Los atacantes del ransomware SFile (también conocido como Escal) han desarrollado una versión de su malware para Linux con el fin de ampliar sus operaciones.
El ransomware SFile (también conocido como Escal), ha estado activo desde 2020, se observó que se dirigía únicamente a sistemas Windows. Algunas variantes del ransomware añaden el nombre en inglés de la empresa objetivo a los nombres de los archivos cifrados.
Recientemente, la empresa de seguridad china Rising detectó una variante para Linux del ransomware SFile que utiliza el modo de algoritmo RSA+AES.
"Por ejemplo, la variante capturada esta vez utiliza nuctech-gj0okyci (nuctech es el nombre en inglés de Nuctech Technology Co., Ltd.) como nombre del sufijo. Recientemente, Rising capturó la variante del ransomware para la plataforma Linux", reza el análisis publicado por Rising.
Los investigadores de la empresa de seguridad ESET descubrieron una variante del ransomware SFile compatible con la plataforma FreeBSD que se utilizó en ataques contra una empresa parcialmente estatal en China.
"El ransomware SFile utiliza la biblioteca Mbed TLS y los algoritmos RSA-2048 y AES-256 para el cifrado de archivos. El ransomware no tiene un portal propio; los atacantes se comunican con las víctimas a través del correo electrónico" informó ESET.
Los ataques con la nueva variante también fueron confirmados por The Record con MalwareHunterTeam. El ransomware estuvo involucrado en ataques dirigidos contra redes corporativas y gubernamentales.
Los expertos señalaron que la versión para Linux del ransomware SFile implementa algunas mejoras, la más interesante es la capacidad de cifrar archivos basándose en su fecha de creación/acceso. El principio es simple, según los autores del malware, los archivos recientes pueden ser más importantes para algunas víctimas y normalmente no están incluidos en las copias de seguridad recientes.
"Según MalwareHunterTeam, lo más interesante era la capacidad de cifrar archivos en función de un rango de tiempo, como una forma de cifrar archivos recientes, que pueden ser más importantes para algunas víctimas y que normalmente no se incluyen en las copias de seguridad recientes", informó The Record.
The Record señaló que, a principios de enero, el número de infecciones por el ransomware SFile es todavía muy reducido.
Fuente: https://securityaffairs.co/wordpress/126811/malware/sfile-ransomware-linux.html