Group IB

Новое слово в индустрии шифровальщиков — зловреды, которые могут атаковать разные операционные системы

20.07.2022
Новое слово в индустрии шифровальщиков — зловреды, которые могут атаковать разные операционные системы

Эксперты «Лаборатории Касперского» обнаружили новую кибергруппу, Luna, которая атакует компании с помощью программ-вымогателей. Злоумышленники используют зловред, написанный на кросс-платформенном языке Rust. Это позволяет легко адаптировать его для разных операционных систем и одновременно атаковать устройства, работающие на Windows, Linux и ESXi. Эта группа своей деятельностью подтверждает современный тренд в создании вредоносного ПО — переход на кросс-платформенную функциональность.

Исследователи обнаружили в дарквебе объявление, в котором утверждается, что Luna работает только с русскоязычными партнёрами. Более того, их требование выкупа на английском языке написано с ошибками. Эти факты в совокупности дают основания предполагать, что Luna — русскоязычный актор. Данных о жертвах пока немного, но эксперты внимательно следят за деятельностью этой группы.

Ещё одна недавно обнаруженная кибергруппа, Black Basta, применяет схожий инструментарий. Она использует для создания программ-вымогателей новый вариант вредоносного ПО, написанного на C++. Зловред впервые был замечен исследователями в феврале 2022 года. С тех пор Black Basta атаковала более 40 жертв, в основном в США, Европе и Азии.

И Luna, и Black Basta нацелены не только на Windows и Linux, но и на ESXi, это ещё один тренд 2022 года. ESXi — это гипервизор*, который может независимо использоваться на любой операционной системе. Многие компании мигрировали на виртуальные машины, работающие на ESXi, и атакующим стало легче шифровать данные жертв.

«Мы видим всё больше групп, которые используют кросс-платформенные языки для написания вымогательского ПО. Это позволяет им развёртывать свои зловреды в разных операционных системах. Число атак на виртуальные машины ESXi стремительно растёт, и мы ожидаем, что всё большее количество кибергрупп будут использовать эту стратегию», — рассказывает Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».

Подробнее о новых техниках и тактиках в области применения программ-вымогателей можно узнать по ссылке.

Чтобы защитить бизнес от атак программ-вымогателей, «Лаборатория Касперского» напоминает компаниям о необходимости соблюдать следующие меры:

  • не допускать возможность подключения к службам удалённого рабочего стола (таким как RDP) из общественных сетей; настроить политики безопасности таким образом, чтобы использовать надёжные пароли для этих служб;
  • сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
  • использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности, такие как Kaspersky Symphony XDR: эта платформа содержит в себе в том числе системы обнаружения и реагирования, которые помогут распознавать и останавливать атаки на ранних стадиях, до того как атакующие достигнут своих конечных целей;
  • проводить обучение сотрудников правилам кибербезопасности, например с помощью платформы Kaspersky Automated Security Awareness Platform;
  • предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталуKaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за 25 лет работы «Лаборатории Касперского». Свободный доступ к базовым функциям открыт по сcылке https://opentip.kaspersky.com /.

* ПО, которое позволяет распределять вычислительные ресурсы устройства между разными операционными системами и запускать их одновременно.