Шифровальщик IceFire теперь атакует не только Windows, но и Linux

Екатерина Быстрова 10 Марта 2023 - 08:56

Домашние пользователи

...

Киберпреступники, стоящие за атаками программы-вымогателя IceFire, переключились и на Linux. Специально для этих целей злоумышленники разработали соответствующий шифровальщик, на который обратили внимание исследователи из SentinelLabs.

По словам специалистов, в ходе новых атак операторам IceFire уже удалось взломать сети нескольких СМИ и организаций сферы развлечений. Согласно отчёту, кампания стартовала в середине февраля.

Как только злоумышленники проникают в сеть жертвы, они разворачивают новый вариант вредоносной программы, шифрующий системы Linux. При запуске IceFire принимается за определённые файлы, добавляя им расширение «.ifire».

Интересно, что по завершении процесса шифрования вредонос пытается замести следы и удалить свой бинарник из системы. IceFire не шифрует все файлы, специально исключая ряд путей. Это делается для того, чтобы не пострадали критические системные компоненты.

Операторы IceFire действуют с марта 2022 года, тем не менее их активность зачастую была скачкообразная:

Следует учитывать, что шифровальщик эксплуатирует уязвимость десериализации в софте IBM Aspera Faspex (CVE-2022-47986).

«В сравнении с Windows-версией заточенный под Linux образец сложнее развернуть в системе жертвы. Поскольку многие Linux-системы представляют собой серверы, фишинг и атаки вида drive-by-download работают хуже», — пишет SentinelLabs.

«Чтобы обойти эти ограничения, злоумышленники задействуют уязвимости в софте».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 15 Августа 2025 - 09:31

Атаки на сайты Уязвимости сайтов DoS-атаки Общее

Уязвимость MadeYouReset в HTTP/2 позволяет обойти защиту и вызвать DoS

Исследователи выявили новую уязвимость в HTTP/2 под названием MadeYouReset, которая может использоваться для проведения мощных DoS-атак. Проблема затрагивает несколько популярных реализаций протокола, включая Apache Tomcat, F5 BIG-IP и Netty, и уже получила общий идентификатор — CVE-2025-8671.

Главная опасность в том, что MadeYouReset позволяет обойти стандартное ограничение в 100 одновременных запросов на одно TCP-соединение, которое обычно защищает сервер от перегрузки.

С помощью специальным образом сформированных кадров злоумышленник может инициировать тысячи запросов и в некоторых случаях вызвать падение сервера из-за переполнения памяти.

Техника основывается на предыдущей атаке Rapid Reset, но при этом полностью обходит защиту от неё. Вместо того чтобы отправлять RST_STREAM кадры от клиента, злоумышленник провоцирует сам сервер отправить их, используя шесть разных способов нарушения работы протокола — например, передачу кадров PRIORITY с неправильной длиной или отправку данных после закрытия потока.

Это создаёт ситуацию, когда сервер сбрасывает поток, но продолжает обрабатывать запрос в бэкенде, что приводит к истощению ресурсов.

CERT/CC предупреждает: уязвимость вызвана несоответствием между спецификацией HTTP/2 и реальной архитектурой веб-серверов. Эксперты Imperva отмечают, что это ещё одно напоминание о необходимости защищать инфраструктуру от тонких, формально корректных атак.

Интересно, что на фоне этой новости компания PortSwigger рассказала о новой волне атак на HTTP/1.1 — так называемых HTTP request smuggling, где за счёт неоднозначности в обработке запросов можно обходить фильтры и захватывать сайты. Эксперты напоминают: HTTP/2 в этом плане куда безопаснее, но он должен использоваться не только на «входе» в инфраструктуру, но и во внутренних соединениях между прокси и серверами.

На днях мы писали о проблеме HTTP/1.1, угрожающей миллионам сайтов. Речь идёт о так называемых HTTP-атаках десинхронизации — когда злоумышленник отправляет специально оформленные запросы, которые сервер и прокси-системы интерпретируют по-разному.

Шифровальщик IceFire теперь атакует не только Windows, но и Linux

Читайте также