“Стар приятел”, познат от Windows системите, се завръща на полето на рансъмуер, този път за Linux (снимка: CC0 Public Domain)
Специалисти по киберсигурност откриха Linux вариант на рансъмуера TargetCompany, който преди това атакуваше бази данни в среди на Windows. Новата версия е направена по доста умен начин.
На сцената на киберпрестъпността се завръща “стар приятел”, който всъщност никога не си е тръгвал. Експертите на Trend Micro идентифицираха нов вариант на рансъмуера TargetCompany, този път насочен към системи, работещи под Linux.
С негова помощ нападателите атакуват активно среди за виртуализация на VMware ESXi, като използват специален шел скрипт за инжектиране и стартиране на злонамерени задачи.
TargetCompany е известен още като Mallox, FARGO и Tohnichi. Откриването му датира от юни 2021 г., когато се прочу главно като Windows рансъмуер. Използва се успешно срещу MySQL, Oracle и SQL Server бази данни, притежавани от организации в Тайван, Южна Корея, Тайланд и Индия.
През февруари 2022 г. доставчикът на антивируси Avast обяви безплатен инструмент за дешифриране на файлове, блокирани от TargetCompany. Групата, която използва този рансъмуер при атаки, замря за известно време, но през септември възобнови редовните атаки. Нейните жертви бяха главно уязвими Microsoft SQL сървъри.
Новооткритият вариант за Linux на свой ред атакува среди на VMware, като криптира по-специално всички файлове с разширения vmdk, vmem, vswp, vmx, vmsn и nvram и добавя собствено разширение .locked.
Една успешна атака срещу среда за виртуализация може да доведе до спиране на процесите за всички клиенти, които в момента използват тази среда, коментират специалисти по сигурност. Виртуалните хост оператори в този случай се оказват под огромен натиск, тъй като не са единствените, които губят време и пари.
Експертите на Trend Micro отбелязват, че този път нападателите използват нова техника: за да заобиколят мерките за сигурност, те пускат скрипт PowerShell и камуфлажни пакети (Fully Undetectable Packers – FUD).
Публикацията на Trend Micro не казва нищо за това как точно нападателите доставят този скрипт в системата. Но още в началото на атаката атакуващите вече имат първоначален достъп – чрез уязвими, хакнати SQL сървъри.
След първоначалното изтегляне скриптът PowerShell зарежда и изпълнява основната злонамерена задача. Той проверява средата, в която работи, и изпраща на контролния сървър информация за името на хоста, IP адреса, операционната система, както и свързаните в момента потребители и техните привилегии, уникални идентификатори – и подробности за криптирани файлове и директории.
След това се стартира процесът на криптиране на файла и се генерира искане за откуп. След приключване на всички тези процедури зловредният софтуер се опитва да премахне всички следи от присъствието си в системата, за да усложни последващото разследване.
Според анализаторите на Trend Micro, атаките срещу Linux системи се извършват от един от партньорите на основния оператор TargetCompany – група, наречена Vampire. Преди това същата група извършваше редовни атаки срещу MS SQL бази данни.
Изследванията на Trend Micro показват, че IP адресите, свързани с доставката на зловреден софтуер, принадлежат на мрежи на ISP в Китай, но това не е достатъчно за недвусмислено приписване на атаката на китайски хакери.
Текущите итерации на TargetCompany също извеждат поверителни данни към атакуващите сървъри. Впоследствие операторите на рансъмуер допълнително изнудват жертвите, като публикуват тази информация в Telegram.