Анализът на варианта за Linux на нов щам рансъмуер, наречен BlackSuit, откри значителни прилики с друго семейство рансъмуер, наречено Royal.

Компанията Trend Micro, която е изследвала x64 версията на VMware ESXi, насочена към машини с Linux, заяви, че е установила „изключително висока степен на сходство“ между Royal и BlackSuit.

„Всъщност те са почти идентични, с 98% сходство във функциите, 99,5% сходство в блоковете и 98,9% сходство в скоковете въз основа на BinDiff, инструмент за сравнение на двоични файлове“, отбелязват изследователите от Trend Micro.

Сравнението на артефактите на Windows е установило 93,2% сходство във функциите, 99,3% в основните блокове и 98,4% в скоковете въз основа на BinDiff.

За първи път BlackSuit стана известен в началото на май 2023 г., когато Palo Alto Networks Unit 42 обърна внимание на способността му да се насочва както към хостове с Windows, така и към такива с Linux.

В унисон с други групи за откуп, той изпълнява двойна схема за изнудване, която краде и криптира чувствителни данни в компрометирана мрежа в замяна на парична компенсация. Данните, свързани с една-единствена жертва, са посочени в нейния сайт за изтичане на данни в тъмната мрежа.

Последните констатации на Trend Micro показват, че както BlackSuit, така и Royal използват AES на OpenSSL за криптиране и използват сходни техники за криптиране с прекъсвания, за да ускорят процеса на криптиране.

Като оставим настрана съвпаденията, BlackSuit включва допълнителни аргументи от командния ред и избягва различен списък с файлове със специфични разширения по време на изброяването и криптирането.

„Появата на рансъмуера BlackSuit (с неговите прилики с Royal) показва, че той е или нов вариант, разработен от същите автори, или подражател, използващ подобен код, или филиал на бандата на рансъмуера Royal, който е въвел модификации в оригиналното семейство“, заявиха от Trend Micro.

Като се има предвид, че Royal е разклонение на някогашния екип на Conti, възможно е също така „BlackSuit да е възникнал от отцепническа група в рамките на оригиналната банда Royal ransomware“, теоретизира компанията за киберсигурност.

Разработката още веднъж подчертава постоянното състояние на движение в екосистемата на рансъмуера, дори когато се появяват нови  банди, за да усъвършенстват съществуващите инструменти и да генерират незаконни печалби.

Това включва нова инициатива „ransomware-as-a-service“ (RaaS) с кодово име NoEscape, която според Cyble позволява на нейните оператори и филиали да се възползват от тройни методи за изнудване, за да увеличат въздействието на успешна атака.

Тройното изнудване се отнася до тристранен подход, при който ексфилтрирането и криптирането на данни се съчетава с разпределени атаки за отказ на услуга (DDoS) срещу целите в опит да се наруши дейността им и да бъдат принудени да платят откупа.

Според Cyble услугата DDoS се предлага срещу допълнителна такса от 500 000 USD, като операторите налагат условия, които забраняват на филиалите да нанасят удари по структури, разположени в страните от Общността на независимите държави (ОНД).

Източник: The Hacker News

Подобни публикации

12 февруари 2025

Deepfake, изкуствен интелект, регулации - опред...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на Полиграфическия комбина...
12 февруари 2025

Несправедливата реалност на киберинцидентите

Неотдавна мой чудесен колега се контузи доста тежко по време на зим...
12 февруари 2025

SAP пуска 21 кръпки за сигурност

Производителят на корпоративен софтуер SAP обяви във вторник пускан...
12 февруари 2025

Intel поправи 374 уязвимости през 2024 г.

През календарната 2024 г. Intel е поправила общо 374 уязвимости в с...
11 февруари 2025

Ключови фигури от Phobos и 8Base са арестувани ...

Координирана международна акция на правоприлагащите органи миналата...
11 февруари 2025

Поведенчески анализ в киберсигурността: Кой има...

Тъй като разходите за нарушаване на сигурността на данните продължа...
11 февруари 2025

120 хил. жертви са компрометирани при атака с р...

В Бейнбридж, щата Джорджия, малката болница Memorial Hospital and M...
11 февруари 2025

Lee Enterprises се възстановява от кибератака

Вестникарската компания очаква разследването да отнеме известно вре...
Бъдете социални
Още по темата
12/02/2025

Intel поправи 374 уязвимост...

През календарната 2024 г. Intel е...
11/02/2025

120 хил. жертви са компроме...

В Бейнбридж, щата Джорджия, малката болница...
11/02/2025

Lee Enterprises се възстано...

Вестникарската компания очаква разследването да отнеме...
Последно добавени
12/02/2025

Deepfake, изкуствен интелек...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на...
12/02/2025

Несправедливата реалност на...

Неотдавна мой чудесен колега се контузи...
12/02/2025

SAP пуска 21 кръпки за сигу...

Производителят на корпоративен софтуер SAP обяви...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!