Търсене
Close this search box.

Анализът на варианта за Linux на нов щам рансъмуер, наречен BlackSuit, откри значителни прилики с друго семейство рансъмуер, наречено Royal.

Компанията Trend Micro, която е изследвала x64 версията на VMware ESXi, насочена към машини с Linux, заяви, че е установила „изключително висока степен на сходство“ между Royal и BlackSuit.

„Всъщност те са почти идентични, с 98% сходство във функциите, 99,5% сходство в блоковете и 98,9% сходство в скоковете въз основа на BinDiff, инструмент за сравнение на двоични файлове“, отбелязват изследователите от Trend Micro.

Сравнението на артефактите на Windows е установило 93,2% сходство във функциите, 99,3% в основните блокове и 98,4% в скоковете въз основа на BinDiff.

За първи път BlackSuit стана известен в началото на май 2023 г., когато Palo Alto Networks Unit 42 обърна внимание на способността му да се насочва както към хостове с Windows, така и към такива с Linux.

В унисон с други групи за откуп, той изпълнява двойна схема за изнудване, която краде и криптира чувствителни данни в компрометирана мрежа в замяна на парична компенсация. Данните, свързани с една-единствена жертва, са посочени в нейния сайт за изтичане на данни в тъмната мрежа.

Последните констатации на Trend Micro показват, че както BlackSuit, така и Royal използват AES на OpenSSL за криптиране и използват сходни техники за криптиране с прекъсвания, за да ускорят процеса на криптиране.

Като оставим настрана съвпаденията, BlackSuit включва допълнителни аргументи от командния ред и избягва различен списък с файлове със специфични разширения по време на изброяването и криптирането.

„Появата на рансъмуера BlackSuit (с неговите прилики с Royal) показва, че той е или нов вариант, разработен от същите автори, или подражател, използващ подобен код, или филиал на бандата на рансъмуера Royal, който е въвел модификации в оригиналното семейство“, заявиха от Trend Micro.

Като се има предвид, че Royal е разклонение на някогашния екип на Conti, възможно е също така „BlackSuit да е възникнал от отцепническа група в рамките на оригиналната банда Royal ransomware“, теоретизира компанията за киберсигурност.

Разработката още веднъж подчертава постоянното състояние на движение в екосистемата на рансъмуера, дори когато се появяват нови  банди, за да усъвършенстват съществуващите инструменти и да генерират незаконни печалби.

Това включва нова инициатива „ransomware-as-a-service“ (RaaS) с кодово име NoEscape, която според Cyble позволява на нейните оператори и филиали да се възползват от тройни методи за изнудване, за да увеличат въздействието на успешна атака.

Тройното изнудване се отнася до тристранен подход, при който ексфилтрирането и криптирането на данни се съчетава с разпределени атаки за отказ на услуга (DDoS) срещу целите в опит да се наруши дейността им и да бъдат принудени да платят откупа.

Според Cyble услугата DDoS се предлага срещу допълнителна такса от 500 000 USD, като операторите налагат условия, които забраняват на филиалите да нанасят удари по структури, разположени в страните от Общността на независимите държави (ОНД).

Източник: The Hacker News

Подобни публикации

7 ноември 2024

Nokia: Hяма доказателства, че хакери са проникн...

Както писахме още в неделя, Nokia разследва предполагаема кибератак...
7 ноември 2024

Ботнетът за Android "ToxicPanda" поразява банки...

Изследователите определиха нов ботнет на сцената, за който първонач...
7 ноември 2024

Бандите все по-често използват комплектът Winos...

Хакерите все по-често се насочват към потребителите на Windows със ...
7 ноември 2024

Notepad ще получи инструмент за пренаписване, з...

Microsoft започна да тества инструменти за пренаписване на текст в ...
7 ноември 2024

Бъг в Cisco позволява да се изпълняват команди ...

Cisco е отстранила уязвимост с максимална степен на сериозност, коя...
7 ноември 2024

SteelFox превзема компютри с Windows, използвай...

Нов зловреден пакет, наречен „SteelFox“, добива криптовалута и крад...
6 ноември 2024

Системите на съдилищата в щата Вашингтон са офл...

Съдебните системи в щата Вашингтон не функционират от неделя, когат...
6 ноември 2024

Германия готви закон за защита на белите хакери

Федералното министерство на правосъдието в Германия е изготвило зак...
Бъдете социални
Още по темата
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

SteelFox превзема компютри ...

Нов зловреден пакет, наречен „SteelFox“, добива...
Последно добавени
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

Бандите все по-често използ...

Хакерите все по-често се насочват към...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!