Шифровальщик TargetCompany расширил арену атак на Linux и VMware

Изменения в тактике киберпреступников привлекли внимание аналитиков Trend Micro. Теперь шифровальщик TargetCompany, известный атаками на Windows, расширил своё поле действия до операционных систем Linux и виртуализационных платформ VMware ESXi. Злоумышленники обновили вредоносное ПО, позволяя ему работать через специализированные шелл-скрипты, что угрожает безопасности корпоративных виртуальных сред.

Ранее шифровальщик был замечен в атаках на базы данных компаний в Азии, включая системы MySQL, Oracle и SQL Server. После временного затишья, вызванного разработкой инструмента для дешифровки файлов от Avast, активность TargetCompany возобновилась, на этот раз с новыми методами обхода защиты.

Атаки начинаются с компрометации SQL-серверов, за которой следует загрузка скрипта PowerShell. Этот скрипт загружает основную вредоносную нагрузку, которая анализирует окружение, шифрует данные и отправляет сведения о зараженной системе на серверы управления. Важность защиты от таких атак подчеркивает эксперт Михаил Зайцев, отмечая, что последствия для виртуализированных сред могут быть разрушительными.

Зайцев рекомендует принимать профилактические меры, поскольку атака на виртуализационную среду может привести к масштабной остановке работы, ударяя по множеству клиентов одновременно. Это создает огромное давление на операторов виртуальных хостов, подвергая их риску потери времени и ресурсов.

Кроме того, атаки сопровождаются угрозами публикации украденной информации, усиливая давление на жертв с целью получения выкупа. Исследование Trend Micro также указывает на то, что IP-адреса, связанные с доставкой вредоноса, принадлежат китайским провайдерам, хотя это не является окончательным доказательством вины.