Арсенал шифровальщика LockBit дополнили модулем для macOS-устройств

Арсенал шифровальщика LockBit дополнили модулем для macOS-устройств

Арсенал шифровальщика LockBit дополнили модулем для macOS-устройств

Неделю назад на VirusTotal был загружен ZIP-файл, который при проверке был опознан как LockBit. Вредоносный архив содержит набор шифраторов: 16 экзешников ELF и один Mach-O. Анализ показал, что последний — это тестовый образец, которому не хватает ряда функций для правильной работы.

Шифровальщик LockBit до сих пор использовался, и крайне успешно, для атак на корпоративные серверы Windows, Linux и ESXi. Обнаруженный экспертами бандл был создан 20 марта: по состоянию на 17 апреля его распознают 36 из 63 антивирусов из коллекции VirusTotal.

Новый набор шифраторов зловреда нацелен в основном на Linux/ESXi/FreeBSD и поддерживает ряд CPU-архитектур: ARM/AArch, MIPS64, SPARC, s390x, PowerPC. Файл Mach-O ориентирован на новейшие «яблочные» компьютеры на чипах Apple Silicon (M1) и пока плохо детектится (9/60 на 17 апреля).

Проведенный в BleepingComputer анализ содержимого файла Mach-O показал, что в коде присутствуют строки, неуместные для macOS-зловреда. Так, в нем обнаружен список из 65 расширений и имен файлов-исключений, ассоциируемых с Windows. Кроме того, были найдены многочисленные ссылки на ESXi, хотя VMware однозначно заявила, что не будет поддерживать Apple M1.

Почти все строки, имеющие отношение к ESXi и Windows, также присутствуют в шифраторах LockBit для MIPS и FreeBSD, что может свидетельствовать об общей кодовой базе. Все эти сборки показались аналитикам сырыми, не готовыми к развертыванию в атаках.

Выводы BleepingComputer подтвердили Азим Ходжибаев из Cisco Talos и специалист по macOS-угрозам Патрик Уордль (Patrick Wardle). Последний при этом отметил, что M1-шифратору для корректной работы не хватает некоторых функций, а также отсутствует адекватная цифровая подпись.

По мнению Уордля, шифратор LockBit для M1 основан на Linux-версии кода и пока не учитывает специфику macOS. При его запуске происходит сбой из-за ошибки переполнения буфера, поэтому на настоящий момент зловред не способен нанести большой вред.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар выпустила облачный инструмент для проверки Open Source

Группа компаний «Солар» представила облачный инструмент для анализа безопасности сторонних библиотек и компонентов с открытым исходным кодом. Решение разработано на базе платформы Solar appScreener и ориентировано на небольшие команды разработки — как внутри крупных компаний, так и в ИТ-стартапах — особенно тех, кто занимается заказной разработкой.

Причина появления продукта довольно понятна: рынок растёт. По данным Росстата, в 2024 году число российских ИТ-компаний увеличилось на 14%, а объёмы разработки — на 40% по сравнению с 2023 годом.

При этом всё больше команд встраивают в свои решения компоненты с открытым исходным кодом — по разным оценкам, такие элементы составляют до 80% кода современных приложений.

Проблема в том, что далеко не все эти библиотеки регулярно обновляются. Около 79% сторонних компонентов — «заброшенные», уязвимости в них не устраняются, а новые баги всё равно появляются. При этом число уязвимостей в Open Source за 2024 год выросло почти вдвое, тогда как самих библиотек стало больше только на 25%. То есть потенциальные угрозы растут быстрее, чем сам код.

Особенно остро эта проблема стоит для компаний, использующих внешних подрядчиков. В разработке критичных систем (например, тех, где обрабатываются персональные данные или финансы) часто участвуют несколько команд. Контролировать безопасность на всех этапах — задача нетривиальная.

Новое облачное решение от «Солара» как раз и рассчитано на такие ситуации. Оно включает модуль OSA (анализ состава ПО), который выполняет SCA-проверку: ищет уязвимости в сторонних библиотеках, отслеживает зависимости и потенциальные риски. Кроме того, есть инструмент для оценки лицензионных ограничений и анализ SCS — он помогает выявить риски даже в тех компонентах, где уязвимости пока официально не найдены. В расчёт берутся такие параметры, как частота обновлений, активность авторов и даже их публичные высказывания, которые могут намекать на возможные закладки или «чёрные ходы».

Лицензия оформляется на одного пользователя сроком на год, без ограничений по числу сканирований. Такой формат, как считают в компании, подойдёт небольшим коллективам, где нет отдельного отдела ИБ.

Разработчики утверждают, что облачная версия соответствует требованиям российских регуляторов — от ГОСТов по кибербезопасности до приказа ФСТЭК №239 — и включена в Реестр отечественного ПО.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru