Ресерчеры Лаборатории Касперского благодаря системе активного мониторинга Darknet Threat Intelligence расчехлили новую ransomware.
Новый штамм, получивший название Luna, может использоваться для шифрования устройств, работающих под управлением нескольких ОС, включая системы Windows, Linux и ESXi.
Обнаруженная исследователями через рекламу в даркнете, Luna адаптирована для русскоязычных операторов. При этом записка о выкупе, жестко запрограммированная внутри двоичного файла, содержит орфографические ошибки. Исходя из-за этого ресерчеры со средней степенью уверенности предполагают, что акторы говорят по-русски.
Как видно из рекламы, вредоносное ПО написано на Rust и все еще находится в стадии разработки, имея ограниченные возможности, основанные на доступных параметрах командной строки.
Судя по доступным параметрам командной строки, Luna довольно проста. Однако используемая им схема шифрования не так типична, так как включает x25519 и AES, комбинацию, которая не часто встречается в схемах вымогателей.
Образцы для Linux и ESXi Luna скомпилированы с использованием одного и того же исходного кода с некоторыми незначительными изменениями по сравнению с версией для Windows.
Как отмечают исследователи, кроссплатформенность ransomware позволяет переносить его на несколько платформ с очень небольшими изменениями в исходном коде, а также уклоняться от автоматизированного статического анализа кода.
Luna подтверждает тенденцию к кроссплатформенным программам-вымогателям: современные банды программ-вымогателей в значительной степени полагаются на такие языки, как Golang и Rust. Ярким примером являются BlackCat и Hive.
Поскольку Luna - недавно обнаруженная группа, данных о ее виктимологии пока мало, но в Лаборатории обещают проследить за активностью вымогателей.
• Source: https://securelist.com/luna-black-basta-ransomware/106950/
Новый штамм, получивший название Luna, может использоваться для шифрования устройств, работающих под управлением нескольких ОС, включая системы Windows, Linux и ESXi.
Обнаруженная исследователями через рекламу в даркнете, Luna адаптирована для русскоязычных операторов. При этом записка о выкупе, жестко запрограммированная внутри двоичного файла, содержит орфографические ошибки. Исходя из-за этого ресерчеры со средней степенью уверенности предполагают, что акторы говорят по-русски.
Как видно из рекламы, вредоносное ПО написано на Rust и все еще находится в стадии разработки, имея ограниченные возможности, основанные на доступных параметрах командной строки.
Судя по доступным параметрам командной строки, Luna довольно проста. Однако используемая им схема шифрования не так типична, так как включает x25519 и AES, комбинацию, которая не часто встречается в схемах вымогателей.
Образцы для Linux и ESXi Luna скомпилированы с использованием одного и того же исходного кода с некоторыми незначительными изменениями по сравнению с версией для Windows.
Как отмечают исследователи, кроссплатформенность ransomware позволяет переносить его на несколько платформ с очень небольшими изменениями в исходном коде, а также уклоняться от автоматизированного статического анализа кода.
Luna подтверждает тенденцию к кроссплатформенным программам-вымогателям: современные банды программ-вымогателей в значительной степени полагаются на такие языки, как Golang и Rust. Ярким примером являются BlackCat и Hive.
Поскольку Luna - недавно обнаруженная группа, данных о ее виктимологии пока мало, но в Лаборатории обещают проследить за активностью вымогателей.
• Source: https://securelist.com/luna-black-basta-ransomware/106950/
