Xakep #305. Многошаговые SQL-инъекции
Эксперты «Лаборатории Касперского» обнаружили новую хак-группу Luna, которая атакует компании с помощью программ-вымогателей. Злоумышленники используют одноименный вредонос, написанный на языке Rust. Это позволяет легко адаптировать малварь для разных операционных систем и одновременно атаковать устройства, работающие на Windows, Linux и ESXi.
Исследователи рассказывают, что обнаружили в даркнете объявление, в котором утверждается, что Luna работает только с русскоязычными партнерами. Более того, сообщения с требованием выкупа на английском языке написаны с ошибками. Эти факты в совокупности дают основания предполагать, что Luna — русскоязычная хак-группа.
Данных о жертвах Luna пока немного, но эксперты внимательно наблюдают за деятельностью группировки.
Исследователи говорят, что если судить по доступным параметрам командной строки, Luna не отличается сложностью. Однако малварь использует нетипичную схему шифрования с сочетанием алгоритмов x25519 и AES, что редко встречается среди шифровальщиков.
Образцы для Linux и ESXi скомпилированы из того же исходного кода, что и версия для Windows, но с незначительными изменениями. Например, если образцы для Linux запустить без аргументов командной строки, они не будут выполняться. Вместо этого они покажут возможные аргументы, необходимые для работы. Остальной код почти не отличается от версии для Windows.
В отчете экспертов отмечается, что еще одна недавно обнаруженная группа, Black Basta, применяет схожий инструментарий. Она использует для создания вымогателей новый вариант вредоносного ПО, написанного на C++. Этот вредонос впервые был замечен исследователями весной 2022 года. С тех пор Black Basta атаковала более 40 жертв, в основном в США, Европе и Азии.
Так как Luna и Black Basta нацелены не только на Windows и Linux, но и на ESXi, специалисты называют это трендом 2022 года. ESXi представляет собой гипервизор, который может независимо использоваться на любой операционной системе. Многие компании мигрировали на виртуальные машины, работающие на ESXi, и атакующим стало легче шифровать данные жертв.
«Мы видим все больше групп, которые используют кросс-платформенные языки для написания вымогательского ПО. Это позволяет им развертывать свои зловреды в разных операционных системах. Число атак на виртуальные машины ESXi стремительно растет, и мы ожидаем, что все большее количество кибергрупп будут использовать эту стратегию», — комментирует Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».