Multiplatform ransomware: kasalukuyang kalagayan, mga pamilya, at mga depensa

Informatec Digital » Kayamanan » Multiplatform ransomware: kasalukuyang kalagayan, mga pamilya, at mga depensa

El Ang multiplatform ransomware ay naging isa sa pinakamalaking sakit ng ulo Ito ay mas seryosong banta sa mga negosyo, pampublikong katawan, at lahat ng uri ng organisasyon. Hindi na lamang natin pinag-uusapan ang mga virus na nakakaapekto sa mga computer na Windows, kundi tungkol sa mga pamilyang may kakayahang mag-encrypt ng data sa mga Linux server, ESXi hypervisor, virtual machine, at lalong-lalo na, ang paggamit ng artificial intelligence upang i-automate ang kanilang mga pag-atake.

Sa mga nakaraang taon ay nakita natin mga alon ng mga bagong pamilya ng ransomware na nakasulat sa Rust, Golang, o C++Ito ay humantong sa pagsabog ng mga modelo ng Ransomware-as-a-Service (RaaS) at mga kampanyang lubos na naka-target laban sa mga kritikal na imprastraktura at mga network ng korporasyon. Kasabay nito, ang mga incident response team at mga cybersecurity lab ay sumusuri sa mga panloob na paggana ng mga pag-atakeng ito, hinahanap ang mga kapintasan sa disenyo, naglalathala ng mga tool sa decryption, at idinodokumento ang lalong kumplikadong mga taktika, pamamaraan, at pamamaraan (TTP).

Ano ang cross-platform ransomware at bakit ito mabilis na lumaganap?

Kapag makipag-usap namin tungkol sa Ang multiplatform ransomware ay tumutukoy sa malware na kayang tumakbo sa higit sa isang operating system.Kadalasang Windows at Linux, at kadalasan din sa mga virtualization environment tulad ng VMware ESXi. Ang susi sa hakbang na ito ay nakasalalay sa paggamit ng mga modernong programming language tulad ng Rust, Golang, o, sa mas mababang antas, C/C++ na may mga architecture-specific builds.

Ang layunin ay malinaw: i-maximize ang epekto sa loob ng iisang network ng korporasyonKung makakakuha ng access ang mga attacker sa environment, gusto nilang ma-encrypt ang parehong user computer at server, domain controller, at NAS device (tingnan ang Proteksyon ng NAS), mga virtual machine, at anumang asset na nag-iimbak ng mahalagang impormasyon. Malaki ang naitutulong nito sa kapangyarihan ng ransom sa pakikipagnegosasyon.

Mga wika tulad ng Ang Rust at Golang ay hindi umaasa sa platform Pinapayagan nila ang medyo simpleng pag-compile ng mga binary para sa iba't ibang sistema at arkitektura (x86, x86_64, ARM, atbp.). Ito ay sinamantala ng mga grupo tulad ng BlackCat, Hive, Luna, Akira, PromptLock, at iba pang mga kamakailang pamilya, na hindi kuntento sa pag-atake lamang ng isang uri ng sistema.

Bukod pa rito, maraming grupong cybercriminal ang yumakap sa modelo ng Ransomware-as-a-Service (RaaS)Sa modelong ito, inuupahan ng mga developer ng malware ang kanilang platform sa mga affiliate. Ang mga affiliate na ito ang responsable sa pagkompromiso sa mga network at pag-deploy ng ransomware, kapalit ng pagbabahagi ng bayad sa ransom. Hinihikayat ng pamamaraang ito ang code na modular, madaling i-port, at maaaring gumana nang maayos sa maraming kapaligiran.

01flip: isang cross-platform na Rust ransomware na nakatuon sa Windows at Linux

Isa sa mga kamakailang pamilya na nagpapakita ng ganitong kalakaran ay 01flip, ransomware na buong nakasulat sa Rust na naobserbahang umaatake sa parehong sistema ng Windows at Linux sa mga network sa rehiyon ng Asia-Pacific, samakatuwid ang Pangangasiwa ng sistema ng Linux Ito ay mahalaga para sa pagtatanggol sa sarili. Iniugnay ito ng mga imbestigador sa aktibidad na sinusubaybayan bilang CL-CRI-1036, na nauugnay sa cybercrime na may motibasyon sa pananalapi.

Lumitaw ang mga unang palatandaan noong unang bahagi ng Hunyo 2025, nang masuri ang isang kahina-hinalang executable para sa Windows na nagpakita ng tipikal na pag-uugali ng ransomware sa isang nakahiwalay na kapaligiran. Ang binary ay hindi naka-pack o labis na natatakpan, na nagpadali sa pagkumpirma na ito ay tunay na Rust code. Ang pangalang 01flip ay nagmula sa extension na idinaragdag nito sa mga naka-encrypt na file (.01flip) at sa contact address sa ransom note (01Flip@protonme).

Kasunod nito, salamat sa pagsusuri ng mga sample sa mga platform ng pagbabahagi ng malware, natukoy isang bersyon ng Linux ng 01flip na hindi natukoy nang hindi bababa sa tatlong buwanAng paggamit ng Rust at cross-compilation ay nagbigay-daan sa mga umaatake na panatilihing halos magkapareho ang panloob na lohika ng parehong variant, na binabago lamang ang mga dependency na partikular sa platform.

Kagamitan tulad ng Ipinakita ng rustbininfo na ang bersyon ng Rust, commit hash, at karamihan sa mga library (mga crate) ay magkatugma. sa pagitan ng mga binary ng Windows at Linux. Ipinapahiwatig nito na muling ginagamit ng grupo ang parehong source code at nagko-compile para sa iba't ibang sistema na may kaunting pagbabago, isa sa mga pangunahing bentahe ng cross-platform na pamamaraang ito.

Kung tungkol sa aktwal na epekto, sa ngayon Maliit na bilang ng mga biktima ang naobserbahanBagama't ang ilan sa kanila ay namamahala sa mahahalagang imprastrakturang panlipunan sa Timog-silangang Asya, may ebidensya ng mga paglabag sa datos sa mga dark web forum na nauugnay sa CL-CRI-1036, bagama't nananatiling hindi alam ang kabuuang bilang ng mga apektadong organisasyon.

01flip attack chain: paunang pag-access, paggalaw sa gilid, at pag-deploy

Forensic analysis ng mga network na nakompromiso ng Ang 01flip ay nagpapakita ng isang medyo manu-mano at nakatuon sa layunin na diskarteSa isang dokumentadong kaso, sinimulang suriin ng mga umaatake ang perimeter noong unang bahagi ng Abril 2025, tinangka nilang samantalahin ang mga lumang kahinaan tulad ng CVE-2019-11580 sa mga application na nakalantad sa internet.

Bagama't hindi pa posible na matukoy nang eksakto kung aling input vector ang naging matagumpay, may matibay na ebidensya na Ipinatupad ng mga umaatake ang SliverIsang kilalang open-source adversary emulation at C2 framework na nakasulat sa Go at cross-platform, ang na-deploy sa Linux machine ng biktima. Isang buwan matapos ang unang pagtatangka ng exploitation, isang Sliver beacon na gumagana gamit ang TCP pivot profile ang natukoy.

Sa pamamagitan ng pinagsamang pag-access na ito, sa pagtatapos ng Mayo 2025, ang grupo sa likod ng CL-CRI-1036 Gumalaw ito nang pahilig patungo sa iba pang mga makina ng Linux.Nag-download sila ng mga bagong Sliver implant upang mapalawak ang kanilang presensya sa network. Ang pag-deploy ng 01flip ransomware ay naganap kalaunan, noong pamilyar na ang mga umaatake sa kapaligiran at mayroon nang sapat na kakayahan sa administrasyon.

Sa huling yugto ng insidente, Maraming pagkakataon ng 01flip ang natukoy na tumatakbo halos sabay-sabay sa mga sistemang Windows at Linux. mula sa parehong organisasyon. Bagama't hindi malinaw ang eksaktong paraan ng panloob na pagpapalaganap, makatuwirang ipalagay na ginamit nila ang mga paggana ng Sliver at mga karagdagang modyul upang:

• Magsagawa ng interaktibong pagkilala ng mga sistema at serbisyo.
• I-download ang mga kredensyal at i-escalate ang mga pribilehiyo sa loob ng domain.
• Magsagawa ng mga galaw sa gilid patungo sa iba pang mahahalagang segment at server.

Hiniling ng mga umaatake sa kanilang mga komunikasyon mga pagbabayad ng hanggang 1 bitcoin (BTC) para sa decryption Gumamit sila ng mga naka-encrypt na channel (secure na email at pribadong pagmemensahe) upang makipagnegosasyon sa mga biktima. Sa kampanyang ito, walang naobserbahang pampublikong double extortion portal, katulad ng mga ginagamit ng malalaking grupo ng RaaS, bagama't isang umano'y post ng pagbebenta ng datos ang natagpuan sa isang dark web forum kaagad pagkatapos ng impeksyon.

Mga panloob na paggana ng 01flip: pag-encrypt, pag-iwas, at pagbura ng mga bakas

Medyo diretso ang lohika ng 01flip, bagaman Kabilang dito ang ilang mga kawili-wiling detalye sa inhinyeriyaKapag naipatupad na sa isang nakompromisong sistema, ang ransomware ay nagsasagawa ng mga sumusunod na pangunahing aksyon:

