Недавно был обнаружен новый вариант выкупного ПО TargetCompany, который нацелен на среды Linux. Группа разработчиков использует сценарий оболочки для доставки и выполнения полезной нагрузки, что является новым методом для данного ПО.
Сценарий оболочки также отправляет информацию о жертве на два разных сервера, что обеспечивает резервное копирование данных злоумышленникам. Целью разработчиков являются серверы VMWare ESXi, чтобы повысить эффективность атак и увеличить шансы на получение выкупа.
Группа TargetCompany использует методы обхода средств защиты и злоупотребляет обфускаторами для обхода интерфейсов сканирования антивирусных программ. Они также нацеливаются на критически важные среды Linux, расширяя круг потенциальных жертв.
Вариант Linux от TargetCompany может проверять, работает ли машина в среде VMWare ESXi и только в этом случае выполнять вредоносные действия. После выполнения программа отправляет информацию о жертве на командно-контрольный сервер.
Злоумышленники также добавляют расширение к зашифрованным файлам и отправляют сообщение о выкупе с инструкциями по расшифровке. Для выполнения атаки используется сценарий оболочки, который проверяет наличие файла с информацией о жертве.
Indicators of Compromise
URLs
- http://111.10.231.151:8168/general/vmeet/upload/temp/post.php
- http://111.10.231.151:8168/general/vmeet/upload/temp/x
- http://111.10.231.151:8168/general/vmeet/upload/temp/x.sh
SHA1
- 0f6bea3ff11bb56c2daf4c5f5c5b2f1afd3d5098
- 2b82b463dab61cd3d7765492d7b4a529b4618e57
- 3642996044cd85381b19f28a9ab6763e2bab653c
- 4cdee339e038f5fc32dde8432dc3630afd4df8a2
- 9779aa8eb4c6f9eb809ebf4646867b0ed38c97e1
- dffa99b9fe6e7d3e19afba38c9f7ec739581f656
