Эксперты по кибербезопасности из Unit 42 обнаружили новые образцы вредоносного программного обеспечения, связанные с разработкой шифровальщика ShinySp1d3r. Данная угроза ассоциируется с известной киберпреступной группировкой Bling Libra, которая ранее действовала под названием ShinyHunters. Аналитики отмечают, что ransomware (программа-вымогатель) создается с нуля и в настоящее время находится в активной разработке.
Описание
В ходе исследования образцов специалисты выявили внедренный URL-адрес, который предположительно является заготовкой для будущего сайта утечек данных в сети Tor. Обнаруженный адрес hxxp://sh1nysp1d3rxyz123456789abcdefghijklmnopqrstuvwxyz[.]onion/ может использоваться для шантажа жертв после шифрования их файлов. При этом открытые источники указывают на скорый выход Linux-версии вредоносной программы.
Группировка Bling Libra, отслеживаемая с 2020 года, постепенно эволюционирует в своих методах монетизации. Изначально специализируясь на атаках с использованием программ-вымогателей, сейчас киберпреступники переключились на кражу данных и последующий шантаж клиентов SaaS-сервисов. По имеющимся данным, группировка является частью более крупного преступного синдиката Scattered Lapsus$ Hunters (SLSH).
Особенностью новой разработки злоумышленников является самостоятельное создание шифровальщика без использования готовых решений. Такой подход свидетельствует о серьезных технических возможностях группировки. Однако текущая стадия разработки означает, что финальная версия может существенно отличаться от изучаемых сейчас образцов по функциональности и даже по названию.
Эксперты подчеркивают важность мониторинга активности Bling Libra, учитывая их прошлые успешные атаки на различные отрасли по всему миру. Появление Linux-версии расширит потенциальный круг жертв, включив в него серверные инфраструктуры предприятий. Сейчас специалисты продолжают поиск дополнительных образцов и индикаторов компрометации, связанных с этим семейством вредоносных программ.
Активное развитие нового шифровальщика совпадает с общим трендом на усложнение инструментов киберпреступников. Переход от использования готовых решений к самостоятельной разработке позволяет злоумышленникам создавать более специализированные и скрытные атаки. В связи с этим компаниям рекомендуется усилить защиту критически важных данных и систем.
В настоящее время Unit 42 продолжает расследование и призывает организации делиться информацией о возможных инцидентах, связанных с ShinySp1d3r. Своевременный обмен индикаторами компрометации поможет отрасли лучше подготовиться к потенциальным атакам с использованием этого шифровальщика. Особое внимание следует уделить мониторингу сетевой активности, связанной с обнаруженными доменами.
Индикаторы компрометации
URLs
- http://sh1nysp1d3rxyz123456789abcdefghijklmnopqrstuvwxyz.onion/
SHA256
- 3bf53cddf7eb98d9cb94f9aa9f36c211a464e2c1b278f091d6026003050281de
- 62dc6ed7c83769648b5c59ad9cc2a4e26daec96a952eb44c93fd45f2011a3444
- 670a269d935f1586d4f0e5bed685d15a38e6fa790f763e6ed5c9fdd72dce3cf2