1. Ilista ang lahat ng accessible units (sa Windows, mula A: hanggang Z:; sa Linux, mga naka-mount na file system) upang mahanap ang pinakamataas na bilang ng mga writable directory.
2. Gumawa ng ransom note na tinatawag na RECOVER-YOUR-FILE.TXT sa bawat folder kung saan mayroon siyang mga pahintulot sa pagsusulat. Kabilang dito ang impormasyon sa pakikipag-ugnayan at isang bloke ng naka-encrypt na impormasyong ginamit sa panahon ng negosasyon.
3. Palitan ang pangalan ng mga target na file pagsunod sa huwaran . .<0 o 1>.01 i-flip, upang matukoy ang bawat biktima at mapag-iba ang ilang partikular na parametro ng pag-encrypt.
4. I-encrypt ang mga nilalaman ng mga file gamit ang AES-128-CBC gamit ang isang simetrikong session key na nabuo para sa bawat sistema.
5. I-encrypt ang session key na iyon gamit ang isang naka-embed na RSA-2048 public key sa binary at isinasama ito sa ransom note, para tanging ang taong may hawak ng pribadong RSA key ang makakabuo ng decryptor.
6. Inaalis nito ang sarili nito sa pagtatapos ng pagpapatupad upang gawing kumplikado ang forensic analysis.

Sa usapin ng pag-iwas, ang 01flip ay nailalarawan sa pamamagitan ng Gumamit ng mga native API at low-level na tawag hangga't maaariSa Windows, gumagamit ito ng mga kernel function sa halip na mga high-level na API, na karaniwang mas mahigpit na sinusubaybayan ng mga solusyon sa seguridad. Sa Linux, gumagamit din ito ng katulad na mga direktang system call. Hindi naman sigurado ang estratehiyang ito, ngunit nakakatulong ito na itago ang aktibidad sa loob ng lehitimong ingay ng operating system.

Ang isa pang patong ng paglilihim ay batay sa pag-encrypt ng mga sensitibong string sa loob ng binaryAng tala ng ransom, ang pangalan ng file ng tala, ang listahan ng mga extension na ipoproseso, at ang mismong pampublikong susi ng RSA ay nakaimbak sa naka-encrypt na anyo. Sa oras ng pagpapatakbo, ang mga ito ay idini-decrypt sa pamamagitan ng paglalapat ng isang simpleng operasyon ng pagbabawas (SUB) sa mga pares ng byte. Depende sa laki ng bawat string, inilalagay ito sa seksyong .text o .data ng executable.

Sa kabaligtaran, kasama rin sa 01flip ang Isang maliit na pamamaraan laban sa sandbox: suriin kung ang executable filename ay naglalaman ng string na 01flipKung matutukoy nito ito, binubura lamang nito ang sarili nito nang hindi sinisimulan ang pag-encrypt. Medyo pinapakomplikado nito ang awtomatikong pagsusuri kapag pinapalitan ng mga sistema ng laboratoryo ang pangalan ng mga sample, ngunit isa pa rin itong medyo simpleng paraan.

Mas sopistikado ang trace erasure module. Kapag nakumpleto na ang encryption phase, ang ransomware... Sinusubukan nitong patungan ang sarili nitong binary gamit ang random na data at pagkatapos ay burahin ito. mula sa disk, kapwa sa Windows at Linux. Sa pagsasagawa, gumagamit ito ng mga utos na partikular sa platform:

• Sa Windows: pagsamahin isang ping upang magpakilala ng isang paghinto, fsutil upang i-zero ang ilang megabytes ng file, at kasunod nito ay isang sapilitang pagbura (Mula sa /f /q).
• Sa Linux: mga gamit dd gamit ang /dev/urandom upang punan ang ilang megabytes ng executable mismo ng random na data at pagkatapos ay naglunsad ito ng isang tahimik na rm.

Patakaran sa mga pagbubukod ng encryption at posibleng link sa LockBit

Tulad ng ibang mga pamilya, Isinasama ng 01flip ang isang listahan ng mga extension ng file na hindi nito kailanman ini-encryptAng layunin ng listahang ito ng pagbubukod ay upang maiwasan ang paggawa sa operating system na hindi magamit at upang matiyak na ang mga serbisyong mahalaga sa attacker (tulad ng mga administration tool o system binary) ay patuloy na gumagana, upang ang kapaligiran ay manatiling matatag at ang biktima ay maaaring makipag-ugnayan at magbayad.

Kabilang sa mga hindi isinama na extension ang aming makikita malaking bilang ng mga executable at system typesMga file na maaaring i-download: exe, dll, sys, bat, cmd, com, msi, msu, ocx, so, o, bin, rom, winmd, drivers (drv), mga font at typeface (ttf, woff, otf, fnt, fon), mga visual resources (ico, icns, cur, ani), mga temporary at cache file (tmp, sfcache), mga link (lnk), mga lock file (lock) o mga installation package (deb, dmg, apk, app, cab, iso), bukod sa marami pang iba.

Ang pagbubukod ng extension ay partikular na kapansin-pansin. lockbit, na karaniwang hindi ginagamit nang lehitimoAng katotohanang hindi pinapansin ng 01flip ang anumang file na nagtatapos sa .lockbit ay humantong sa mga analyst na mag-isip-isip tungkol sa isang posibleng pagsasanib o kaugnayan sa grupo sa likod ng kilalang-kilalang LockBit ransomware, na sinusubaybayan ng ilang vendor sa ilalim ng pangalang Flighty Scorpius.

Gayunpaman, Bukod sa kakaibang pagkakataong ito sa code, walang natagpuang mga TTP, imprastraktura, o mga pattern ng kalakalan. na malinaw na tumutukoy sa isang direktang koneksyon sa pagitan ng CL-CRI-1036 at LockBit. Maaari itong maging isang sinasadyang pagsang-ayon, isang paraan upang maiwasan ang mga salungatan sa pagitan ng mga operasyon, o isang kopya lamang ng mga snippet ng code na kinuha mula sa mga pampublikong sample.

Maging ito ay maaaring, Ang listahan ng mga hindi dapat isama ay isang mahalagang bahagi ng disenyo ng ransomware.Nagbibigay-daan ito sa sistema na patuloy na mag-boot at maiwasan ang pagkasira ng mga elementong kinakailangan para ma-access ng biktima ang ransom note, makipag-ugnayan sa kapaligiran, at magbayad kung pipiliin nila itong gawin.

Mga kapaligirang ESXi, Rust, Go at ang pag-usbong ng cross-platform ransomware

Naobserbahan ng mga laboratoryo mula sa iba't ibang kompanya ng seguridad ang Patuloy na paglago ng mga pamilya ng ransomware na direktang tumatarget sa mga ESXi hypervisor bilang karagdagan sa mga sistemang Windows at Linux. Dahil ang karamihan sa imprastraktura ng korporasyon ay na-virtualize na, ang pagkompromiso sa isang ESXi server ay nagbibigay-daan para sa sabay-sabay na pag-encrypt ng dose-dosenang o daan-daang virtual machine.

Ang grupo Halimbawa, gumagamit si Luna ng ransomware na nakasulat sa Rust. na may kakayahang sabay-sabay na atakehin ang Windows, Linux, at ESXi. Nakakita ang pagsusuri ng Kaspersky ng mga advertisement para sa Luna sa mga dark web forum na tumutukoy na gumagana lamang ang mga ito sa mga affiliate na nagsasalita ng Russian, isang detalye na, kasama ang ilang mga pagkakamali sa pagbaybay sa ransom note na naka-embed sa binary, ay nagmumungkahi ng pinagmulang Ruso.

Ang isa pang kapansin-pansing kaso ay Ang Black Basta, isang pamilya ng ransomware na nakasulat sa C++ na nagawang makompromiso ang mahigit 40 na organisasyon Simula nang lumitaw ito noong 2022, pangunahin na sa Estados Unidos, Europa, at Asya, parehong may mga partikular na variant ang Black Basta at Luna para sa ESXi, na nagpapatibay sa trend na ito ng pag-target sa virtualization layer bilang isang single point of failure.

Kahanay, Pinili rin ng mga grupong tulad ng BlackCat at Hive ang Rust and GoAng Hive, sa partikular, ay pinagsasama ang parehong wika sa ecosystem ng mga tool nito, at naging isang klasikong halimbawa ng cross-platform ransomware na nakatuon sa modelo ng RaaS, na may mga affiliate dashboard, pamamahala ng biktima, at mga pinakintab na estratehiya ng dobleng pangingikil.

Malinaw ang pangunahing mensahe na ipinapahayag ng mga mananaliksik: Ang pagpili ng mga wikang tulad ng Rust at Go ay nakakabawas sa pagsisikap na kinakailangan upang i-port ang ransomware sa iba't ibang platformPinapadali nito ang ilang pag-iwas sa mga tradisyonal na static signature at pinapakomplikado ang reverse analysis para sa mga laboratoryo, dahil sa partikular na istruktura ng mga binary at mga pag-optimize ng compilation.

VolkLocker (CyberVolk 2.x): RaaS, automation gamit ang Telegram, at isang kritikal na pagkabigo

Ang isa pang kamakailang halimbawa ng cross-platform ransomware ay Ang VolkLocker, na nauugnay sa muling pagkabuhay ng pro-Russian hacktivist group na CyberVolkAng bagong operasyong ito, na kilala bilang CyberVolk 2.x, ay gumagamit ng Ransomware-as-a-Service na pamamaraan, na nagbubukas ng pinto sa mga kaakibat na may kaunting teknikal na kaalaman ngunit sabik na pagkakitaan ang access sa mga nakompromisong network.

Ang VolkLocker ay dinisenyo upang nakakaapekto sa kritikal na imprastraktura sa mga kapaligirang Windows, Linux, at ESXipagsasama ng mga awtomatikong kakayahan upang isagawa ang mga utos, dagdagan ang mga pribilehiyo, at maging i-activate ang mga mapanirang function gamit ang mga timer. Isa sa mga natatanging elemento nito ay ang paggamit ng Telegram bilang isang channel ng utos at kontrol, umaasa sa mga bot at messaging API upang makatanggap ng mga order, magpadala ng mga resulta ng command, at mag-coordinate ng mga operasyon sa pagitan ng iba't ibang mga sistemang ginagamit.

