В последнее время все больше вымогательских группировок пишет шифровальщики, атакующие не только компьютеры с Windows, но и устройства с Linux и виртуальные машины ESXi. Мы уже рассказывали про новую группировку BlackCat, распространяющую зловреда, написанного на кроссплатформенном языке Rust и способного шифровать такие системы. Недавно наши эксперты исследовали еще два только появившихся в даркнете зловреда с аналогичной функциональностью — Black Basta и Luna.
Black Basta — шифровальщик для ESXi
Шифровальщик Black Basta впервые был обнаружен в феврале этого года. Он существует в двух версиях, для Windows и Linux, причем последняя нацелена в первую очередь на шифрование образов виртуальных машин ESXi. Версия для Windows примечательна тем, что перед шифрованием загружает систему в безопасном режиме. Благодаря этому зловред избегает обнаружения защитными решениями, многие из которых в безопасном режиме не работают.
На момент написания поста операторы Black Basta опубликовали информацию о 40 жертвах, в числе которых компании, работающие в сфере производства и электроники, подрядные организации и другие. По данным «Лаборатории Касперского», цели шифровальщика находятся в США, Австралии, а также в нескольких странах в Европе, Азии и Латинской Америке.
Luna — еще один шифровальщик на Rust
Зловреда Luna наши исследователи обнаружили в июне. Он написан на Rust и способен шифровать устройства с Windows, Linux и образы виртуальных машин ESXi. В рекламном объявлении в дарквебе злоумышленники утверждают, что сотрудничают только с русскоязычными партнерами. Это значит, что интересующие вымогателей цели находятся за пределами бывшего СССР. Об этом же говорит и тот факт, что вшитая в код шифровальщика записка с требованием выкупа написана на английском, хоть и с ошибками.
Как защититься от шифровальщиков
Шифровальщики остаются серьезной угрозой для бизнеса. На рынке продолжают появляться новые игроки, которые быстро подхватывают наиболее разрушительные тренды. Чтобы оставаться в безопасности, необходимо своевременно узнавать об актуальных новых угрозах и выстраивать свою стратегию защиты в соответствии с ними.
Кроме того, следует помнить, что все корпоративные устройства, имеющие выход в Интернет, должны быть снабжены защитными решениями. В том числе и серверы, работающие под управлением Linux — в последнее время атаки на них участились.