Istraživači kompanije Kaspersky otkrili su novu grupu ransomware-a koja potvrđuje trend da se akteri ransomware-a okreću funkcionalnosti na više platformi. Grupa pod nazivom Luna, koristi iskorišćene ransomware podatke napisane na Rust-u, programskom jeziku koji su ranije koristile, između ostalih, i grupe BlackCat i Hive. To im omogućava da lako prenose malwer sa jednog operativnog sistema na drugi. Ovo otkriće, između ostalog, deo je nedavnog izveštaja o kriminalističkom softveru, dostupnog na sajtu Securelist by Kaspersky.
Luna primenjuje zlonamerni softver napisan u Rust-u – odnosno, njegove mogućnosti na više platformi daju opciju grupi da cilja na Windows, Linux i ESXi sisteme odjednom. U reklami na dark webu, koju je primetila upravo kompanija Kaspersky, navodi se da Luna radi samo sa filijalama koje govore ruski. Štaviše, poruka o otkupnini čvrsto kodirana u binarnom sistemu sadrži neke pravopisne greške – što dovodi do zaključka da grupa možda govori ruski jezik. Uzimajući u obzir da je Luna novootkrivena grupa, još postoji veoma malo podataka o njenoj viktimologiji – ali kompanija Kaspersky intenzivno prati njene aktivnosti.
Luna prati nedavni trend ransomware-a na više platformi, sa jezicima poput Golang i Rust koje su moderne grupe ransomware-a već uveliko primenjivale u protekloj godini. Značajan primer obuhvata BlackCat i Hive, pri čemu ovaj drugi koristi i Go i Rust. Ovi jezici su nezavisni od platforme, tako da se ransomware napisan pomoću njih može lako preneti sa jedne platforme na drugu. Napadi tada mogu biti usmereni na više operativnih sistema istovremeno.
Još jedna nedavna istraga koju je sprovela kompanija Kaspersky pruža širu sliku o aktivnosti ransomware-a Blek Basta. Ova grupa se služi novom varijantom ransomware-a napisane na C++, koja je prvi put otkrivena u februaru 2022 godine. Od tada je Black Basta uspeo da napadne više od 40 žrtava, uglavnom u Sjedinjenim Državama, Evropi i Aziji.
Kao što je pokazala istraga kompanije Kaspersky, i Luna i Black Basta ciljaju na ESXi sisteme, kao i na Windows i Linux, što je samo još jedan ransomware-a trend u 2022 godini. ESXi je hipervizor koji se može koristiti nezavisno na bilo kojem operativnom sistemu. S obziromna to da su mnoga preduzeća prešla na virtuelne mašine zasnovane na ESXi-u, napadačima je to dodatno olakšalo da šifruju podatke žrtava.
„Čini se da trendovi koje smo naveli ranije ove godine dobijaju na snazi. Primećujemo sve više grupa koje koriste višeplatformske jezike za pisanje svog ransomware-a. Ovo im omogućava da implementiraju svoj malwer na različite operativne sisteme. Povećani napadi na ESXi virtuelne mašine su alarmantni i očekujemo da će sve više ransomware porodica primeniti istu strategiju“, komentariše Jornt van der Viel, stručnjak za bezbednost kompanije Kaspersky.
Saznajte više o novim ransomware grupama na Securelist-u.
Da biste zaštitili sebe i svoje poslovanje od napada ransomware-a, razmotrite sledeće korake i pravila na koje je ukazala kompanija Kaspersky:
- Ne izlažite dektop servise koji rade na daljinu usluge udaljene radne površine (kao što je RDP) javnim mrežama osim ako je to apsolutno neophodno i uvek koristite jake lozinke za iste.
- Usredsredite svoju strategiju odbrane na otkrivanje bočnih pomeranja i eksfiltraciju podataka na internet. Obratite posebnu pažnju na odlazni saobraćaj kako biste otkrili veze sajber kriminalaca.
- Koristite rešenja kao što su Kaspersky Endpoint Detection, Response Expert i Kaspersky Managed Detection and Response koja mogu pomoći da se identifikuje i zaustavi napad još u ranim fazama, pre nego što napadači dostignu svoje konačne ciljeve.
Pratite najnovije informacije o pretnjama kako biste bili svesni stvarnih TTP-ova koje koriste akteri pretnji. Kaspersky Threat Intelligence Portal pruža jedinstvenu tačku pristupa za Kaspersky TI, pružajući podatke o sajber napadima i uvide koje je njihov tim prikupljao punih 25 godina. Kako bi pomogla preduzećima da omoguće efikasnu odbranu u ovim turbulentnim vremenima, kompanija Kaspersky najavila je pristup nezavisnim, kontinuirano ažuriranim informacijama sa globalnih izvora o trenutnim sajber napadima i pretnjama, bez naknade.