Sa teknikal na antas, isinasama nito ang Mga mekanismo ng pag-bypass ng UAC (User Account Control) sa Windows upang mapataas ang mga pribilehiyoBukod pa rito, kasama rito ang mga modyul na nakaprograma upang burahin o sirain ang data kung natugunan ang ilang partikular na kundisyon sa oras o kung susubukan ng biktima na makialam sa proseso ng pag-encrypt. Ang lahat ng ito ay akma sa isang medyo propesyonal na pamamaraan ng RaaS.

Gayunpaman, isiniwalat ng mga pagsusuri sa seguridad isang napakaseryosong depekto sa disenyo: ang mga master encryption key ay static na naka-encode sa loob ng mga binary at nakaimbak sa simpleng teksto. Nangangahulugan ito na, kapag ang binary ay na-extract at nasuri na, posibleng muling buuin ang mga susi nang hindi nagbabayad ng pantubos, na nagpapahintulot sa pagbuo ng mga tool sa decryption para sa mga biktima.

Ang ganitong uri ng pagkakamali ay nakapagpapaalala sa mga unang bersyon ng iba pang ransomware kung saan ang cryptography ay naipatupad nang may kamalianNagbibigay-daan ito sa mga mananaliksik na maglathala ng mga libreng tool sa decryption. Gayunpaman, karaniwan para sa mga grupo na matuto mula sa mga pagkakamaling ito at maglabas ng mga naitama na bersyon sa ibang pagkakataon, kaya mahalagang samantalahin ang pagkakataon habang umiiral ito.

PromptLock: ang unang ransomware na pinapagana ng AI

Sa larangan ng inobasyon, inilarawan ng ESET ang Ang PromptLock ay maituturing na unang ransomware na pinapagana ng AI.Ito ay, sa pagkakaalam natin, isang patunay ng konsepto o isang patuloy na isinasagawa na hindi pa naoobserbahan sa mga totoong pag-atake, ngunit inilalarawan nito kung saan maaaring umusbong ang mga bantang ito.

Ang PromptLock ay nakasulat sa Golang at may mga variant para sa Windows at LinuxMuling sinasamantala ang cross-platform na katangian ng wikang ito, ang pinakakapansin-pansing aspeto ay ang lokal na integrasyon nito ng gpt-oss-20b model ng OpenAI sa pamamagitan ng Ollama API, gamit ang AI upang mabilis na makabuo ng mga malisyosong Lua script.

Mga ito Ang mga Lua script ay binuo mula sa mga prompt na naka-encode sa loob mismo ng malware. Ginagamit ang mga ito upang magsagawa ng maraming gawain: pag-enumerate ng file system, pagtukoy ng mga file na interesado, pag-exfiltrate ng mga partikular na data, at panghuli, pagpapatupad ng encryption. Ang AI ay gumaganap bilang isang engine na umaangkop sa lohika ng pag-atake sa konteksto, na nagbubukas ng pinto sa mas dynamic na mga pag-uugali.

Itinatampok ng natuklasan ng PromptLock na Ang mga pampubliko at madaling ma-access na AI tool ay maaaring gamitin muli para sa mga malisyosong layunin.pag-automate ng mga kritikal na yugto ng isang pag-atake ng ransomware (reconnaissance, pagsusuri ng file, pagpili ng target, atbp.) sa bilis at saklaw na dating nangangailangan ng malaking manu-manong pagsisikap.

Para sa mga depensibong koponan, nangangahulugan ito na Maaaring tumaas ang dami, kasalimuotan, at kakayahang umangkop ng mga pag-atakeLalo na kung pagsasamahin ng mga susunod na pamilya ng ransomware ang AI, mga kakayahan sa cross-platform, at mga modelo ng negosyo ng RaaS. Inaasahan ng ESET na ang ransomware ay patuloy na lalago kasabay ng artificial intelligence at inirerekomenda ang pagbibigay-pansin sa mga paparating na trend na idodokumento sa mga partikular na ulat at white paper na nakatuon sa nakakasakit na paggamit ng AI.

Higit pang mga banta sa iba't ibang platform: FakeSG, Akira, at ang AMOS stealer para sa macOS

Naidokumento rin ng pangkat ng Kaspersky na GReAT Iba pang mga kampanya at pamilya na akma sa multiplatform na tanawin ng crimeware na itokung saan ang ransomware ay nakikibahagi sa atensyon ng mga magnanakaw ng kredensyal at mga advanced na sistema ng pamamahagi.

Isa sa mga lumalawak na banta ay FakeSG, isang kampanya kung saan nakompromiso ang mga lehitimong website para magpakita ng mga pekeng notification sa pag-update ng browser. Ang pag-click sa mga ito ay nagda-download ng malisyosong file na nagpapatupad ng mga nakatagong script, nagtatatag ng command and control (C2) access, at nagbibigay-daan sa mga attacker na kontrolin ang system o mag-deploy ng iba pang uri ng malware, kabilang ang ransomware.

