Стильно, модно, молодежно (и на Rust). Новый вирус 01flip кошмарит админов.

leer en español

01flip Palo Alto Networks Unit 42 Rust Sliver CL-CRI-1036 вымогательское ПО
Стильно, модно, молодежно (и на Rust). Новый вирус 01flip кошмарит админов.
01flip Palo Alto Networks Unit 42 Rust Sliver CL-CRI-1036 вымогательское ПО

Пострадавшие связывают взломы с уязвимостью в почтовом сервере Zimbra.

image

Новый шифровальщик 01flip, написанный на Rust, всё чаще начал появляться в атаках на организации в Азиатско-Тихоокеанском регионе. По данным подразделения Unit 42 компании Palo Alto Networks, активность пока затронула ограниченное число целей, но включает структуры, связанные с критической инфраструктурой в Юго-Восточной Азии.

Авторы отчёта отслеживают кампанию под обозначением CL-CRI-1036 и считают, что злоумышленники действуют из финансовых побуждений и во многом вручную. В одном из случаев вскоре после инцидента на форуме в даркнете появилось сообщение о возможной публикации данных пострадавшей организации. Отдельно упоминается пост на профильном форуме, где предполагаемая жертва связывает взлом с компрометацией сервера Zimbra.

Первоначальный доступ, как отмечается, мог начинаться с попыток эксплуатации старых уязвимостей, включая CVE-2019-11580, на приложениях, доступных из интернета. Затем атакующие развернули Linux-версию Sliver — многоплатформенного инструмента, который используют для управления заражёнными узлами и перемещения внутри сети. Позже 01flip распространялся по инфраструктуре и запускался на устройствах под Windows и Linux, при этом точный механизм массового развёртывания установить не удалось.

Функциональность 01flip типична для вымогателей, но реализация на Rust усложняет разбор кода. Вредонос перечисляет диски, создаёт записки с инструкциями в доступных для записи каталогах, шифрует файлы с помощью AES-128-CBC, а ключ защищает RSA-2048, после чего переименовывает данные с добавлением расширения.01flip и старается удалить следы присутствия.

Для маскировки используются системные вызовы низкого уровня и кодирование строк, а в некоторых образцах обнаружена простая проверка на «песочницу»: при определённом имени файла шифрование не выполняется.

Сумма выкупа в зафиксированных случаях составляла один биткоин (около 90 тысяч долларов на момент публикации). При этом у кампании пока не видно характерной для крупных групп инфраструктуры двойного вымогательства. Любопытной деталью стала строка «lockbit» в списке исключений расширений, из-за чего допускается возможное пересечение с экосистемой LockBit, однако других подтверждений этой связи не найдено.