“Стар приятел, познат от Windows системите, се завръща на полето

“Стар другар ”, прочут от Windows системите, се завръща на полето на рансъмуер, този път за Linux (снимка: CC0 Public Domain)

Специалисти по киберсигурност откриха Linux вид на рансъмуера TargetCompany, който преди този момент атакуваше бази данни в среди на Windows. Новата версия е направена по много интелигентен метод.

На сцената на киберпрестъпността се завръща “стар другар ”, който в действителност в никакъв случай не си е тръгвал. Експертите на Trend Micro идентифицираха нов вид на рансъмуера TargetCompany, този път ориентиран към системи, работещи под Linux.

С негова помощ нападателите нападат интензивно среди за виртуализация на VMware ESXi, като употребяват специфичен шел скрипт за инжектиране и пускане на злонамерени задания.

TargetCompany е фамозен още като Mallox, FARGO и Tohnichi. Откриването му датира от юни 2021 година Известен е основно като Windows рансъмуер. Използва се сполучливо против MySQL, Oracle и SQL Server бази данни, притежавани от организации в Тайван, Южна Корея, Тайланд и Индия.

През февруари 2022 година доставчикът на антивируси Avast разгласи безвъзмезден инструмент за дешифриране на файлове, блокирани от TargetCompany. Групата, която употребява този рансъмуер при офанзиви, замря за известно време, само че през септември възобнови постоянните офанзиви. Нейните жертви бяха основно уязвими Microsoft SQL сървъри.

Новооткритият вид за Linux на собствен ред нападна среди на VMware, като криптира по-специално всички файлове с разширения vmdk, vmem, vswp, vmx, vmsn и nvram и прибавя лично уголемение.locked.

Една сполучлива офанзива против среда за виртуализация може да докара до прекъсване на процесите за всички клиенти, които сега употребяват тази среда, разясняват експерти по сигурност. Виртуалните хост оператори в този случай се оказват под голям напън, защото не са единствените, които губят време и пари.
още по темата
Експертите на Trend Micro означават, че този път нападателите употребяват нова техника: с цел да заобиколят ограниченията за сигурност, те пускат скрипт PowerShell и камуфлажни пакети (Fully Undetectable Packers – FUD).

Публикацията на Trend Micro не споделя нищо за това по какъв начин тъкмо нападателите доставят този скрипт в системата. Но още при започване на офанзивата атакуващите към този момент имат първичен достъп – посредством уязвими, хакнати SQL сървъри.

След първичното евакуиране скриптът PowerShell зарежда и извършва главната злонамерена задача. Той ревизира средата, в която работи, и изпраща на контролния сървър информация за името на хоста, IP адреса, операционната система, както и обвързваните сега консуматори и техните привилегии, неповторими идентификатори – и детайлности за криптирани файлове и директории.

След това се започва процесът на криптиране на файла и се генерира искане за откуп. След привършване на всички тези процедури зловредният програмен продукт се пробва да отстрани всички следи от наличието си в системата, с цел да усложни последващото следствие.

Според анализаторите на Trend Micro, офанзивите против Linux системи се правят от един от сътрудниците на главния оператор TargetCompany – група, наречена Vampire. Преди това същата група извършваше постоянни офанзиви против MS SQL бази данни.

Изследванията на Trend Micro демонстрират, че IP адресите, свързани с доставката на злотворен програмен продукт, принадлежат на мрежи на ISP в Китай, само че това не е задоволително за недвусмислено приписване на офанзивата на китайски хакери.

Текущите итерации на TargetCompany също извеждат поверителни данни към атакуващите сървъри. Впоследствие операторите на рансъмуер в допълнение изнудват жертвите, като разгласяват тази информация в Telegram.