Kaspersky обнаружила еще одного шифровальщика на Rust — Luna
Главная » Новости

Kaspersky обнаружила еще одного шифровальщика на Rust — Luna

Татьяна Никитина 20 Июля 2022 - 19:01
...
Kaspersky обнаружила еще одного шифровальщика на Rust — Luna

Аналитики из «Лаборатории Касперского» рассказали о двух вымогателях, появившихся в этом году, — Black Basta и Luna. Оба примечательны тем, что способны работать на разных платформах: Windows, Linux, серверах VMware ESXi.

Объявившийся в феврале шифровальщик Black Basta, на счету которого уже более 40 жертв, нашим читателям знаком. Остановимся на описании более юного Luna, который, подобно BlackCat/ALPHV и Hive, написан на Rust.

Проведенный в Kaspersky анализ показал, что сложностью Luna не отличается: по команде шифрует данные на всех дисках или выборочно — файл test.txt в директории C:/test/ либо все содержимое этой папки. Вместе с тем вредонос использует нетипичную схему шифрования — связку алгоритмов AES и Диффи-Хеллмана для эллиптических кривых (X25519).

В найденном в даркнете объявлении говорилось, что новая вымогательская группировка работает только с русскоязычными партнёрами. Это утверждение и ошибки в записке на английском языке с требованием выкупа навели исследователей на мысль, что авторы Luna — русскоязычные вирусописатели.

Обе разобранные в Kaspersky новинки подтвердили наметившийся тренд в сообществе вымогателей: создание мультиплатформенных зловредов с особым акцентом на VMware ESXi. Внедрение подобного вредоноса на сервер ESXi позволяет зашифровать все виртуальные машины в корпоративной сети, притом с помощью одной-единственной команды. Поддержка VMware ESXi была реализована в Black Basta, RedAlert, BlackCat, Cheers, AvosLocker, RansomEXX, Conti, REvil.

«Мы видим всё больше групп, которые используют кросс-платформенные языки для написания вымогательского ПО, — комментирует эксперт «Лаборатории Касперского» Дмитрий Галов. — Это позволяет им развёртывать свои зловреды в разных операционных системах. Число атак на виртуальные машины ESXi стремительно растёт, и мы ожидаем, что всё большее количество кибергрупп будут использовать эту стратегию».

Для защиты бизнеса от атак шифровальщиков Kaspersky советует принять следующие меры:

  • заблокировать доступ к службам удалённого рабочего стола (RDP) из общественных сетей, усилить пароли для этих сервисов;
  • сфокусировать стратегию защиты на выявлении перемещений по сети и аномалий в исходящем трафике;
  • обзавестись комплексным решением для защиты всей инфраструктуры от кибератак любой сложности, таким как XDR;
  • наладить обучение сотрудников правилам кибербезопасности;
  • предоставить специалистам SOC-центра доступ к самым свежим данным об угрозах (платформы и порталы Threat Intelligence сейчас есть у многих ИБ-компаний, в том числе у «Лаборатории Касперского»).
Следующая главная новость »
AM LiveИтоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Российских банкиров заинтересовали родственники авторов крупных переводов
Татьяна Никитина 22 Декабря 2025 - 14:54
Соответствие законодательству РФ Домашние пользователиГосударство Защита от мошенничестваБезопасность платежейСоответствие требованиям регуляторов
Российских банкиров заинтересовали родственники авторов крупных переводов

При переводе крупных сумм банки стали запрашивать у клиентов данные получателя, в том числе наличие родственных уз. Подобная мера призвана предотвратить необдуманные поступки граждан, совершаемые по указке мошенников.

Заострение внимания кредитно-финансовых организаций на крупных переводах также должно помочь в борьбе с дропперством, которое в России теперь уголовно наказуемо.

Как выяснил корреспондент РИА Новости, банки теперь блокируют крупные переводы, а затем сотрудник связывается с клиентом и просит предоставить данные о родственной связи с получателем. У инициатора перевода также спрашивают, на какие нужды направляется столь большая сумма.

Речь идет о переводах в объеме свыше 100 тыс. руб. в день и более 1 млн в месяц, — таким случаям банки сейчас уделяют особое внимание. Характерными признаками вовлечения клиента банка в дропперство также являются частота операций по списанию / зачислению средств (чаще 30 в сутки) и большое количество адресатов.

Новые антифрод-меры финансистов вызвали бурное обсуждение в рунете. Чтобы развеять опасения законопослушных граждан, Банк России уточнил: в центре внимания — переводы свыше 200 тысяч руб., притом лицам, которым деньги не отправлялись в течение полугода.

В рамках борьбы с мошенничеством крупные российские банки внедряют новые механизмы: многоступенчатые проверки операций, аналитику для выявления подозрительных транзакций, сервисы для блокировки звонков.

В результате мошенники стали чаще отдавать предпочтение наличным. Им также приходится изобретать новые уловки для обхода антифрод-мер.

AM LiveИтоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »
Вышел PoC для уязвимости в Linux PAM, грозящей повышением прав до root
Новость
Вышел PoC для уязвимости в Linux PAM, грозящей повышением пр...
ИИ-сервисы вовлекли в атаки ClickFix с целью засева macOS-трояна AMOS
Новость
ИИ-сервисы вовлекли в атаки ClickFix с целью засева macOS-тр...
СКБ Контур запустила Коннект — систему защищённого корпоративного доступа
Новость
СКБ Контур запустила Коннект — систему защищённого корпорати...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.