Kaspersky: шифровальщик LockBit Green содержит 25% исходников Conti

Kaspersky: шифровальщик LockBit Green содержит 25% исходников Conti

Kaspersky: шифровальщик LockBit Green содержит 25% исходников Conti

В «Лаборатории Касперского» проанализировали найденный в феврале образец LockBit Green и пришли к выводу, что авторы новой версии шифровальщика позаимствовали четверть кодовой базы Conti, в том числе его криптосхему.

Исходные коды Conti были слиты в Сеть в марте прошлого года, что ожидаемо спровоцировало появление новых модификаций некогда грозного зловреда. Готовые тексты заинтересовали также разработчиков LockBit, которые любят экспериментировать с различными шифраторами.

Так, например, в список параметров командной строки LockBit были добавлены флаги, которые ранее использовали операторы Conti. В целом версия Green, по данным Kaspersky, поддерживает восемь таких параметров:

  • -p folder — шифрование выбранной папки в одном потоке;
  • -m local — шифрование всех доступных дисков с разделением потоков;
  • -m net — шифрование всех сетевых папок в раздельных потоках;
  • -m all — шифрование всех доступных дисков и сетевых папок с отдельным потоком в каждом случае;
  • -m backups — в найденных версиях флаг недоступен для использования, но вписан в код шифровальщика;
  • -size chunk — шифрование только части файлов;
  • -log file.log — регистрация каждого действия шифровальщика;
  • -nomutex — пропуск создания мьютекса.

Схема шифрования LockBit Green тоже позаимствована у Conti. Для преобразования файлов используется кастомная реализация ChaCha8, произвольные ключ и одноразовый код генерируются по месту. Для защиты таких секретов вредонос снабжен открытым ключом RSA, который жестко прописан в коде.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышла версия ViPNet SafeBoot 3.2 с поддержкой ARM-платформ

Компания «ИнфоТеКС» выпустила новую версию ViPNet SafeBoot 3.2 (исполнение 2). Главное нововведение — возможность встраивания в ARM-платформы.

ViPNet SafeBoot 3 — это модуль доверенной загрузки, который сертифицирован ФСБ и ФСТЭК России и используется для проверки целостности компонентов компьютера и операционной системы на этапе загрузки.

Особое внимание в новой версии уделили ARM-платформам. Раньше заказчики часто отказывались от них, потому что было сложно пройти аттестацию рабочих мест: не хватало надёжных средств защиты на этапе загрузки ОС.

Теперь ViPNet SafeBoot 3.2 поддерживает ARM-платформы разных производителей и помогает решить эту проблему — создавая точку доверия к устройству и его системе.

Для работы на ARM-платформах ViPNet SafeBoot 3.2 требует наличия UEFI-окружения. Его можно реализовать с помощью EDK II — открытого проекта для создания UEFI-загрузчиков.

Сейчас модуль адаптирован для ARM-чипов Broadcom 2711/2837 и RockChip 3566/3568. Также добавили поддержку токенов и смарт-карт Форос и ESMART ГОСТ.

Разработчики обещают продолжать расширять список поддерживаемых ARM-платформ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru