esta modalidad de ataque es altamente perniciosa, ya que una vez que los datos han sido cifrados, la víctima se ve obligada a pagar un rescate para recuperar el acceso a su información.
La utilización de vulnerabilidades en software de amplio uso como IBM Aspera Faspex es una estrategia común de los ciberdelincuentes, que buscan explotar fallas en sistemas ampliamente adoptados para maximizar su impacto.
-IceFire no cifra todos los archivos en Linux
Resulta interesante destacar que el ransomware IceFire tiene la particularidad de no cifrar todos los archivos que se encuentran en sistemas operativos basados en Linux. En lugar de ello, se abstiene de cifrar ciertas rutas con el fin de asegurar el correcto funcionamiento de partes críticas del sistema y evitar posibles daños adicionales al mismo.
Esta estrategia de cifrado selectivo evidencia una sofisticación en el diseño del malware, ya que demuestra una comprensión detallada del funcionamiento del sistema operativo y la capacidad de distinguir entre archivos críticos y no críticos. Sin embargo, esto no significa que los archivos no cifrados estén seguros, ya que cualquier información que no haya sido cifrada sigue siendo vulnerable a sustracción o daño.
Es importante señalar que, aunque IceFire no cifra todos los archivos en sistemas Linux, sigue siendo una amenaza seria que puede causar daños significativos a las organizaciones y usuarios afectados.
Después de completar el proceso de cifrado de datos, el ransomware IceFire dejará una nota de rescate exigiendo que la víctima se comunique con los operadores del malware dentro de un plazo de cinco días.
En caso de no hacerlo, la nota amenaza con publicar en línea los datos de la víctima, lo que podría tener graves consecuencias para su privacidad y seguridad.
Cabe destacar que IceFire es solo una de las muchas variantes de ransomware que se han dirigido a los sistemas Linux. Esta tendencia ha ganado impulso en los últimos años, con grupos de cibercriminales como Conti, LockBit, Hive y HelloKitty, entre otros, agregando el cifrado de Linux a su arsenal de ataques. La creciente sofisticación de estas variantes de ransomware demuestra la necesidad de una mayor conciencia y preparación en materia de seguridad informática.
Es fundamental que las empresas y los usuarios finales tomen medidas preventivas, como la implementación de soluciones de seguridad actualizadas y el fortalecimiento de sus sistemas, para evitar los graves impactos que estos ataques pueden causar.