Търсене
Close this search box.

Рансъмуерът за Linux BlackSuit показва поразителни прилики с Royal

Анализът на варианта за Linux на нов щам рансъмуер, наречен BlackSuit, откри значителни прилики с друго семейство рансъмуер, наречено Royal.

Компанията Trend Micro, която е изследвала x64 версията на VMware ESXi, насочена към машини с Linux, заяви, че е установила „изключително висока степен на сходство“ между Royal и BlackSuit.

„Всъщност те са почти идентични, с 98% сходство във функциите, 99,5% сходство в блоковете и 98,9% сходство в скоковете въз основа на BinDiff, инструмент за сравнение на двоични файлове“, отбелязват изследователите от Trend Micro.

Сравнението на артефактите на Windows е установило 93,2% сходство във функциите, 99,3% в основните блокове и 98,4% в скоковете въз основа на BinDiff.

За първи път BlackSuit стана известен в началото на май 2023 г., когато Palo Alto Networks Unit 42 обърна внимание на способността му да се насочва както към хостове с Windows, така и към такива с Linux.

В унисон с други групи за откуп, той изпълнява двойна схема за изнудване, която краде и криптира чувствителни данни в компрометирана мрежа в замяна на парична компенсация. Данните, свързани с една-единствена жертва, са посочени в нейния сайт за изтичане на данни в тъмната мрежа.

Последните констатации на Trend Micro показват, че както BlackSuit, така и Royal използват AES на OpenSSL за криптиране и използват сходни техники за криптиране с прекъсвания, за да ускорят процеса на криптиране.

Като оставим настрана съвпаденията, BlackSuit включва допълнителни аргументи от командния ред и избягва различен списък с файлове със специфични разширения по време на изброяването и криптирането.

„Появата на рансъмуера BlackSuit (с неговите прилики с Royal) показва, че той е или нов вариант, разработен от същите автори, или подражател, използващ подобен код, или филиал на бандата на рансъмуера Royal, който е въвел модификации в оригиналното семейство“, заявиха от Trend Micro.

Като се има предвид, че Royal е разклонение на някогашния екип на Conti, възможно е също така „BlackSuit да е възникнал от отцепническа група в рамките на оригиналната банда Royal ransomware“, теоретизира компанията за киберсигурност.

Разработката още веднъж подчертава постоянното състояние на движение в екосистемата на рансъмуера, дори когато се появяват нови  банди, за да усъвършенстват съществуващите инструменти и да генерират незаконни печалби.

Това включва нова инициатива „ransomware-as-a-service“ (RaaS) с кодово име NoEscape, която според Cyble позволява на нейните оператори и филиали да се възползват от тройни методи за изнудване, за да увеличат въздействието на успешна атака.

Тройното изнудване се отнася до тристранен подход, при който ексфилтрирането и криптирането на данни се съчетава с разпределени атаки за отказ на услуга (DDoS) срещу целите в опит да се наруши дейността им и да бъдат принудени да платят откупа.

Според Cyble услугата DDoS се предлага срещу допълнителна такса от 500 000 USD, като операторите налагат условия, които забраняват на филиалите да нанасят удари по структури, разположени в страните от Общността на независимите държави (ОНД).

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
19 май 2024

Grandoreiro се завръща по - мощен след прекъсва...

Банковият троянец за Android „Grandoreiro“ се разпростр...
19 май 2024

Норвежци предсказват бедствия с ИИ

Норвежкият стартъп 7Analytics е получил 4 млн. евро, за да предскаж...
Бъдете социални
Още по темата
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
20/05/2024

Чрез GitHub и FileZilla се ...

Наблюдавана е „многостранна кампания“, при която...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!