网络安全服务商SentinelOne公司的研究部门SentinelLabs发现了一种新型的Linux版IceFire勒索软件，该勒索软件利用IBM公司的Aspera Faspex文件共享软件的一个漏洞。

该漏洞是最近修补的Aspera Faspex漏洞CVE-2022-47986。

IceFire Linux版本是一个2.18MB的64位ELF(可执行和可链接)二进制文件，使用开源GCC(GNU编译器集合)编译，用于AMD 64位系统处理器架构。有效负载也在基于英特尔的Ubuntu和Debian发行版上成功运行。

IceFire Linux版本被人发现部署在运行CentOS的主机上，CentOS是一种开源Linux发行版，运行的是易受攻击的IBM Aspera Faspex文件服务器软件。

利用这一漏洞，系统下载了IceFire有效载荷并执行它们来加密文件，并使用“.ifire”扩展名重命名文件，之后，有效载荷被设计为自行删除以避免检测。

IceFire Linux有效负载的脚本排除了某些系统关键文件和路径的加密，包括以下文件扩展名：.cfg、.o、.sh、.img、.txt、.xml、.jar、.pid、.ini、.pyc、.a、.so、.run、.env、.cache、.xmlb、.p，以及路径/boot、/dev/、/etc、/lib、/proc、/srv、/sys、/usr、/var、/run。

这样做是为了使系统的关键部分没加密并保持运行。

在IceFire Linux变体中观察到的另一种新策略是利用漏洞，而不是传统地通过网络钓鱼消息或通过某些利用后的第三方框架(包括Empire、Metaspoilt、Cobalt Strike)进行传递。