Эксперты выявили варианты шифровальщика Hive, нацеленного на Linux и FreeBSD. Судя по всему, эти версии программы недоработаны: они содержат массу ошибок или не срабатывают вовсе.
Разработчики известного шифровальщика Hive создали версии вредоноса, нацеленные на Linux и FreeBSD. Ранее эта программа атаковала только системы под Windows. Hive впервые был замечен в июне 2021 г. С тех пор атакам этого шифровальщика подверглись не менее 30 организаций (и это только те, кто отказался платить выкуп).
Сэмплы вредоноса, перехваченные экспертами фирмы ESET, оказались полны ошибок. В некоторых случаях шифрование не срабатывало вообще — в частности, когда программа запускалась с явно указанным путем.
Более того, программа пытается записывать сообщение с требованием выкупа в корневой каталог операционной системы, но это требует полномочий суперпользователя (root). Если вредонос не обладает такими привилегиями, шифрование не запускается.
Эксперты также выяснили, что новые варианты Hive поддерживают только один параметр командной строки (-no-wipe), в то время как вариант под Windows поддерживает до пяти параметров запуска.
Все это указывает на то, что варианты Hive под Linux и FreeBSD находятся в стадии активной разработки, и что пройдет еще какое-то время, прежде чем они достигнут зрелого уровня.
«Разработка вариантов Windows-шифровальщиков под Linux порой требует больших усилий, но, с точки зрения злоумышленников, игра стоит свеч: под Linux работают системы виртуализации и многие серверы; шифрование всех данных на них заведомо нанесет больший ущерб и вероятность выплаты выкупа также оказывается куда большей, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEQ. — Сейчас, когда версии шифровальщика под Linux/FreeBSD оказались подсвеченными еще до готовности, его создателям придется потратить дополнительные усилия и время, чтобы сделать его менее заметным».
Многие другие шифровальщики также пытаются атаковать системы под Linux. Их главным образом интересуют корпоративные системы виртуализации, шифрование которых наносит куда больший ущерб, чем атака на отдельные рабочие станции или даже серверы.
В частности, в июне 2021 г. группировка REvil запустила новую версию своего шифровальщика, нацеленную на виртуальные машины VMware ESXi. Этому примеру в той или иной степени последовали также шифровальщики Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty; у них у всех есть версии, нацеленные на Linux.
При этом как минимум некоторые из них содержат фатальные дефекты, приводящие к необратимому повреждению данных при шифровании. Это, в частности, касается RansomExx. Впрочем, подобные «недочеты» не мешают злоумышленникам продолжать требовать выкуп с жертв.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.