Анализ Linux-версии нового штамма вымогательского ПО под названием “BlackSuit” выявил значительное сходство данного программного обеспечения с другим семейством вымогателей под названием Royal.
Компания Trend Micro, которая и исследовала версию вредоноса для компьютеров с Linux, заявила, что выявила “чрезвычайно высокую степень сходства” между Royal и BlackSuit.
“Они почти идентичны, с 98% сходством функций, 99,5% сходства блоков и 98,9% сходства переходов на основе BinDiff, инструмента сравнения двоичных файлов”, – отметили исследователи Trend Micro. В то время как сравнение Windows-версий вредоносных программ показло 93,2% сходства в функциях, 99,3% в базовых блоках и 98,4% в переходах на основе BinDiff.
О BlackSuit впервые стало известно в начале мая этого года, когда подразделение Unit 42 из Palo Alto Networks обратило внимание на способность вредоноса атаковать как хосты на Windows, так и на Linux.
Как и многие другие вымогатели, операторы BlackSuit используют схему двойного вымогательства, при который хакеры сначала похищают конфиденциальные данные, а лишь потом шифруют, требуя денежный выкуп за восстановление и/или удаление.
Последние данные Trend Micro показывают, что и BlackSuit, и Royal используют AES OpenSSL для шифрования и аналогичные методы прерывистого шифрования для ускорения процесса работы программы.
“Появление программы-вымогателя BlackSuit (с её сходством с Royal) указывает на то, что это либо новый вариант, разработанный теми же авторами, либо подражатель, использующий аналогичный код. Либо же вообще филиал банды вымогателей Royal, который внедрил некоторые модификации в оригинальный код”, – заявили в Trend Micro.
Учитывая, что Royal является ответвлением бывшей команды Conti, то вполне вероятно, что и BlackSuit тоже возник из отколовшейся группы внутри первоначальной банды вымогателей Royal. По крайней мере, так считают специалисты Trend Micro.
Разработка в очередной раз подчёркивает постоянную динамику развития сообщества вымогателей. Ведь то и дело появляются новые участники отрасли, способные модифицировать существующие инструменты и успешно зарабатывать на этом.
К этой же тенденции можно отнести вымогателей NoEscape, работающих по модели RaaS. По данным исследователей Cyble, эти злоумышленники предоставляют своим клиентам возможность использовать методы тройного вымогательства для максимального эффекта от успешной атаки.
Тройное вымогательство подразумевает под собой классическую эксфильтрацию и шифрование данных в сочетании с DDoS-атаками, полностью уничтожающими возможность организации-жертвы продолжить ведение бизнеса, чтобы вынудить её заплатить денежный выкуп.