Мультиплатформенного шифровальщика Cyclops поженили с инфостилером

Татьяна Никитина 06 Июня 2023 - 18:45

Домашние пользователи

Корпорации

Трояны

Программы-вымогатели

Программы-шифровальщики

...

Мультиплатформенного шифровальщика Cyclops поженили с инфостилером

Операторы RaaS-сервиса Cyclops (Ransomware-as-a-Service, вымогатель как услуга) дополнили свой ассортимент вредоносом, ворующим данные. Рекламу новинки отследили на хакерских форумах исследователи из Uptycs.

По всей видимости, новая услуга ориентирована на тех, кто использует схему двойного шантажа: не только шифрует данные, но также ворует важные файлы и угрожает публикацией в случае неуплаты выкупа. За дополнительный компонент с подписчиков берут долю прибыли.

Шифровальщик Cyclops нацелен на разные платформы: Windows (64-бит), macOS, Linux. Версии для macOS и Linux написаны на Golang.

Вредонос умеет принудительно завершать процессы, мешающие его работе, и применяет сложную схему шифрования, предполагающую использование симметричных и асимметричных шифров. Логика Cyclops напомнила аналитикам Babuk: при работе на Windows-машинах оба используют эллиптические кривые Диффи – Хеллмана (Curve25519) и потоковый шифр HC-256, а также комбинацию Curve25519 и ChaCha.

После шифрования содержимого в конец файла записываются публичный ключ (вшит в код зловреда), хеш CRC32 и маркер, позволяющий избежать повторного шифрования. К обработанным файлам добавляется расширение .CYCLOPS. По завершении шифрования в системе создается записка с требованием выкупа и ссылкой на onion-сайт для восстановления данных.

Модуль-инфостилер, который можно подключить из админ-панели, тоже написан на Go и заточен под Windows и Linux. Зловред собирает информацию о зараженной машине (данные ОС, имя компьютера, число процессов, контроллер домена, через который осуществляется вход). Поиск файлов, представляющих интерес, осуществляется по имени и расширению; вся добыча выгружается на удаленный сервер.

Версия стилера для 64-битных Windows загружается в виде архивного файла, содержащего stealer.exe и config.json со списками целевых имен, расширений и размеров. При исполнении вредонос считывает данные из config.json, перечисляет папки и ищет в них нужные объекты. Обнаружив совпадение, он архивирует содержимое файла (ZIP), запароливает итог и отсылает на сервер оператора.

Инфостилер для Linux тоже доступен клиентам RaaS в виде архива, но с несколько иным содержимым — stealer.linux и config.json. По функциональности этот модуль, по данным Uptycs, схож с Windows-версией.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Апреля 2026 - 15:06

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

VPN в рунете режут шире, чем думали: ограничений стало больше ожидаемого

Крупные онлайн-платформы начали активнее ограничивать доступ для пользователей с включённым VPN. Ещё в начале апреля крупнейшие игроки ИТ-отрасли получили рекомендации от регуляторов по выявлению VPN-сервисов и противодействию им, а к 15 апреля многие сервисы уже начали внедрять такие меры.

Сначала речь шла в основном о крупнейших площадках, но на практике список оказался шире ожидаемого.

Как пишут «Известия», ограничения затронули не только «Яндекс», VK, маркетплейсы и сервисы доставки, но и более широкий круг компаний, которые начали либо полностью блокировать доступ, либо заметно урезать функциональность при подключении через VPN.

Причём теперь это уже не просто уведомление в духе «у вас включён VPN». По словам собеседников издания, платформы начали действовать жёстче: где-то сайт вообще не открывается, где-то ломается аутентификация, не проходит оплата, не оформляется заказ или сервис начинает работать нестабильно.

«Известия» отдельно приводили примеры с Ozon, который советует отключить VPN и попробовать другое подключение, и с «ВкусВиллом», где пользователям начали показывать дополнительные инструкции.

С технической точки зрения ничего неожиданного здесь нет. Источники на телеком-рынке говорят, что у платформ и раньше были возможности выявлять такие способы подключения. Вопрос был не в том, могут ли они это делать, а в том, готовы ли применять такие механизмы на практике. Судя по синхронности действий крупных игроков, теперь ответ уже очевиден.

Одной из причин называют ужесточение требований к ИТ-компаниям. Сервисы начали опасаться рисков для своей ИТ-аккредитации и связанных с ней льгот, поэтому многие стали заранее подстраиваться под ожидания регуляторов.

При этом история касается не только формального соблюдения рекомендаций. Эксперты указывают, что для самих платформ это ещё и вопрос бизнеса: VPN создаёт для сервисов «слепые зоны» с точки зрения антифрода, ценообразования, проверки транзакций и общего комплаенса.

Напомним, сегодня мы также писали о проблемах с запуском игры Atomic Heart в России без VPN. На фоне этого VPN-сервисы начали агрессивнее навязывать покупку долгосрочных подписок.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!