Программа-вымогатель Hive теперь шифрует системы Linux и FreeBSD

34
Банды, занимающиеся распространением вымогательского ПО, больше полагаются на использование уязвимостей

Группа вымогателей Hive теперь также шифрует Linux и FreeBSD, используя новые варианты вредоносного ПО, специально разработанные для этих платформ.

Однако, как обнаружила словацкая компания по обеспечению безопасности в Интернете ESET, новые шифраторы Hive все еще находятся в разработке и по-прежнему не имеют функциональности.

Вариант Linux также оказался довольно глючным во время анализа ESET: шифрование полностью отказывалось, когда вредоносная программа запускалась с явным путем.

Он также поддерживает единственный параметр командной строки (-no-wipe). Напротив, программа-вымогатель Hive для Windows имеет до 5 вариантов выполнения, включая завершение процессов и пропуск очистки диска, неинтересные файлы и старые файлы.

Версия программы-вымогателя для Linux также не может запустить шифрование при выполнении без прав root, поскольку она пытается сбросить записку о выкупе на корневых файловых системах скомпрометированных устройств.

«Как и версия для Windows, эти варианты написаны на Golang, но строки, имена пакетов и имена функций были запутаны, вероятно, с помощью gobfuscate», — сказали в исследовательской лаборатории ESET.

Программы-вымогатели теперь заинтересованы в серверах Linux

Группа вымогателей Hive , действующая как минимум с июня 2021 года , уже поразила более 30 организаций, считая только жертв, которые отказались платить выкуп.

Это всего лишь одна из многих группировок программ-вымогателей, которые начали атаковать серверы Linux после того, как их корпоративные цели постепенно перешли на виртуальные машины для упрощения управления устройствами и более эффективного использования ресурсов.

Ориентируясь на виртуальные машины, операторы программ-вымогателей также могут зашифровать несколько серверов одновременно с помощью одной команды.

В июне исследователи заметили новый шифровальщик Linux-вымогателей REvil, предназначенный для виртуальных машин VMware ESXi, популярной корпоративной платформы виртуальных машин.

Технический директор Emsisoft Фабиан Восар сообщил BleepingComputer, что другие группы программ-вымогателей, такие как Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty, также создали свои собственные шифровальщики для Linux.

«Причина, по которой большинство групп программ-вымогателей внедрили версию своих программ-вымогателей для Linux, состоит в том, чтобы нацеливаться именно на ESXi, — сказал Восар.

Шифровальщики Linux-вымогателей HelloKitty и BlackMatter были позже обнаружены в дикой природе исследователями безопасности в июле и августе , что подтвердило заявление Восара.

Месяц спустя было обнаружено, что некоторые из этих вредоносных программ Linux также содержат ошибки и могут повредить файлы жертв во время шифрования.

В прошлом вымогатели Snatch и PureLocker также использовали в своих атаках варианты Linux.

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии