Один из самых опасных штаммов программ-вымогателей перевели на Rust 

Один из самых опасных штаммов программ-вымогателей перевели на Rust. Фото: СС0

Таковы выводы группы исследователей Microsoft Threat Intelligence Center (MSTIC), которые недавно глубоко изучили новый вариант вируса.

Из сообщения компании:

«Программе-вымогателю Hive всего около года, впервые она была обнаружена в июне 2021 года, но она превратилась в одну из самых распространенных полезных нагрузок программ-вымогателей в экосистеме программ-вымогателей как услуги (RaaS)».

Самым большим изменением является полная миграция кода с Go (также известного как GoLang) на Rust. По словам Microsoft, влияние этих обновлений характеризуются, как «далеко идущее».

Rust предлагает глубокий контроль над низкоуровневыми ресурсами, имеет удобный для пользователя синтаксис, имеет несколько механизмов для параллелизма, большое разнообразие криптографических библиотек и относительно сложный реинжиниринг. 

В новом варианте зловреда также используется строковое шифрование , что несколько усложняет его обнаружение, и базовые алгоритмы также изменились. Версия Hive для Rust использует Elliptic Curve Diffie-Hellmann (ECDH) с Curve25519 и XChaCha20-Poly1305 (аутентифицированное шифрование с симметричным шифром ChaCha20).

Что касается шифрования файлов, теперь он генерирует два набора ключей в памяти (в отличие от встраивания зашифрованного ключа в каждый зашифрованный файл) и использует оба для шифрования файлов на целевой конечной точке. Затем он шифрует и записывает наборы в корень зашифрованного диска, оба с расширениями .key.

В довершение всего операторы изменили сообщение о выкупе, которое следует за атакой. Новая версия теперь ссылается на файлы .key с их новым соглашением об именах файлов и предупреждает жертв не удалять и не переустанавливать виртуальные машины , так как «нечего будет расшифровывать».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Пользователей Google Chrome призывают обновить браузер из-за риска атаки хакеров.
• Бэкдоры Microsoft Exchange используются для шпионажа по всему миру.
• Microsoft исправила серьезную уязвимость, обнаруженную в Service Fabric.
• Google выпустил значительный пакет обновлений для своей службы управления паролями.