Вымогатели BlackCat усовершенствовали вывод данных и крадут пароли из Veeam

Вымогатели BlackCat усовершенствовали вывод данных и крадут пароли из Veeam

Вымогатели BlackCat усовершенствовали вывод данных и крадут пароли из Veeam

При разборе августовских атак шифровальщика BlackCat/ALPHV эксперты Symantec (те, что ушли под крыло Broadcom) обнаружили новый, более скрытный вариант инструмента эксфильтрации данных Exmatter. Наблюдатели также отметили случай использования дополнительного зловреда — инфостилера Eamfo, умеющего воровать учетные данные, сохраненные с помощью Veeam.

Кросс-платформенного вредоноса BlackCat, которого в Symantec называют Noberus, многие считают преемником BlackMatter и Darkside. Операторы шифровальщика постоянно обновляют свои техники и тактики, стараясь повысить эффективность атак.

Использование Exmatter позволяет вымогателям незаметно выкачивать из корпоративной сети данные — до запуска шифрования. Украденная информация тоже становится средством шантажа: ее грозят опубликовать в случае неуплаты выкупа за ключ расшифровки.

Создатели новой версии Exmatter сократили список расширений для поиска файлов до 19 позиций (.pdf, .doc, .docx, .xls, .xlsx, .png, .jpg, .jpeg, .txt, .bmp, .rdp, .txt, .sql, .msg, .pst, .zip, .rtf, .ipt, .dwg). Из других нововведений аналитики отметили следующие:

  • вывод данных через FTP, в дополнение к SFTP и WebDav;
  • создание отчета со списком всех обработанных файлов;
  • порча файлов при обработке (функциональность пока отключена);
  • самоудаление при отсутствии корпоративного окружения (за пределами домена Active Directory);
  • снятие с поддержки Socks5;
  • развертывание с помощью групповых политик Windows.

Анализ также показал, что вредоносный код в значительной мере переписан — даже сохранившиеся функции реализованы заново и по-иному. По всей видимости, вирусописатели надеялись таким образом повысить вероятность обхода средств обнаружения.

В конце августа была зафиксирована атака BlackCat с использованием Eamfo (эксперты сочли ее делом рук одного из аффилиатов RaaS-сервиса). Этот инфостилер имеет узкую специализацию: крадет учетные данные только из бэкапов Veeam.

С этой целью он подключается к базе данных SQL, которую использует софт для резервного копирования, и посылает особый запрос. Полученные данные предоставляются оператору уже в расшифрованном виде, чтобы тот мог использовать их для своих нужд — повышения привилегий, дальнейшего продвижения по сети.

По данным экспертов, Eamfo появился на интернет-арене не позднее августа прошлого года и был также замечен в атаках других шифровальщиков — Yanluowang, LockBit.

Авторы той же BlackCat-атаки с инфостилером применили еще один инструмент — сканер GMER, нацеленный на поиск руткитов. Злоумышленникам он помог принудительно завершить неугодные процессы в скомпрометированных системах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сообщество разработчиков Linux хочет снять с поддержки CPU i486 и i586

Разработчик ядра Linux Инго Молнар (Ingo Molnar) вновь поднял в сообществе вопрос о снятии с поддержки устаревших процессоров Intel 486 и ранних моделей Intel 586 — антиквариата, которым, по его словам, почти никто уже не пользуется.

Предложенный Молнаром набор патчей позволит существенно сэкономить время на обеспечении совместимости, оставив в силе поддержку лишь 32-битных Pentium со счетчиком меток времени (TSC), умеющих работать с инструкцией CMPXCHG8B.

Срок поддержки x86-32 во многих дистрибутивах заканчивается, а Linux упорно продолжает тащить наследие 90-х, тогда как отказ от него снизил бы сложность кода и трудоемкость техобслуживания.

«В x86-32 предусмотрено множество аппаратных средств эмуляции для поддержки древних 32-битных CPU, которые сейчас используют единицы, — подчеркивает Молнар, озвучивая свое предложение. — Необходимость обеспечения совместимости иногда даже вызывает проблемы, на решение которых приходится тратить драгоценное время».

В 2012 году по той же причине сообщество Linux сняло с поддержки Intel 386, а в 2019-м Линус Торвальдс предложил также распрощаться с дискетами. Вопрос о депрекации Intel 486 создатель ядра Linux поднял в 2022 году, но тогда обсуждение в сообществе не дало искомого результата; возможно, на этот раз консенсус будет достигнут.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru