Шифровальщик BlackCat раздается под видом WinSCP через вредоносную рекламу
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Шифровальщик BlackCat раздается под видом WinSCP через вредоносную рекламу

Шифровальщик BlackCat раздается под видом WinSCP через вредоносную рекламу

Операторы BlackCat/ALPHV начали использовать malvertising для распространения шифровальщика через клоны сайтов легитимных организаций. Эксперты Trend Micro выявили киберкампанию, в ходе которой зловреда выдавали за файловый менеджер WinSCP.

Выбранное в качестве приманки opensource-приложение WinSCP позволяет безопасно переносить файлы и папки между локальным компьютером и серверами, поддерживающими протоколы SFTP, SCP, FTP, FTPS, Amazon S3 и WebDAV. Утилита распространяется по лицензии GNU GPL и пользуется большой популярностью.

Вредоносная реклама, по словам исследователей, — новый вектор заражения для BlackCat. Поддельные страницы загрузки WinSCP (с редиректом на клон оригинала в похожем домене) выдают в результатах поиска и Google, и Bing.

 

Файл ISO, распространяемый в ходе malvertising-кампании, содержит setup.exe и msi.dll. Первый — это переименованный msiexec.exe (часть установщика Windows), второй — работающая как дроппер библиотека, подключаемая методом отложенной загрузки.

В ходе исполнения setup.exe происходит вызов msi.dll, та извлекает из раздела RCDATA папку Python в качестве инсталлятора WinSCP и создает две его версии — легальную и вредоносную (в папке «Музыка»), обеспечив зловреду постоянное присутствие в системе.

Анализ показал, что в качестве основной полезной нагрузки используется маячок Cobalt Strike, который подключается к удаленному серверу и обеспечивает атакующим удаленный доступ к скомпрометированной системе. Для проведения разведки и развития успеха взломщики также используют ряд других инструментов: AdFind, AccessChk64, PowerView, PsExec, BitsAdmin, KillAV, AnyDesk. Вывод собранной информации осуществляется с помощью клиента PuTTY Secure Copy (PSCP), устранение помех в виде антивирусов и EDR — с помощью Terminator, недавно появившегося на черном рынке. Конечной целью всей этой вредоносной активности является внедрение в сеть вымогательской программы.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Требования по совместимости с двумя отечественными ОС отодвинут на год

Минцифры готовит отсрочку по требованию обязательной совместимости с двумя отечественными операционными системами для промышленного программного обеспечения из Реестра российского ПО. Пока этому требованию удовлетворяет лишь половина продуктов.

Изначально требование по совместимости как минимум с двумя российскими операционными системами должно было вступить в силу уже в 2024 году. Такая норма была установлена в приказе Минцифры, который был выпущен еще в августе 2023 года, но так и не вступил в силу.

Однако ведомство перенесло срок исполнения этого требования на III квартал 2025 г., а для «тяжелого» ПО и вовсе на 2026 год. Об этом сообщили «Ведомостям» источники издания в трех компаниях со ссылкой на Минцифры.

Неназванный представитель Минцифры подтвердил «Ведомостям», что «по отдельным классам ПО» будет действовать отсрочка «в зависимости от степени готовности продуктов», но сроки и классы ПО он не уточнил. Соответствующие изменения в нормативные акты ведомство планирует внести до конца года.

Ситуация в различных сегментах инженерного ПО серьезно отличается. Так, из 5 наиболее распространенных CAD-систем от отечественных разработчиков нативную версию под отечественные ОС имеет только nanoCAD. Еще два продукта – «Компас» и T-Flex – работоспособны при использовании Wine. Из двух систем класса CAM (ГеММа-3D и СПРТУКАМ) нет Linux-версий ни у одной, о возможности запуска под Wine также официальной информации найти не удалось. Относительно благополучно дело обстоит с системами моделирования.

Вадим Подольный, глава комитета промышленной автоматизации АРПП «Отечественный софт», технический директор «Лаборатории технологий автоматизации» назвал адаптацию инженерного ПО важной задачей:

«Инженерное ПО должно работать на российских ОС, хотя бы из-за того, что есть требования о импортозамещении, в особенности для объектов КИИ. Если отечественный разработчик разрабатывает ПО только для Windows, то такое ПО не сможет работать на отечественных ОС, так как все отечественные ОС основаны на Linux. И в приличных компаниях принято писать кросс-платформенный софт. Это, можно сказать, неписаное правило хорошего тона разработчика. И многие следуют данному принципу без всяких указаний государства».

Вместе с тем задача портирования многих инженерных приложений является технически сложной. Светлана Иванова, генеральный директор РДТЕХ подчеркнула, что возможность совместимости должна быть заложена изначально, но такой необходимости у разработчиков не было. А когда появилось регуляторное требование, для обеспечения соответствия ему необходимо вносить изменения в ядро систем. Это требует временных и финансовых затрат.

Генеральный директор АНО «Национальный центр компетенций по информационным системам управления холдингом» (НЦК ИСУ) Кирилл Семион обратил внимание на то, что процесс адаптации инженерного ПО под российские ОС процесс не просто сложный, но и итерационный:

«Адаптированные версии ещё необходимо протестировать в связке отечественными ОС с целью сохранить технические характеристики, в первую очередь - скорость работы. Проведение данных испытаний - процесс итерационный. Он не всегда проходит успешно с первого раза».

Петр Василенко, генеральный директор компании «ГрафТех» видит две проблемы, связанные с портированием ПО:

«Во-первых, долгие годы ПО промышленного класса развивалось и разрабатывалось на платформе Windows. В частности, использовались компоненты Windows-системы — как неотъемлемая часть работоспособности таких систем. И проблема не только в том, чтобы переписать саму систему, а в использовании этих компонентов. Потому что аналогов их нет на Linux-системах, и получается, их нужно отдельно разрабатывать. Но есть и вторая проблема. Рынок узкоспециализированных системы гораздо более узкий. Например, пользователями каких-то систем могут быть всего несколько, пусть и очень крупных заказчиков. И если эти заказчики еще не перешли на российские операционные системы, то для них не является критически важным, чтобы ПО поддерживало российские “операционки”».

Александр Кольцов, инженер Центра компетенций НТИ «Цифровое материаловедение: новые материалы и вещества» МГТУ им. Н.Э. Баумана обратил внимание на то, что разработчики долгое время ориентировались на ОС Windows, как наиболее распространенной в России операционной системы:

«Вопросы кросс-платформенности если и прорабатывались, то не было оснований считать их приоритетными ввиду отсутствия соответствующего запроса со стороны клиентов. Это наложило свой отпечаток на процессы разработки, используемые инструменты, библиотеки, средства реализации графических компонентов интерфейса пользователя. Требование обеспечения совместимости с операционными системами, построенными на базе ядра Linux, фактически привели к необходимости полной переработки значительной части кодовой базы выпускаемых программных продуктов, поскольку, к сожалению, это требование только в исключительных случаях может быть удовлетворено путем использования эмуляторов или альтернативных реализаций Win32 API вроде Wine. Полноценная адаптация потребует существенно большего времени и может потребовать полного пересмотра использованных проектных решений».

«Перевод инженерного программного обеспечения на российский софт - это масштабная работа, сопоставимая с разработкой такого программного обеспечения с нуля. Это означает, что для адаптации ПО под отечественные ОС требуются значительные ресурсы и время, — считает Рустам Рустамов, заместитель генерального директора РЕД СОФТ. —  Мы сталкиваемся в этом вопросе не только технической задачей, но и с задачей, требующей глубокого понимания особенностей отечественных ОС и их возможностей по совместимости с другими элементами ИТ-инфраструктуры».

«Большинство разработчиков инженерного ПО, даже отечественные, многие годы вели разработку на средствах разработки ПО под Windows. Миграция под Linux требует серьезных изменений, как в коде, так и в механике сборки и развертывания. Многим это не под силу, и поэтому такие разработчики будут пытаться запустить свои разработки в средах эмуляции Windows, например Wine, что негативно скажется на производительности и удобстве использования, - считает Вадим Подольный. — Наиболее сильным игрокам со временем удастся "отрефачить" и мигрировать свои разработки на Linux. У слабых нет ни ресурсов, ни времени. А самые крутые игроки, конечно, уже давно собрали версии для Linux. Их ПО отлично совместимо с отечественными ОС, что подтверждается соответствующими сертификатами совместимости».

По мнению Рустама Рустамова, есть немалые шансы, что задача портировать инженерное ПО на российское ОС будет успешно решена:

«Компании столкнулись с задачей комплексного импортозамещения ИТ-решений, которая представляет собой сложный процесс, и сроки его окончательной реализации пока трудно спрогнозировать. Однако, уже сейчас часть программного обеспечения, в том числе широко используемого в нашей стране, успешно работает на российских операционных системах. Но для полной адаптации потребуется время и усилия».

Петр Василенко также видит задачу решаемой:

«Получится ли решить этот вопрос за год? Сейчас сложно сказать, но учитывая, что работа идет, думаю, что вполне возможно. Плюс в компаниях промышленного сектора идет импортозамещение, поэтому они сами начинают задумываться над этим, выходят на диалог с производителями и начинают в эту сторону двигаться».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru