29.03.2022 | Вымогательское ПО Hive для VMware ESXi портирован с Golang на Rust |
Создатели вымогательского ПО Hive перевели свой Linux-шифровальщик VMware ESXi на язык программирования Rust и добавили несколько новых функций, усложняющих исследователям задачу по наблюдению за переговорами между жертвами и вымогателями. Поскольку предприятия становятся все более зависимыми от виртуальных машин для экономии вычислительных ресурсов, консолидированных серверов и более быстрого резервного копирования, операторы вымогательского ПО создают специальные шифровальщики под эти сервисы. Linux-шифровальщики обычно атакуют платформы виртуализации VMware ESXI, поскольку они чаще всего используются на предприятиях. Хотя вымогатели Hive используют Linux-шифровальщик для атак на серверы VMware ESXi уже некоторое время, судя по новым образцам, они обновили шифровальщик, добавив в него функции, впервые появившиеся в вымогательском ПО BlackCat/ALPHV. Когда вымогатели атакуют жертву, они стремятся вести с ней переговоры о выкупе строго конфиденциально. Однако, когда образец шифровальщика попадает на открытые сервисы для анализа вредоносного ПО, их сразу же изучают исследователи, которые находят записку с требованием выкупа и могут наблюдать за течением переговоров. Во многих случаях переговоры публикуются в открытом доступе, и сделка по уплате выкупа срывается. Для того чтобы этого избежать, операторы BlackCat удалили из своего шифровальщика URL-адреса страниц в Tor, где ведутся переговоры. Вместо этого URL-адрес проходит в качестве аргумента командной строки в процессе выполнения вымогательского ПО. И-за этого изучающие шифровальщик исследователи не могут получить URL-адрес страниц, где ведутся переговоры. Хотя Hive и ранее требовал имя пользователя и пароль для доступа к странице переговоров в Tor, эти учетные данные хранились в исполняемом файле шифровальщика, что облегчало их получение. Новый шифровальщик Hive, обнаруженный исследователем безопасности rivitna компании Group-IB, теперь требует от злоумышленника указывать имя пользователя и пароль для входа в качестве аргумента командной строки при запуске вредоносного ПО. Скопировав тактику BlackCat, Hive сделал невозможным получение учетных данных для входа в систему из образцов шифровальщика, поскольку отныне они доступны только в записках о выкупе, созданных во время атаки. Кроме того, Hive теперь использует не язык программирования Golang, а Rust, что повысило его производительность и усложнило реверс-инжиниринг. |
Проверить безопасность сайта