Арсенал шифровальщика LockBit дополнили модулем для macOS-устройств

Арсенал шифровальщика LockBit дополнили модулем для macOS-устройств

Арсенал шифровальщика LockBit дополнили модулем для macOS-устройств

Неделю назад на VirusTotal был загружен ZIP-файл, который при проверке был опознан как LockBit. Вредоносный архив содержит набор шифраторов: 16 экзешников ELF и один Mach-O. Анализ показал, что последний — это тестовый образец, которому не хватает ряда функций для правильной работы.

Шифровальщик LockBit до сих пор использовался, и крайне успешно, для атак на корпоративные серверы Windows, Linux и ESXi. Обнаруженный экспертами бандл был создан 20 марта: по состоянию на 17 апреля его распознают 36 из 63 антивирусов из коллекции VirusTotal.

Новый набор шифраторов зловреда нацелен в основном на Linux/ESXi/FreeBSD и поддерживает ряд CPU-архитектур: ARM/AArch, MIPS64, SPARC, s390x, PowerPC. Файл Mach-O ориентирован на новейшие «яблочные» компьютеры на чипах Apple Silicon (M1) и пока плохо детектится (9/60 на 17 апреля).

Проведенный в BleepingComputer анализ содержимого файла Mach-O показал, что в коде присутствуют строки, неуместные для macOS-зловреда. Так, в нем обнаружен список из 65 расширений и имен файлов-исключений, ассоциируемых с Windows. Кроме того, были найдены многочисленные ссылки на ESXi, хотя VMware однозначно заявила, что не будет поддерживать Apple M1.

Почти все строки, имеющие отношение к ESXi и Windows, также присутствуют в шифраторах LockBit для MIPS и FreeBSD, что может свидетельствовать об общей кодовой базе. Все эти сборки показались аналитикам сырыми, не готовыми к развертыванию в атаках.

Выводы BleepingComputer подтвердили Азим Ходжибаев из Cisco Talos и специалист по macOS-угрозам Патрик Уордль (Patrick Wardle). Последний при этом отметил, что M1-шифратору для корректной работы не хватает некоторых функций, а также отсутствует адекватная цифровая подпись.

По мнению Уордля, шифратор LockBit для M1 основан на Linux-версии кода и пока не учитывает специфику macOS. При его запуске происходит сбой из-за ошибки переполнения буфера, поэтому на настоящий момент зловред не способен нанести большой вред.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышла версия ViPNet SafeBoot 3.2 с поддержкой ARM-платформ

Компания «ИнфоТеКС» выпустила новую версию ViPNet SafeBoot 3.2 (исполнение 2). Главное нововведение — возможность встраивания в ARM-платформы.

ViPNet SafeBoot 3 — это модуль доверенной загрузки, который сертифицирован ФСБ и ФСТЭК России и используется для проверки целостности компонентов компьютера и операционной системы на этапе загрузки.

Особое внимание в новой версии уделили ARM-платформам. Раньше заказчики часто отказывались от них, потому что было сложно пройти аттестацию рабочих мест: не хватало надёжных средств защиты на этапе загрузки ОС.

Теперь ViPNet SafeBoot 3.2 поддерживает ARM-платформы разных производителей и помогает решить эту проблему — создавая точку доверия к устройству и его системе.

Для работы на ARM-платформах ViPNet SafeBoot 3.2 требует наличия UEFI-окружения. Его можно реализовать с помощью EDK II — открытого проекта для создания UEFI-загрузчиков.

Сейчас модуль адаптирован для ARM-чипов Broadcom 2711/2837 и RockChip 3566/3568. Также добавили поддержку токенов и смарт-карт Форос и ESMART ГОСТ.

Разработчики обещают продолжать расширять список поддерживаемых ARM-платформ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru