Το Linux θεωρείται από καιρό ως πιο ασφαλές λειτουργικό σύστημα από τα Windows, αλλά αυτή η φήμη δοκιμάζεται.
Μια ομάδα ransomware γνωστή ως Pay2Key, που αποδίδεται σε Ιρανούς παράγοντες απειλών, έχει αναπτύξει μια παραλλαγή Linux που στοχεύει ενεργά σε διακομιστές οργανισμού, κεντρικούς υπολογιστές εικονικοποίησης και φόρτους εργασίας στο cloud.
Το κακόβουλο λογισμικό εντοπίστηκε για πρώτη φορά στη φύση στα τέλη Αυγούστου 2025 και ο τεχνικός του σχεδιασμός δείχνει ότι οι χειριστές του το κατασκεύασαν για κλίμακα, αξιοπιστία και ταχύτητα και όχι για μυστικότητα.
Το Pay2Key δεν είναι νέο όνομα στο τοπίο απειλών. Η ομάδα είχε περιόδους μειωμένης δραστηριότητας, αλλά αυτή η συγκεκριμένη παραλλαγή για το Linux σηματοδοτεί μια σκόπιμη αλλαγή στη στρατηγική στόχευσης.
Μόλις μπει μέσα, δεν κρυπτογραφεί απλώς αρχεία. διαλύει συστηματικά τις άμυνες που μπορεί να το επιβραδύνουν.
Οι ερευνητές της Morphisec εντόπισαν το κακόβουλο λογισμικό δείγμα και σημείωσε ότι το Pay2Key.I2, η παραλλαγή Linux, βασίζεται σε ρυθμίσεις παραμέτρων και απαιτεί δικαιώματα σε επίπεδο ρίζας για να εκτελεστεί.
Αυτό σημαίνει ότι το ransomware εκτελείται με το υψηλότερο επίπεδο πρόσβασης στο σύστημα, δίνοντάς του πλήρη έλεγχο του συστήματος αρχείων και των βασικών λειτουργιών του λειτουργικού συστήματος.
Οι χειριστές δεν βασίζονται στην κλιμάκωση των προνομίων μετά την εκτέλεση — κατασκευάζουν το ωφέλιμο φορτίο για να εκτελείται μόνο όταν υπάρχει ήδη πλήρης πρόσβαση.
Ο αντίκτυπος αυτού του ransomware σε οργανισμούς που εκτελούν υποδομή που βασίζεται σε Linux είναι σημαντικός. Διακομιστές που Οι κεντρικές βάσεις δεδομένων, τα backend εφαρμογών και οι εικονικές μηχανές γίνονται πρωταρχικοί στόχοι.
Ο φόρτος εργασίας στο cloud, από τον οποίο εξαρτώνται πλέον πολλές επιχειρήσεις για συνεχείς και αδιάλειπτες λειτουργίες, κινδυνεύουν εξίσου.
Η ικανότητα του κακόβουλου λογισμικού να ταξινομεί διαφορετικούς τύπους μονταρισμένων συστημάτων αρχείων και να τα κρυπτογραφεί επιλεκτικά σημαίνει ότι μπορεί να προκαλέσει τη μέγιστη ζημιά ενώ διατηρεί τον κεντρικό υπολογιστή αρκετά λειτουργικό ώστε να παρέχει μια απαίτηση λύτρων.
Η ευρύτερη ανησυχία είναι ότι το Linux ransomware παραμένει μια από τις λιγότερο τεκμηριωμένες κατηγορίες απειλών στην έρευνα δημόσιας ασφάλειας.
.webp.png)
Η έκδοση Linux του Pay2Key είναι ένα σαφές παράδειγμα του τρόπου με τον οποίο οι φορείς απειλών καλύπτουν αυτό το κενό — αναπτύσσοντας εργαλεία στα οποία πολλοί οργανισμοί απλώς δεν είναι ακόμη έτοιμοι να υπερασπιστούν.
Μηχανισμός Κρυπτογράφησης και Αμυντική Αποφυγή
Προτού το Pay2Key αρχίσει να κρυπτογραφεί αρχεία, προετοιμάζει πρώτα το περιβάλλον για να διασφαλίσει ότι τίποτα δεν παρεμποδίζεται.
Το κακόβουλο λογισμικό σταματά την εκτέλεση υπηρεσιών, σκοτώνει τις ενεργές διεργασίες και απενεργοποιεί δύο κύρια πλαίσια ασφαλείας Linux – το SELinux και το AppArmor.
Αυτό απογυμνώνει αποτελεσματικά τον οικοδεσπότη από το ενεργό του άμυνες ασφαλείας πριν καν ξεκινήσει η ρουτίνα κρυπτογράφησης.
Για να εγγυηθεί την επιβίωση πέρα από μια επανεκκίνηση, το κακόβουλο λογισμικό εγκαθιστά μια καταχώρηση cron που την ενεργοποιεί ξανά κατά την επανεκκίνηση του συστήματος.
Αυτός ο μηχανισμός επιμονής σημαίνει ότι ακόμα κι αν ένας διαχειριστής συστήματος εντοπίσει κάτι λάθος και επανεκκινήσει τον διακομιστή, το ransomware ξεκινά από εκεί που σταμάτησε.
Για τη στόχευση αρχείων, το Pay2Key απαριθμεί /proc/mounts για τη δημιουργία ενός χάρτη του συστήματος αρχείων. Φιλτράρει ψευδο-συστήματα αρχείων και ταξινομεί τις βάσεις ως μόνο για ανάγνωση, αφαιρούμενες ή άλλες.
Παραλείπει τελείως τις βάσεις μόνο για ανάγνωση και κατά την επεξεργασία ανά αρχείο, αποφεύγει σκόπιμα τα δυαδικά αρχεία ELF και MZ μαζί με αρχεία μηδενικού μήκους — μειώνοντας την πιθανότητα διακοπής λειτουργίας του κεντρικού υπολογιστή κατά τη διάρκεια της λειτουργίας.
Η κρυπτογράφηση χρησιμοποιεί τον αλγόριθμο ChaCha20 είτε σε πλήρη είτε σε μερική λειτουργία, που καθορίζεται από το αρχείο διαμόρφωσης.
Μια συμβολοσειρά με σκληρό κώδικα, "DontDecompileMePlease"είναι ενσωματωμένο στο δυαδικό και παίζει βασικό ρόλο τόσο στην παραγωγή κλειδιού μεταδεδομένων όσο και στην επικύρωση διάταξης μεταδεδομένων.
Τα κλειδιά ανά αρχείο δημιουργούνται και αποθηκεύονται σε ένα συγκεχυμένο μπλοκ μεταδεδομένων, καθιστώντας την ανάκτηση χωρίς το κλειδί αποκρυπτογράφησης πρακτικά αδύνατη.
Οι ομάδες ασφαλείας που εκτελούν υποδομή που βασίζεται σε Linux θα πρέπει να επιβάλλουν αυστηρούς ελέγχους πρόσβαση σε επίπεδο ρίζας και έλεγχος των οποίων οι λογαριασμοί έχουν αυξημένα προνόμια.
Η απενεργοποίηση των περιττών δυνατοτήτων δημιουργίας θέσεων εργασίας cron για μη διοικητικούς χρήστες μπορεί να μειώσει τον κίνδυνο επικράτησης μηχανισμών επιμονής.
Οι οργανισμοί θα πρέπει επίσης να παρακολουθούν ενεργά για τυχόν απροσδόκητη απενεργοποίηση του SELinux ή του AppArmor, καθώς αυτό αποτελεί ισχυρή ένδειξη ενεργού εκτέλεσης ransomware.
Η διατήρηση offline, αμετάβλητων αντιγράφων ασφαλείας κρίσιμων δεδομένων παραμένει ένας από τους πιο αποτελεσματικούς τρόπους ανάκτησης χωρίς να πληρώσετε λύτρα.
