Появились подробности о свежем штамме шифровальщика на языке Rust, который с момента своего появления в прошлом месяце уже собрал несколько жертв из разных стран.
О программе-выкупе, получившей название BlackCat, стало известно от исследовательской команды MalwareHunterTeam. «Жертвы могут заплатить биткойном или монеро» - сообщили исследователи в серии твитов с подробным описанием вредоносной программы, шифрующей файлы. «Также похоже, что они предоставляют учетные данные посредникам для переговоров».
BlackCat, как и многие другие разновидности до него, работает как ransomware-as-a-service (RaaS), где основные разработчики нанимают аффилированных лиц для взлома корпоративных сред, шифрования файлов и кражи конфиденциальных документов по схеме двойного вымогательства, чтобы заставить цели заплатить требуемую сумму или подвергнуться риску раскрытия данных, если платить выкуп жертва откажется.
Исследователь безопасности Майкл Гиллеспи назвал BlackCat «крайне комплексным шифровальщиком».
Южнокорейская компания S2W, занимающаяся кибербезопасностью, в отдельном анализе BlackCat заявила, что эта программа-вымогатель осуществляет свои вредоносные действия, обращаясь к внутренней конфигурации, как и другие программы RaaS, и отметила ее сходство с BlackMatter - другим шифровальщиком, который возник из пепла DarkSide в июле и прекратил свою деятельность в начале ноября.
Хотя для групп шифровальщиков типично уходить в подполье, перегруппировываться и вновь появляться под новым именем, исследователи предостерегают от того, чтобы называть BlackCat ребрендингом BlackMatter, ссылаясь на различия в используемом языке программирования (Rust против C++), огромном количестве вариантов исполнения и инфраструктуре темной паутины, поддерживаемой злоумышленниками.
BlackCat с 4 декабря 2021 года рекламировался на русскоязычных Darknet-рынках, таких как XSS и Exploit, под именем «alphv» и как «ransom» на форуме RAMP в попытке завербовать других участников, включая пентестеров, на участие в том, что называлось «следующим поколением шифровальщиков».
Также сообщается, что операторы шифровальщика используют пять доменов onion, три из которых функционируют как переговорный сайт группы, а остальные - как публичный и приватный сайты утечек «Alphv». На данный момент идентифицированы только две жертвы, что позволяет предположить, что зарождающаяся программа-вымогатель активно используется против компаний в реальных атаках.
«После того как информация о BlackCat и сайте утечек Alphv появилась в Twitter, они удалили всю информацию о двух жертвах и добавили свое предупреждение на сайт утечек Alphv» - отметили исследователи S2W.
Эта разработка сигнализирует о растущей тенденции использования киберпреступниками менее известных языков программирования, таких как Dlang, Go, Nim и Rust, в целях обхода средств защиты, уклонения от анализа и затруднения попытки реинжиниринга.
Rust также набирает популярность благодаря своей высокой производительности по сравнению с такими языками, как C и C++, и одновременно гарантиям безопасности памяти, которые могут быть использованы для создания менее восприимчивых к анализу вредоносных программ.
Источник: https://thehackernews.com
