De IceFire-gijzelsoftware richt zich nu ook actief op Linux-systemen. Beveiligingsonderzoekers van SentinelLabs hebben sinds halverwege februari meerdere inbraken op systemen van media- en entertainmaintbedrijven wereldwijd gedetecteerd. Na het infecteren wordt bepaalde data versleuteld en verwijderd het programma zichzelf. Belangrijke onderdelen van het systeem blijven gespaard, zodat het os wel operationeel blijft.
IceFire is in maart 2022 voor het eerst gedetecteerd en was sinds november grotendeels inactief. Begin januari was er weer een piek zichtbaar, en nu worden sinds februari dus ook Linux-computers aangevallen. De software gebruikt de kwetsbaarheid CVE-2022-47986 in IBM Aspera Faspex. Deze software is bedoeld voor het delen van bestanden en wordt misbruikt om de ransomware te plaatsen in Linux-servers.
Er zijn al meer dan 150 servers geïnfecteerd, waarvan de meeste in de Verenigde Staten en China, volgens Shodan. De stap naar Linux is ook bij andere malware-operators zichtbaar. Bedrijven stappen over op Linux-gebaseerde VMware ESXi virtual machines. Als de host besmet is kan met een enkel commando een hele reeks aan Linux-systemen versleuteld worden.
Bron: Bleeping Computer
