Onderzoek van SentinelLabs toont aan dat de groepering achter de Cl0p-ransomware sinds eind vorig jaar ook Linux-gebaseerde systemen aanvalt. De malware is ontdekt in februari 2019 en was tot dusver enkel gericht op Windows. Het cybersecuritybedrijf heeft vastgesteld dat de Linux-variant echter nog niet helemaal op punt staat, waardoor gebruikers in staat zijn om hun versleutelde data terug te krijgen.
De hackers hebben in december 2022 een aanval uitgevoerd op een universiteit in Colombia, waarbij voor het eerst een Linux-versie is ingezet. Terwijl beide dezelfde encryptiemethode vertonen, blijken er ook verschillen te zijn op het gebied van api-calls en ontbrekende features die nog geïmplementeerd moeten worden.
SentinelLabs heeft de 'achterdeur' ontdekt.
Zo gebruikt de huidige Linux-variant in vergelijk met zijn Windows-tegenhanger geen RSA-gebaseerd asymmetrisch algoritme om de RC4-keys te versleutelen, maar een ‘hardcoded RC4 master key’ om de encryptiesleutels te genereren. Dezelfde master key wordt ingezet om de bestanden te versleutelen en lokaal op te slaan.
Hierdoor is het mogelijk om de gebruikte sleutels terug te vinden en de vergrendelde bestanden te decoderen. SentinelLabs heeft niet alleen de werking van deze theorie aangetoond, men heeft ook een Python-script gedeeld waarmee het proces wordt geautomatiseerd. Deze code is beschikbaar op GitHub (link).
Bronnen: SentinelLabs, Bleeping Computer
