În conjuncţie cu popularitatea în creştere a ransomware-ului pe mai multe platforme, Kaspersky a descoperit noi grupări de ransomware care au învăţat să-şi adapteze malware-ul la diferite sisteme de operare în acelaşi timp - şi, prin urmare, provoacă daune mai multor organizaţii, conform unui comunicat de presă remis Redacţiei.
Potrivit sursei citate, investigaţia recentă a experţilor Kaspersky a scos la iveală activitatea RedAlert şi Monster - grupuri care au reuşit să efectueze atacuri asupra diferitelor sisteme de operare fără a apela la limbaje-multiplatformă. În plus, experţii au descris exploatările 1-day care pot fi executate de grupurile de ransomware pentru a-şi atinge obiectivele financiare.
În 2022, cercetătorii de securitate Kaspersky au fost martori la utilizarea prolifică a facilităţilor multiplatformă de către grupurile de ransomware. În prezent, acestea urmăresc să atace cât mai multe sisteme posibile prin adaptarea codurilor lor malware la mai multe sisteme de operare în acelaşi timp. Kaspersky a descris deja astfel de grupuri care au folosit limbaje-multiplatform Rust sau Golang - de exemplu, Luna sau BlackCat. Cu toate acestea, acum grupările de ransomware raportate implementează programe malware care nu sunt scrise într-un limbaj-multiplatform, dar pot viza diferite sisteme de operare simultan.
Una dintre grupări, RedAlert, foloseşte programe malware scrise în C simplu - aşa cum a fost detectat în eşantionul Linux. Cu toate acestea, malware-ul dezvoltat de RedAlert acceptă în mod explicit mediile ESXi. Mai mult, site-ul web RedAlert onion oferă un program de decriptare pentru descărcare - din păcate, nu există date suplimentare disponibile, cum ar fi dacă este scris în limbaj multiplatform sau nu.
Un alt aspect care diferenţiază RedAlert de alte grupuri de ransomware este că acceptă doar plăţi în criptomoneda Monero, ceea ce face ca banii să fie mai greu de urmărit. Deşi o astfel de abordare ar putea fi rezonabilă din punctul de vedere al infractorilor cibernetici, Monero nu este acceptat în fiecare ţară şi de fiecare centru de schimb valutar, astfel încât victimele s-ar putea confrunta cu o problemă în ceea ce priveşte plata răscumpărării.
Un alt grup de ransomware detectat în iulie 2022 este Monster, care aplică Delphi, un limbaj de programare de uz general pentru a-şi scrie malware-ul care, totuşi, se extinde pe diferite sisteme. Ceea ce face acest grup în mod deosebit este faptul că are o interfaţă grafică cu utilizatorul (GUI) - o componentă care nu a mai fost implementată niciodată de grupurile de ransomware. Mai mult, infractorii cibernetici au executat atacuri ransomware prin linia de comandă, într-un mod automat, în timpul unui atac ţintit în desfăşurare. Potrivit eşantionului extras de experţii Kaspersky, autorii ransomware-ului Monster au inclus GUI ca parametru opţional pentru linia de comandă.
GUI folosit de Monster
Monster a atacat utilizatorii din Singapore, Indonezia şi Bolivia.
Raportul emis de Kaspersky acoperă şi aşa-numitele exploit-uri 1-day utilizate pentru a ataca Windows 7-11. Exploit-ul 1-day se referă, de obicei, la exploatarea unei vulnerabilităţi deja corectate şi ridică întotdeauna o problemă privind politica de corecţie în cadrul organizaţiei afectate. Exemplul dat este despre vulnerabilitatea CVE-2022-24521 care permite unui atacator să obţină privilegii legate de sistem pe dispozitivul infectat. Atacatorii au avut nevoie de două săptămâni după ce vulnerabilitatea a fost dezvăluită, în aprilie 2022, pentru a dezvolta cele două exploit-uri. Deosebit de interesant la aceste exploit-uri este faptul că acceptă o varietate de versiuni Windows. Acest lucru indică de obicei că atacatorii vizează organizaţii comerciale. De asemenea, ambele exploit-uri partajează multe mesaje de depanare. Un caz detectat include atacuri asupra unui lanţ de retail din regiunea APAC - cu toate acestea, nu există date suplimentare despre ceea ce încercau infractorii cibernetici să obţină, se mai arată în comunicat.