Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Вымогательское ПО Hive для VMware ESXi портирован с Golang на Rust (http://txgate.io:443/showthread.php?t=12819)

Artifact 01-08-2025 12:13 PM

Новые образцы вымогателя также получили дополнительные функции защити от исследователей безопасности.
https://www.securitylab.ru/upload/ib...3ccd5cc75a.jpg
Создатели вымогательского ПО Hive перевели свой Linux-шифровальщик VMware ESXi на язык программирования Rust и добавили несколько новых функций, усложняющих исследователям задачу по наблюдению за переговорами между жертвами и вымогателями.
Поскольку предприятия становятся все более зависимыми от виртуальных машин для экономии вычислительных ресурсов, консолидированных серверов и более быстрого резервного копирования, операторы вымогательского ПО создают специальные шифровальщики под эти сервисы.
Linux-шифровальщики обычно атакуют платформы виртуализации VMware ESXI, поскольку они чаще всего используются на предприятиях.
Хотя вымогатели Hive используют Linux-шифровальщик для атак на серверы VMware ESXi уже некоторое время, судя по новым образцам, они обновили шифровальщик, добавив в него функции, впервые появившиеся в вымогательском ПО BlackCat/ALPHV.
Когда вымогатели атакуют жертву, они стремятся вести с ней переговоры о выкупе строго конфиденциально. Однако, когда образец шифровальщика попадает на открытые сервисы для анализа вредоносного ПО, их сразу же изучают исследователи, которые находят записку с требованием выкупа и могут наблюдать за течением переговоров. Во многих случаях переговоры публикуются в открытом доступе, и сделка по уплате выкупа срывается.
Для того чтобы этого избежать, операторы BlackCat удалили из своего шифровальщика URL-адреса страниц в Tor, где ведутся переговоры. Вместо этого URL-адрес проходит в качестве аргумента командной строки в процессе выполнения вымогательского ПО. И-за этого изучающие шифровальщик исследователи не могут получить URL-адрес страниц, где ведутся переговоры.
Хотя Hive и ранее требовал имя пользователя и пароль для доступа к странице переговоров в Tor, эти учетные данные хранились в исполняемом файле шифровальщика, что облегчало их получение.
Новый шифровальщик Hive, обнаруженный исследователем безопасности rivitna компании Group-IB, теперь требует от злоумышленника указывать имя пользователя и пароль для входа в качестве аргумента командной строки при запуске вредоносного ПО. Скопировав тактику BlackCat, Hive сделал невозможным получение учетных данных для входа в систему из образцов шифровальщика, поскольку отныне они доступны только в записках о выкупе, созданных во время атаки.
Кроме того, Hive теперь использует не язык программирования Golang, а Rust, что повысило его производительность и усложнило реверс-инжиниринг.


All times are GMT. The time now is 02:02 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.