Создатели вымогательского ПО Hive перевели свой Linux-шифровальщик VMware ESXi на язык программирования Rust и добавили несколько новых функций, усложняющих исследователям задачу по наблюдению за переговорами между жертвами и вымогателями.
Видео дня
Поскольку предприятия становятся все более зависимыми от виртуальных машин для экономии вычислительных ресурсов, консолидированных серверов и более быстрого резервного копирования, операторы вымогательского ПО создают специальные шифровальщики под эти сервисы.
Linux-шифровальщики обычно атакуют платформы виртуализации VMware ESXI, поскольку они чаще всего используются на предприятиях.
Хотя вымогатели Hive используют Linux-шифровальщик для атак на серверы VMware ESXi уже некоторое время, судя по новым образцам, они обновили шифровальщик, добавив в него функции, впервые появившиеся в вымогательском ПО BlackCat/ALPHV.
Когда вымогатели атакуют жертву, они стремятся вести с ней переговоры о выкупе строго конфиденциально. Однако, когда образец шифровальщика попадает на открытые сервисы для анализа вредоносного ПО, их сразу же изучают исследователи, которые находят записку с требованием выкупа и могут наблюдать за течением переговоров. Во многих случаях переговоры публикуются в открытом доступе, и сделка по уплате выкупа срывается.
Для того чтобы этого избежать, операторы BlackCat удалили из своего шифровальщика URL-адреса страниц в Tor, где ведутся переговоры. Вместо этого URL-адрес проходит в качестве аргумента командной строки в процессе выполнения вымогательского ПО. И-за этого изучающие шифровальщик исследователи не могут получить URL-адрес страниц, где ведутся переговоры.
Хотя Hive и ранее требовал имя пользователя и пароль для доступа к странице переговоров в Tor, эти учетные данные хранились в исполняемом файле шифровальщика, что облегчало их получение.
Новый шифровальщик Hive, обнаруженный исследователем безопасности rivitna компании Group-IB, теперь требует от злоумышленника указывать имя пользователя и пароль для входа в качестве аргумента командной строки при запуске вредоносного ПО. Скопировав тактику BlackCat, Hive сделал невозможным получение учетных данных для входа в систему из образцов шифровальщика, поскольку отныне они доступны только в записках о выкупе, созданных во время атаки.
Кроме того, Hive теперь использует не язык программирования Golang, а Rust, что повысило его производительность и усложнило реверс-инжиниринг.