Новый троян атакует серверы FreeBSD. Хакеры целятся в критическую инфраструктуру
С конца сентября перехвачены несколько вариантов шифровальщика Interlock, у которого есть версия под ОС FreeBSD. Она широко применяется в критической инфраструктуре.
FreeBSD в прицеле
Независимые эксперты по информационной безопасности, и сотрудники компании TrendMicro обнаружили новый шифровальщик, который прицельно атакует системы под управлением ОС FreeBSD. Авторство принадлежит группировке Interlock. Специалисты предполагают, что вредонос создавался с целью атаковать критическую инфраструктуру, поскольку шире всего FreeBSD применяется именно в этой сфере.
Группировка Interlock успешно атаковала как минимум шесть организаций, включая муниципальные сети округа Уэйн в штате Мичиган, США. Данные, выведенные из систем жертв, группировка опубликовала на своем сайте.
Первая информация о шифровальщике появилась в начале осени: эксперт по реагированию на кибер-инциденты, известный как Simo, выявил бэкдор, который злоумышленники использовали в ходе атак, а другой специалист по информационной безопасности – известный как MalwareHunterTeam – перехватил предположительный вариант шифровальщика в виде ELF-файла. Этот файл был передан для тестирования в редакцию издания Bleeping Computer. Специалисты издания попытались запустить его под Linux и под FreeBSD, но в обоих случаях перехваченный сэмпл отказался работать.
Его дальнейшее изучение подтвердило, что файл был скомпилирован под FreeBSD версии 10.4. В публикации Bleeping Computer подчеркивается, что шифровальщики под FreeBSD исключительно редки. Единственной группировкой, которая до сих пор создавала и применяла такие вредоносы под FreeBSD, была разгромленная в 2023 г. Hive.
Эксперты TrendMicro смогли перехватить еще один сэмпл Interlock под FreeBSD, а также его вариант под Windows. По их мнению, операторы Interlock целятся в серверы под управлением этой системы, поскольку те широко используются в критической инфраструктуре.
«Атака на объект КИИ чревата куда большими проблемами, чем просто вынужденный простой, а значит, и вероятность выплаты выкупа, даже очень большого, в случае успешной атаки оказывается очень высокой, – говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Прибыльность ransomware в последние годы стала падать: наученные горьким опытом, своим и чужим, компании усиливают средства защиты и чаще вкладываются в резервное копирование».
По данным издания Bleeping Computer, злоумышленники требуют от атакованных организаций от нескольких сотен тысяч до нескольких миллионов долларов США, в зависимости от размера пострадавшей структуры.
Поведение под Windows
Вариант под Windows характеризуется способностью очищать системный журнал и самоудаляться через rundll32.exe.
Все зашифрованные вредоносом файлы получают расширение .interlock. Операторы шифровальщика начинают атаку со взлома корпоративной сети и вывода данных с серверов, находящихся в ней. Злоумышленники также предпринимают попытки проникнуть в любые другие устройства и в итоге загружают шифровальщик везде, куда смогли дотянуться.
После того, как шифрование завершено, в каждый каталог сбрасывается требование выкупа в виде текстового файла. Помимо требований и угроз вымогателей, файл содержит уникальный идентификатор жертвы – Company ID и почтовый адрес. Вымогатели требуют, чтобы с их помощью жертвы регистрировались на специальном сайте для переговоров, – по сути, это просто чат, в котором злоумышленники торгуются с объектами атак.
Данные, украденные перед шифрованием, используются для двойного вымогательства, – это уже давно типичная практика для операторов шифровальщиков.