Sa konteksto ng mahigpit na pag-encrypt, Itinatag na ng Akira ang sarili bilang isang variant ng ransomware na umaatake sa parehong Windows at Linux.Sa maikling panahon, mahigit animnapung organisasyon na ang naapektuhan nito sa iba't ibang sektor (tingian, edukasyon, mga produktong pangkonsumo, atbp.). May mga katangian itong kapareho ng kilalang Conti, tulad ng halos magkaparehong listahan ng pagbubukod ng folder at natatanging C2 panel, na may klasiko ngunit matatag na interface na lumalaban sa mga pagtatangkang pagsusuri.

Kasabay nito, isang kapansin-pansing paglago ang naobserbahan sa ekosistema ng mga magnanakaw na tumatarget sa macOSmacOS, na tradisyonal na hindi gaanong targeted kumpara sa Windows. Ang magnanakaw na AMOS (Atomic macOS Stealer) ay unang lumitaw noong Abril 2023 at inalok sa halagang $1.000 kada buwan sa pamamagitan ng mga channel ng Telegram.

Sa paglipas ng panahon, si AMOS Mula sa pagkakasulat sa Go, ito ay muling naisulat sa C.Sa pamamagitan ng pagsasama ng lalong agresibong mga pamamaraan ng pamamahagi, tulad ng mga malisyosong kampanya sa advertising (malvertising) sa mga site na ginagaya ang mga opisyal na pahina ng software, ang ganitong uri ng magnanakaw, kapag na-install na, ay ninanakaw ang mga kredensyal ng user, sensitibong data, at iba pang mga sikreto, na tinutukoy ang bawat impeksyon gamit ang isang natatanging UUID. Ipinapakita nito na ang cross-platform na diskarte ay hindi na eksklusibo sa ransomware kundi umaabot sa iba pang bahagi ng arsenal ng cybercriminal.

Kasaysayan, ebolusyon, at mga modelo ng pangingikil ng ransomware

Upang maunawaan ang kasalukuyang sitwasyon, mahalagang tandaan na Hindi na bagong penomeno ang RansomwareAng unang malawakang naidokumentong kaso ay ang AIDS Trojan o PC Cyborg, noong 1989, na nag-encrypt ng mga pangalan ng file sa C: drive ng mga PC at humingi ng bayad na $189 sa isang post office box sa Panama kapalit ng isang umano'y unlocking tool.

Ang mga unang pag-atakeng iyon Ang simpleng pangingikil ay umunlad tungo sa mga modelo ng doble, triple, at maging quadruple na pangingikil.Sa mga kampanyang tulad ng Maze (2019), hindi lamang ine-encrypt ng mga kriminal ang datos kundi nagbanta rin silang ilalathala ito kung hindi matatanggap ang bayad. Noong 2021, idinagdag ni Avaddon ang posibilidad ng paglulunsad ng distributed denial-of-service (DDoS) attacks laban sa mga biktimang lumaban. Ang quadruple extortion tactic na ito ay nagsasama ng pressure sa mga kliyente at partner ng target na organisasyon, na nagpapalala sa pinsala sa reputasyon.

Ang Ransomware ay nagbago na bilang isang maayos na nakabalangkas na merkado sa loob ng kriminal na ekosistemaAng mga modelong tulad ng RaaS ay nagbibigay-daan sa mga aktor na may mababang teknikal na kadalubhasaan na maglunsad ng mga kampanya gamit ang kumpletong mga platform na kinabibilangan ng malware, mga panel ng administrasyon, imprastraktura ng pagbabayad, at suporta sa kaakibat. Ang Hive ay isang pangunahing halimbawa ng multi-platform, service-oriented na pamamaraang ito.

Ang ilang grupo ay umabot pa sa puntong Ipatupad ang mga panloob na programa ng bug bountyBinabayaran nila ang mga nakakatuklas at nag-uulat ng mga depekto sa kanilang code upang mapabuti ang seguridad ng kanilang mga operasyon, gaya ng nakikita sa Lockbit. Ang ironyang ito ay perpektong sumasalamin sa kanilang antas ng propesyonalismo: habang inaatake ang seguridad ng mga kumpanya at mga gumagamit, sinisikap nilang protektahan ang kanilang sariling "produkto."

Ang pagsikat ng ransomware ay bahagyang ipinaliwanag ng kadalian ng pagkalat at ang pagkakaiba-iba ng mga magagamit na tagapagdala ng impeksyonPhishing, pagsasamantala sa kahinaan, mga malisyosong pag-download, mga macro sa mga dokumento, mga pag-atake sa nakalantad na RDP, atbp. Bukod pa rito, ang pagkakaroon ng mga dark web marketplace at mga pantulong na serbisyo (pagrenta ng botnet, pagbebenta ng access, paglalaba ng cryptocurrency) ay kumukumpleto sa isang napakagulang na criminal value chain.

Mga karaniwang paraan ng impeksyon, mga pamamaraan ng pag-iwas, at mga pamamaraan ng pag-encrypt

Sa paglipas ng mga taon, iba't ibang pamilya ng ransomware ang pinahusay at pinagsama ang maraming paraan ng pag-inputMaraming kampanya ang umiikot pa rin sa mga phishing email, tulad ng ginawa ng TeslaCrypt, CERBER, Nemucod, LECHIFFRE, MirCop, o Stampado noong kanilang panahon, gamit ang mga mapanlinlang na attachment o link para isagawa ang unang payload.

Ang ibang mga grupo ay umasa sa mga exploit kit na nakakasira sa mga lehitimong website, tulad ng CryptXXX, SNSLocker, XORIST o DXXD, kaya ang pagbisita lamang sa isang mahinang pahina ay sapat na upang mag-trigger ng isang pagtatangka na pagsamantalahan ang isang serye ng mga pagsasamantala sa browser o sa mga lumang plugin.

Karaniwan din ang mga mga pag-download at pag-update ng malisyosong softwareGaya ng nakikita sa BadBlock, 777, DemoTool, Crysis, at TeleCrypt, itinago ng mga tila lehitimong installer ang ransomware. Kasabay nito, inabuso ng mga pamilyang tulad ng AutoLocky at XORBAT ang mga macro sa mga dokumento ng opisina, niloloko ang mga user na paganahin ang aktibong nilalaman na nag-trigger sa malisyosong code.

Ilan sa mga pinakakilalang kaso, tulad ng WannaCry, Petya, Chimera, Jigsaw, Globe/Purge, o Teamxrat/Xpan, Nailalarawan ang mga ito sa pamamagitan ng pagsasamantala sa mga kahinaan ng network at kumakalat nang kusang-loob sa loob ng mga organisasyon, na nakakaapekto sa mga server, workstation, at mga pinagsasaluhang mapagkukunan nang halos walang interbensyon ng tao.

Bago ang pag-encrypt, marami sa mga malisyosong program na ito Hindi nila pinapagana ang mga serbisyo at proseso na may kaugnayan sa seguridadBinubura nila ang mga shadow copy at restore point, at binabago ang mga setting ng system upang matiyak ang persistence at mapigilan ang recovery. Pagkatapos ng pag-atake, karaniwan nilang binubura ang mga trace at log upang hadlangan ang forensic analysis.

Tungkol sa pag-encrypt, ang mga pamilyang tulad ng Gumamit ang WannaCry at Petya ng mga matatag na algorithm tulad ng AES at RSAAng mga sistemang ito ay ipinapatupad sa paraang, sa teorya, imposibleng baligtarin ang proseso nang walang kaukulang susi. Ang iba, tulad ng XORIST, XORBAT, o Stampado, ay pumili ng sarili nilang mga algorithm o adaptasyon na, sa ilang mga kaso, ay napatunayang mahina sa pagsusuring kriptograpiko.

Mga kagamitan sa pagdidisimpekta at pag-decrypt: ang kaso ng Trend Micro

Dahil sa pagtaas ng mga pag-atake, ang cybersecurity ecosystem ay nagsimula nang maglathala ng mga kagamitan sa decryption para sa lumalaking bilang ng mga pamilyanagpapahintulot sa mga biktima na mabawi ang kanilang data nang hindi nagbabayad. Isang mahalagang halimbawa ay ang Trend Micro Ransomware File Decryptor, na sumusuporta sa mga variant tulad ng CryptXXX, TeslaCrypt, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop, Jigsaw, Globe/Purge, DXXD, Teamxrat/Xpan, Crysis, TeleCrypt, DemoTool, WannaCry, at Petya.

Ang gamit nito ay binubuo ng I-download ang tool, i-extract ito, at patakbuhin ang RansomwareFileDecryptor.exe file.Matapos tanggapin ang kasunduan sa lisensya, papayagan ka ng interface na piliin ang pamilya ng ransomware na kasangkot, tukuyin ang lokasyon ng mga naka-encrypt na file, at simulan ang proseso ng decryption, o sumangguni sa mga gabay para sa pagbawi ng mga file mula sa isang hard drive.

Sa ilang mga variant (halimbawa, CyptXXX V1, XORIST, XORBAT, NEMUCOD o TeleCrypt) ang tool Humihingi ito ng ilang file: isa na naka-encrypt at isang malinis na kopya. upang mahinuha ang susi o paraan ng pagbawi. Inirerekomenda na ang mga file na ito ay maging kasinglaki hangga't maaari upang mapadali ang pagsusuri.

Ang proseso ay may mga limitasyon. Pinapayagan lamang ng CryptXXX V3 ang bahagyang decryption at maaaring mangailangan ng karagdagang mga kagamitan para sa ilang partikular na uri ng file. Maaaring i-encrypt ng BadBlock ang mga kritikal na bahagi ng system, na nagpapahirap sa pag-boot. Kinakailangan ng CERBER na isagawa ang decryption sa mismong nahawaang makina, at ang tagal nito ay depende sa kapasidad ng CPU. Gumagamit ang Globe/Purge ng brute force at maaaring tumagal nang napakatagal, bukod pa sa pagkakaroon ng mga problema sa mga volume ng FAT32.

