Ngày 03 tháng 6 năm 2023Ravie Lakshmanan Bảo mật điểm cuối / Linux
Một phân tích về biến thể Linux của một dòng ransomware mới có tên BlackSuit đã chỉ ra những điểm tương đồng đáng kể với một dòng ransomware khác có tên Royal.
Trend Micro, đã kiểm tra phiên bản x64 VMware ESXi nhắm mục tiêu vào các máy Linux, cho biết họ đã xác định được “mức độ tương đồng cực kỳ cao” giữa Royal và BlackSuit.
“Trên thực tế, chúng gần như giống hệt nhau, với 98% điểm tương đồng về chức năng, 99,5% điểm tương đồng về khối và 98,9% điểm tương đồng về bước nhảy dựa trên BinDiff, một công cụ so sánh cho các tệp nhị phân,” các nhà nghiên cứu của Trend Micro lưu ý.
So sánh các tạo phẩm của Windows đã xác định được 93,2% tính tương đồng trong các chức năng, 99,3% trong các khối cơ bản và 98,4% trong các bước nhảy dựa trên BinDiff.
BlackSuit lần đầu tiên xuất hiện vào đầu tháng 5 năm 2023 khi Đơn vị 42 của Palo Alto Networks thu hút sự chú ý về khả năng nhắm mục tiêu vào cả máy chủ Windows và Linux.
Giống như các nhóm ransomware khác, nó chạy một kế hoạch tống tiền kép đánh cắp và mã hóa dữ liệu nhạy cảm trong một mạng bị xâm nhập để đổi lấy tiền bồi thường. Dữ liệu liên quan đến một nạn nhân đã được liệt kê trên trang web rò rỉ dark web của nó.
Những phát hiện mới nhất từ Trend Micro cho thấy, cả BlackSuit và Royal đều sử dụng AES của openssl để mã hóa và sử dụng các kỹ thuật mã hóa gián đoạn tương tự để tăng tốc quá trình mã hóa.
Đặt các phần trùng lặp sang một bên, BlackSuit kết hợp các đối số dòng lệnh bổ sung và tránh danh sách tệp khác có phần mở rộng cụ thể trong quá trình liệt kê và mã hóa.
“Sự xuất hiện của phần mềm tống tiền BlackSuit (có điểm tương đồng với Royal) cho thấy rằng đó là một biến thể mới được phát triển bởi cùng một tác giả, một bản sao sử dụng mã tương tự hoặc một chi nhánh của băng đảng ransomware Royal đã thực hiện các sửa đổi đối với dòng mã độc gốc, “Trend Micro cho biết.
Cho rằng Royal là một nhánh của nhóm Conti trước đây, nên cũng có thể “BlackSuit nổi lên từ một nhóm nhỏ trong băng đảng ransomware Royal ban đầu”, công ty an ninh mạng đưa ra giả thuyết.
Sự phát triển một lần nữa nhấn mạnh trạng thái thay đổi liên tục trong hệ sinh thái ransomware, ngay cả khi các tác nhân đe dọa mới xuất hiện để điều chỉnh các công cụ hiện có và tạo ra lợi nhuận bất hợp pháp.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Điều này bao gồm sáng kiến ransomware-as-a-service (RaaS) mới có tên mã là NoEscape mà Cyble cho biết cho phép các nhà khai thác và chi nhánh của mình tận dụng lợi thế của ba phương pháp tống tiền để tối đa hóa tác động của một cuộc tấn công thành công.
Tống tiền ba lần đề cập đến cách tiếp cận ba hướng trong đó việc mã hóa và đánh cắp dữ liệu được kết hợp với các cuộc tấn công từ chối dịch vụ (DDoS) phân tán nhằm vào các mục tiêu nhằm phá vỡ hoạt động kinh doanh của họ và buộc họ phải trả tiền chuộc.
Dịch vụ DDoS, theo Cyble, được cung cấp với khoản phí bổ sung 500.000 đô la, với việc các nhà khai thác áp đặt các điều kiện cấm các chi nhánh tấn công các thực thể nằm ở các quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS).
