Linux-Systeme im Fadenkreuz – Neue Variante der berüchtigten Cl0p-Ransomware

SentinelLabs, die Research-Abteilung von Sentinelone, beobachtete am 26. Dezember 2022 die erste ELF-Variante (Executable and Link-Format) der Ransomware „Cl0p“, die auf Linux-Systeme abzielt. Die neue Variante ähnelt der Windows-Variante und verwendet dieselbe Verschlüsselungsmethode und eine ähnliche Prozesslogik. Dieser Vorfall scheint Teil eines größeren Angriffs zu sein, der möglicherweise um den 24. Dezember herum gegen eine Universität in Kolumbien erfolgte. Am 5. Januar veröffentlichte die Cybercrime-Gruppe die Daten der Opfer auf ihrer Onion-Seite.

 

Technische Analyse der Cl0p-Ransomware

Die Entwicklung der ELF-Cl0p-Variante folgt einer ähnlichen Logik wie die der Windows-Variante. Jedoch weist sie kleine Unterschiede auf, die hauptsächlich auf Betriebssystemunterschiede wie API-Aufrufe zurückzuführen sind. Sie scheint sich noch in der Anfangsphase der Entwicklung zu befinden, da einige Funktionalitäten, die in den Windows-Versionen vorhanden sind, in dieser neuen Linux-Version noch nicht existieren. Ein Grund dafür könnte sein, dass der Bedrohungsakteur es gar nicht nötig hatte Zeit und Ressourcen aufzuwenden, um die Verschleierung oder Ausweichmöglichkeiten zu verbessern, da er derzeit von keiner der 64 Sicherheits-Engines auf Virustotal erkannt wird.

 

Fehlerhafte Verschlüsselung durch Bedrohungsakteure 

Die Windows-Versionen der Cl0p-Ransomware verwenden einen Mersenne-Twister-PRNG (Pseudorandom Number Generator), um einen 0x75 Byte großen RC4-Schlüssel für jede Datei zu erzeugen. Dieser Schlüssel wird dann validiert indem überprüft wird, ob die ersten fünf Bytes NULL sind, und für die Dateiverschlüsselung verwendet. Anschließend wird der generierte RC4-Schlüssel mit dem öffentlichen RSA-Schlüssel verschlüsselt und in „$filename.$clop_extension“ gespeichert. Opfer, die das geforderte Lösegeld zahlen, erhalten einen Decryptor, der die Verschlüsselung der Daten aufheben kann. Diese Kernfunktionalität fehlt in der Linux-Variante. Stattdessen konnte hier eine fehlerhafte Ransomware-Verschlüsselungslogik entdeckt werden, die es ermöglicht, die ursprünglichen Daten abzurufen, ohne für ein Entschlüsselungsprogramm zu bezahlen.

Anstatt einfach die Windows-Version von Cl0p direkt zu portieren, haben sich die Ransomware-Autoren entschieden, maßgeschneiderte Linux-Payloads zu erstellen. Es ist davon auszugehen, dass dies der Hauptgrund für die fehlende Funktionsparität zwischen der neuen Linux-Version und der weitaus etablierteren Windows-Variante ist. Es ist davon auszugehen, dass künftige Versionen der Linux-Variante diese Unterschiede beseitigen und alle aktualisierten Funktionen in beiden Varianten gleichzeitig angewendet werden.

Fazit

In den letzten zwölf Monaten konnte immer wieder beobachtet werden, dass einzelne Ransomware-Betreiber oder -Varianten zunehmend mehrere Plattformen ins Visier nehmen.  Die Entdeckung einer ELF-Variante von Cl0p fügt sich in die wachsende Liste von Ransomware wie Hive, Qilin, Snake, Smaug, Qyick und zahlreichen anderen ein. Es ist bekannt, dass die Cl0p-Angriffe, seit einer kurzen Unterbrechung im Juni 2021, kaum oder gar nicht nachgelassen haben. Die Linux-Variante von Cl0p steckt zwar noch in den Kinderschuhen, aber die schnelle Entwicklung und der großflächige Einsatz von Linux in Servern und Cloud-Workloads lassen vermuten, dass Sicherheitsteams in Zukunft mit viel mehr Ransomware-Kampagnen rechnen sollten, die Linux ins Visier nehmen.

Weitere Informationen über die detaillierte Analyse der Ransomware finden sich hier: https://www.sentinelone.com/labs/cl0p-ransomware-targets-linux-systems-with-flawed-encryption-decryptor-available

#Sentinelone