Sa kaso ng Ang decryption ng WannaCry ay nakasalalay sa paghahanap ng pribadong susi sa memorya ng aktibong proseso.Samakatuwid, gumagana lamang ito kung ang ransomware ay tumatakbo pa rin at lalong epektibo sa mga sistema ng Windows XP. Sa kabilang banda, ang Petya ay nangangailangan ng mga partikular na hakbang upang maibalik ang operating system pagkatapos mabawi ang encryption key mula sa binagong MBR.

Kahit na may mga paghihigpit na ito, Ang pagkakaroon ng mga tool sa decryption ay makabuluhang nagbabawas sa insentibong pang-ekonomiya para sa mga umaatake.Sa bawat oras na ilalabas ang isang epektibong decryptor, bumababa ang porsyento ng mga biktima na handang magbayad, na naglalagay ng presyon sa modelo ng kriminal na negosyo. Gayunpaman, ang mga grupo ay karaniwang mabilis na tumutugon, inaayos ang mga kahinaan at naglalabas ng mga bago at mas lumalaban na variant.

Mga rekomendasyon para sa proteksyon laban sa multiplatform ransomware

Dahil sa ganitong sitwasyon, sumasang-ayon ang mga eksperto na Ang pag-iwas at maagang pagtuklas ay talagang mahalagaAng ilan sa mga hakbang na inirerekomenda ng Kaspersky, ESET, at iba pang mga tagapagbigay ng seguridad ay:

• Huwag ilantad ang Remote Desktop Services (RDP) o iba pang administratibong access direkta sa Internet, maliban kung mahigpit na kinakailangan, at palaging protektado gamit ang malalakas na password, MFA at, kung maaari, VPN.
• Ituon ang estratehiyang pangdepensa sa pagtukoy ng mga paggalaw sa gilid at paglabas ng datos, malapit na sinusubaybayan ang papalabas na trapiko at mga hindi pangkaraniwang koneksyon sa mga panlabas na server.
• Ipatupad ang mga solusyon sa EDR/XDR at mga serbisyo sa pinamamahalaang pagtuklas (tulad ng Kaspersky EDR Expert, Managed Detection and Response o Cortex XDR/XSIAM) na pinagsasama ang behavioral analysis, machine learning, at event correlation upang matukoy ang kahina-hinalang aktibidad sa mga unang yugto.
• Sanayin at itaas ang kamalayan ng mga empleyado sa pamamagitan ng mga partikular na programa sa pagsasanay, na binabawasan ang posibilidad na mahulog sila sa mga phishing email o mag-install ng malisyosong software.
• Pananatiling napapanahon sa impormasyon tungkol sa banta, sinasamantala ang mga espesyal na portal na nagsasama-sama ng impormasyon sa mga aktibong kampanya, IoC, at totoong TTP na ginagamit ng mga umaatake.
• Proaktibong pamahalaan ang ibabaw ng pag-atake, pagtukoy sa mga mahihinang serbisyong nakalantad sa Internet (tulad ng Atlassian Crowd Server na apektado ng CVE-2019-11580) gamit ang mga tool sa Attack Surface Management tulad ng Cortex Xpanse.

Para sa mga naghihinala na sila ay maaaring biktima ng isang malubhang insidente, mga serbisyo sa pagtugon sa insidente mula sa mga espesyalisadong yunit tulad ng Unit 42 Nag-aalok sila ng agarang suporta sa pamamagitan ng mga nakalaang linya ng telepono sa Hilagang Amerika, Europa, Asya-Pasipiko, Japan, Australia, India, at Timog Korea. Bukod pa rito, ang mga inisyatibo tulad ng Cyber ​​​​Threat Alliance ay nagpapadali sa pagpapalitan ng teknikal na katalinuhan sa mga kumpanya ng seguridad upang mapabilis ang pagbuo ng mga proteksyon at buwagin ang mga kriminal na network.

Hinihikayat din ang mga organisasyon na Iulat ang tangkang pandaraya, mga cyberattack, o mga senyales ng kompromiso sa kanilang mga pambansang CERT, sa mga kaugnay na ahensya ng pagpapatupad ng batas, at sa mga tagapagbigay ng cybersecurity na kanilang katuwang. Mas maraming impormasyon ang ibinabahagi, mas madaling matukoy ang mga padron at matigil ang mga patuloy na kampanya.

Nilinaw iyon ng kasalukuyang panorama Ang multiplatform ransomware ay mula sa pagiging isang teknikal na pambihira ay naging isang pamantayan sa mga pinakaaktibong grupo.Sinusuportahan ito ng mga wikang tulad ng Rust at Go, mga modelo ng RaaS, pagsasamantala sa mga kapaligirang ESXi, pagsasama ng AI, at doble o tripleng mga kampanya ng pangingikil. Dahil sa sitwasyong ito, ang kombinasyon ng pag-iwas, advanced na pagsubaybay, koordinadong tugon, at mga inisyatibo sa pampublikong decryption ay naging mahalaga upang patuloy na gumana sa isang lalong nagiging agresibong digital na kapaligiran.