Операторы REvil создали Linux-версию шифровальщика для атак на ESXi

Операторы REvil создали Linux-версию шифровальщика для атак на ESXi

Операторы REvil создали Linux-версию шифровальщика для атак на ESXi

Операторы REvil теперь используют в кибератаках новую Linux-версию шифровальщика, адаптированную под виртуальные машины Vmware ESXi. Этот шаг злоумышленников выглядит вполне логичным, поскольку организации в последнее время переходят на виртуалки для более удобного резервного копирования и управления устройствами.

В мае специалист по информационной безопасности Елисей Богуславский поделился с сообществом постом с форума операторов REvil. В этом сообщении преступники сообщали о выходе Linux-версии шифровальщика, который теперь может свободно работать на NAS-устройствах.

 

Сегодня аккаунт MalwareHunterTeam в Twitter подтвердил существование версии вымогателя REvil (также известен как Sodinokibi) для Linux. Этот образец, согласно наблюдению специалистов, атакует серверы ESXi.

Виталий Кремец решил присоединиться к анализу нового семпла и обнаружил, что он представляет собой исполняемый файл ELF64, а его конфигурация ничем не отличается от более распространённой Windows-версии.

Как отметил Кремец в беседе с представителями BleepingComputer, это первый вариант вредоносной программы, заточенный именно под Linux. Если атакующему удастся запустить зловред на сервере, он сможет указать конкретный путь, по которому будут шифроваться файлы жертвы.

Фабиан Уосар из Emsisoft тоже поделился своим мнением, отметив, что некорректное завершение работы виртуальной машины может привести к повреждению затронутых файлов. При этом злоумышленники могут зашифровать множество серверов за раз всего лишь с помощью одной команды.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Мошенники активизировали вербовку дропов

Эксперты, которые ведут мониторинг активности киберпреступников, зафиксировали в октябре-ноябре рост на 30% количества объявлений, связанных с покупкой банковских карт.

Особенно высоким спросом пользуются карты региональных банков и тех, которые являются элементами экосистем маркетплейсов.

Данную активность специалисты связали с тем, что финансовые учреждения стали чаще блокировать подозрительные счета, и аферистам понадобились новые дропы, чьи счета не успели попасть в «черные списки» Банка России.

Также из-за активности мошенников в стоп-листы Центробанка могут попадать и вполне законопослушные граждане.

Интернет-аналитик Максим Горбунов, который занимается изучением рынка дропов, связал в комментарии для «Известий» рост активности злоумышленников также с совершенствованием антиотмывочных процедур у банков.

Эти меры диктуют новые требования, которые появились в поправках к закону «О национальной платежной системе», принятые в июле 2024 года.

По оценкам Максима Горбунова, карты крупнейших банков продолжают пользоваться у злоумышленников наиболее высоким спросом. Но он отметил рост интереса аферистов к клиентам мелких банков, в том числе входящих в экосистемы маркетплейсов.

В качестве дропов мошенники обычно вербуют подростков и людей, оказавшихся в сложной жизненной ситуации. Как отметили эксперты, опрошенные «Известиями», их привлекают под видом удаленной работы или помощи бизнесу, обещая определенный доход за переводы через свои счета. Всего, по оценкам Сбербанка, в России около 2 миллионов дропперов.

«Обычно дропперами становятся подростки и уязвимые слои населения, — пояснила «Известиям» руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина. — Но надо понимать, что иногда человек может стать дроппером и неосознанно: например, мошенники отправляют на номер телефона некоторую сумму, потом пишут, что ошиблись, и просят вернуть деньги на определенную карту или счет».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru