La primera variante para Linux del ransomware Clop ha sido detectada en la naturaleza, pero con un algoritmo de cifrado defectuoso que ha hecho posible la ingenierÃa inversa del proceso.
"El ejecutable ELF contiene un algoritmo de cifrado defectuoso que permite descifrar los archivos bloqueados sin pagar el rescate", explicó Antonis Terefos, investigador de SentinelOne.
La firma de ciberseguridad, que ha puesto a disposición un desencriptador, dijo que observó la versión ELF el 26 de diciembre de 2022, al tiempo que señaló sus similitudes con el sabor de Windows cuando se trata de utilizar el mismo método de cifrado.
Se dice que la muestra detectada forma parte de un ataque mayor dirigido a instituciones educativas de Colombia, incluida la Universidad de La Salle, por las mismas fechas. La universidad fue agregada al sitio de filtraciones del grupo criminal a principios de enero de 2023, según las fuentes.
Conocida por haber estado activa desde 2019, la operación de ransomware Clop (estilizada como Cl0p) sufrió un duro golpe en junio de 2021 cuando seis individuos afiliados a la banda fueron arrestados tras una operación internacional de aplicación de la ley con nombre en código Operación Ciclón.
Pero el grupo de ciberdelincuentes protagonizó un regreso "explosivo e inesperado" a principios de 2022, cobrándose docenas de vÃctimas en sectores industriales y tecnológicos.
SentinelOne caracterizó la versión Linux como una versión en fase inicial debido al hecho de que faltan algunas funciones que están presentes en su homólogo de Windows.
Esta falta de paridad de caracterÃsticas también se explica por el hecho de que los autores del malware han optado por construir una carga útil Linux personalizada en lugar de simplemente portar la versión de Windows, lo que sugiere que las futuras variantes de Clop podrÃan cerrar esas brechas.
"Esto podrÃa deberse a que el autor de la amenaza no ha necesitado dedicar tiempo y recursos a mejorar la ofuscación o la evasión, ya que actualmente no es detectado por los 64 motores de seguridad de VirusTotal", explica Terefos.
La versión para Linux está diseñada para cifrar carpetas y tipos de archivos especÃficos y el ransomware contiene una clave maestra codificada que puede utilizarse para recuperar los archivos originales sin tener que pagar a los autores de la amenaza.
En todo caso, el desarrollo apunta a una tendencia creciente de los actores de amenazas a aventurarse cada vez más más allá de Windows para atacar otras plataformas.
"Aunque la variante de Cl0p con sabor a Linux está, en este momento, en su infancia, su desarrollo y el uso casi omnipresente de Linux en servidores y cargas de trabajo en la nube sugieren que los defensores deberÃan esperar ver más campañas de ransomware dirigidas a Linux en el futuro", dijo Terefos.