Специалисты «Лаборатории Касперского» обнаружили две новые вымогательские хак-группы. Малварь этих злоумышленников может атаковать разные ОС, без обращения к мультиплатформенным языкам. Ранее эксперты отмечали, что создатели вымогательской малвари развивают ее кросс-платформенные возможности. Но на этот раз речь идет о вредоносах, написанных на простых языках, но способных атаковать разные системы.
Первая из новых групп использует малварь RedAlert (она же N13V), написанную на языке C. Вторая, обнаруженная в июле 2022 года, — малварь Monster, написанную на Delphi.
Отличительная черта Monster — наличие GUI (графический пользовательский интерфейс). Исследователи отмечают, что такой компонент никогда не внедрялся вымогателями раньше, а авторы Monster используют его в качестве дополнительного параметра командной строки.
В остальном вредонос довольно типичен: он использует RSA + AES, а несколько потоков помогают ускорить процесс шифрования и дешифрования.
Также отчет компании гласит, что злоумышленники используют для своих атак на Windows (от 7 до 11) так называемые эксплоиты первого дня. В отличие от 0-day, это эксплоиты, которые используют уязвимости, для которых недавно были выпущены патчи. Один из примеров — уязвимость CVE-2022-24521 (разыменование указателя в драйвере CLFS). Она позволяет получать привилегии в системе на зараженном устройстве. Через две недели после создания патча для этой бреши атакующие разработали два новых эксплоита, которые поддерживают разные версии Windows.
«Мы уже привыкли к тому, что авторы программ-вымогателей стали создавать их с помощью кроссплатформенных языков. Однако теперь они научились писать вредоносный код для атак на разные операционные системы еще и на простых языках программирования. Современные тренды развития индустрии шифровальщиков требуют от компаний повышенного внимания к тому, приняты ли эффективные меры для обнаружения и предотвращения таких атак. Кроме того, очень важно регулярного обновлять все ПО», — комментирует Сергей Ложкин, эксперт по кибербезопасности «Лаборатории Касперского».