Анализът на варианта за Linux на нов щам рансъмуер, наречен BlackSuit, откри значителни прилики с друго семейство рансъмуер, наречено Royal.
Компанията Trend Micro, която е изследвала x64 версията на VMware ESXi, насочена към машини с Linux, заяви, че е установила „изключително висока степен на сходство“ между Royal и BlackSuit.
„Всъщност те са почти идентични, с 98% сходство във функциите, 99,5% сходство в блоковете и 98,9% сходство в скоковете въз основа на BinDiff, инструмент за сравнение на двоични файлове“, отбелязват изследователите от Trend Micro.
Сравнението на артефактите на Windows е установило 93,2% сходство във функциите, 99,3% в основните блокове и 98,4% в скоковете въз основа на BinDiff.
За първи път BlackSuit стана известен в началото на май 2023 г., когато Palo Alto Networks Unit 42 обърна внимание на способността му да се насочва както към хостове с Windows, така и към такива с Linux.
В унисон с други групи за откуп, той изпълнява двойна схема за изнудване, която краде и криптира чувствителни данни в компрометирана мрежа в замяна на парична компенсация. Данните, свързани с една-единствена жертва, са посочени в нейния сайт за изтичане на данни в тъмната мрежа.
Последните констатации на Trend Micro показват, че както BlackSuit, така и Royal използват AES на OpenSSL за криптиране и използват сходни техники за криптиране с прекъсвания, за да ускорят процеса на криптиране.
Като оставим настрана съвпаденията, BlackSuit включва допълнителни аргументи от командния ред и избягва различен списък с файлове със специфични разширения по време на изброяването и криптирането.
„Появата на рансъмуера BlackSuit (с неговите прилики с Royal) показва, че той е или нов вариант, разработен от същите автори, или подражател, използващ подобен код, или филиал на бандата на рансъмуера Royal, който е въвел модификации в оригиналното семейство“, заявиха от Trend Micro.
Като се има предвид, че Royal е разклонение на някогашния екип на Conti, възможно е също така „BlackSuit да е възникнал от отцепническа група в рамките на оригиналната банда Royal ransomware“, теоретизира компанията за киберсигурност.
Разработката още веднъж подчертава постоянното състояние на движение в екосистемата на рансъмуера, дори когато се появяват нови банди, за да усъвършенстват съществуващите инструменти и да генерират незаконни печалби.
Това включва нова инициатива „ransomware-as-a-service“ (RaaS) с кодово име NoEscape, която според Cyble позволява на нейните оператори и филиали да се възползват от тройни методи за изнудване, за да увеличат въздействието на успешна атака.
Тройното изнудване се отнася до тристранен подход, при който ексфилтрирането и криптирането на данни се съчетава с разпределени атаки за отказ на услуга (DDoS) срещу целите в опит да се наруши дейността им и да бъдат принудени да платят откупа.
Според Cyble услугата DDoS се предлага срещу допълнителна такса от 500 000 USD, като операторите налагат условия, които забраняват на филиалите да нанасят удари по структури, разположени в страните от Общността на независимите държави (ОНД).
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.