Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор

Татьяна Никитина 07 Февраля 2023 - 18:43

Домашние пользователи

...

У шифровальщика Cl0p, атакующего Windows-машины, появился брат-близнец, совместимый с Linux. Новинка оказалась совсем сырой: в ней отсутствуют некоторые прежние функции, а схема шифрования пока слаба и допускает восстановление файлов.

Образец, подвергнутый анализу в SentinelOne, был обнаружен в конце декабря в ходе вымогательских атак на учебные заведения Колумбии. Злоумышленники использовали его вместе с Windows-версией Cl0p.

Как выяснилось, вирусописатели не стали портировать зловреда на Linux, а создали кастомную сборку. Новобранец использует тот же алгоритм шифрования (RC4), что и Windows-версия, и почти ту же логику, но начисто лишен механизмов самозащиты. Несмотря на это, он пока плохо детектится — его распознают лишь 2 антивируса из 63 на VirusTotal (по состоянию на 7 февраля).

При запуске вредонос создает новый процесс и пытается повысить привилегии до уровня, позволяющего шифровать данные. По завершении черного дела он сбрасывает в систему короткую записку в текстовом формате:

При поиске объектов для шифрования Linux-версия Cl0p не перечисляет диски, а использует небольшой список целевых папок, вшитый в код. Этот перечень включает /home, /root, /opt и папки с файлами базы данных Oracle (/u01 – /u04). В настоящее время имя Oracle редко встретишь среди целей Linux-шифровальщиков, они скорее будут интересоваться содержимым виртуальных машин VMware ESXi.

В новом Cl0p отсутствует поддержка алгоритмов хеширования, позволяющая делать исключения для некоторых файлов и папок. Исследователи также не нашли вшитого списка исключений, механизма дифференциации обработки файлов разного веса, параметров командной строки, позволяющих управлять процессом шифрования.

Текущая Linux-версия не применяет RSA, чтобы скрыть RC4-ключи, используемые для шифрования файлов. Зловреду вшили в код мастер-ключ RC4, который он использует и для генерации ключей, и для их защиты, сохраняя итоги локально.

Более того, сгенерированный ключ RC4 не проверяется перед шифрованием (в Windows-версии такая проверка присутствует). Отсутствие адекватной защиты ключей позволяет без особых усилий добыть их и использовать для расшифровки, что и сделали исследователи, ускорив процесс с помощью Python-скрипта.

Созданный декриптор передан правоохранительным органам для оказания помощи жертвам заражения. Спасительный инструмент также выложили в общий доступ на GitHub.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 20 Ноября 2025 - 17:17

Фишинг Социальная инженерия Домашние пользователи

Кампания HackOnChat массово похищает WhatsApp-аккаунты по всему миру

Специалисты CTM360 выявили быстро растущую кампанию по угону аккаунтов в WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России), которая охватывает пользователей по всему миру. Исследователи назвали её HackOnChat.

Злоумышленники создают сотни поддельных страниц аутентификации и фишинговых ресурсов, визуально копирующих интерфейс WhatsApp Web, и вынуждают жертв довериться им с помощью социальной инженерии.

По данным CTM360, злоумышленники используют дешёвые доменные зоны и современные конструкторы сайтов, что позволяет им массово генерировать новые страницы. Аналитики обнаружили тысячи вредоносных URL и зафиксировали сотни инцидентов за последние недели — особенно много в странах Ближнего Востока и Азии.

Злоумышленники применяют две основные техники:

1. Перехват сессии (Session Hijacking).
Преступники злоупотребляют функцией привязки устройств в WhatsApp Web и подключаются к активной сессии пользователя без его ведома.

2. Полный угон аккаунта (Account Takeover).
Жертву убеждают передать ключи аутентификации — например, через фейковые уведомления безопасности, поддельные порталы WhatsApp или поддельные приглашения в группы.

Подделки сделаны весьма профессионально: поддерживают несколько языков, подбирают код страны и адаптируют интерфейс под регион пользователя.

Получив доступ, злоумышленники:

пишут от имени жертвы её контактам, обычно с просьбами о деньгах или конфиденциальной информации;
просматривают переписку, документы и медиа, чтобы украсть личные или финансовые данные;
используют аккаунт для рассылки новых фишинговых ссылок.

Так формируется цепочка атаки, в которой каждая новая жертва становится инструментом для следующей.

В CTM360 подчёркивают: HackOnChat — наглядный пример того, как социальная инженерия остаётся одним из самых масштабируемых инструментов киберпреступников. Когда злоумышленники подделывают знакомые интерфейсы и опираются на доверие между пользователями, вероятность ошибки со стороны жертвы резко возрастает.

Напомним, буквально сегодня мы писали про WhatsApp-червя, который помогает злоумышленникам доставлять банковский троян.