Новая угроза из Азиатско-Тихоокеанского региона: мультиплатформенный шифровальщик 01flip, написанный на Rust

Исследовательская группа Unit 42 классифицирует эту деятельность как CL-CRI-1036, относя её к киберпреступным кластерам. Ключевой вывод аналитиков заключается в использовании злоумышленниками нового инструмента - 01flip, который поддерживает как Windows, так и Linux. Кроме того, есть свидетельства, что акторы, возможно связанные с этой активностью, уже предлагают на теневых форумах данные, похищенные у жертв. Хотя пока масштаб воздействия ограничен, эта кампания может быть связана с утечками конфиденциальной информации.

Изначально подозрительный исполняемый файл для Windows привлек внимание специалистов своим поведением, характерным для ransomware, в песочнице. Анализ показал, что это ранее неизвестное семейство, названное по добавляемому к файлам расширению ".01flip" и электронному адресу "01Flip@proton[.]me", указанному в требовании о выкупе. Позже была обнаружена и версия для Linux, которая оставалась необнаруженной антивирусными движками как минимум три месяца после первой загрузки в VirusTotal.

Жертвами, согласно данным исследования, стали организации критической инфраструктуры в Юго-Восточной Азии. На одном из публичных форумов по безопасности появилось сообщение от предполагаемой жертвы, заявившей о компрометации своего почтового сервера Zimbra. Исходя из ограниченной информации, можно предположить, что использование шифровальщика 01flip находится на ранней стадии. Однако сообщения на теневых форумах указывают на возможных жертв на Филиппинах и в Тайване.

Первичное проникновение в инфраструктуру жертвы, по-видимому, началось еще в апреле 2025 года с попыток эксплуатации устаревших уязвимостей, таких как CVE-2019-11580, в интернет-ориентированных приложениях. В мае злоумышленники успешно развернули в системе фреймворк для эмуляции действий противника Sliver, написанный на Go. После этого они переместились на другую машину Linux и примерно через неделю приступили к массовому развертыванию экземпляров 01flip на устройствах в сети, включая компьютеры под управлением обеих операционных систем. Скорее всего, для разведки, сбора учетных данных и перемещения по сети акторы использовали возможности Sliver.

С технической точки зрения образцы 01flip не упакованы и не обфусцированы, что позволило легко идентифицировать их происхождение из исходного кода на Rust. Использование этого современного языка компилятором усложняет анализ ассемблерного кода, однако сама функциональность вредоноса остается довольно простой. Основные действия включают перечисление всех доступных дисков, создание файлов с инструкциями по выкупу "RECOVER-YOUR-FILE.TXT" во всех доступных для записи директориях, шифрование файлов с использованием AES-128-CBC и RSA-2048, их переименование по шаблону "<ОРИГИНАЛЬНОЕ_ИМЯ>.<УНИКАЛЬНЫЙ_ID>.<0 или 1>.01flip" и последующее самоудаление.

Для уклонения от систем защиты 01flip применяет несколько техник. Во-первых, обе версии активно используют низкоуровневые API и системные вызовы, что помогает маскироваться под легитимную активность операционной системы. Во-вторых, большинство пользовательских строк в коде, включая текст вымогательства, список расширений для шифрования и RSA-ключ, хранятся в закодированном виде и декодируются непосредственно во время выполнения. Некоторые образцы также реализуют простую анти-песочную технику, проверяя, содержит ли имя запущенного файла строку "01flip", и в случае положительного результата пропуская этап шифрования.

Перед началом шифрования вредонос исключает файлы с определенными расширениями, полный список которых приведен в отчете исследователей. Интересно, что в этот список попало расширение ".lockbit". Это может указывать на возможное пересечение акторов, стоящих за CL-CRI-1036, с группой, связанной с печально известным ransomware LockBit, однако другие доказательства такой связи пока не обнаружены.

После завершения работы шифровальщик старается удалить все следы своего присутствия. Версия для Windows использует команды "fsutil" и "del", чтобы затереть свои данные, в то время как Linux-вариант применяет "dd" с "/dev/urandom" для перезаписи и последующего удаления.

Что касается возможной атрибуции, то злоумышленники требовали за дешифратор один биткойн. По состоянию на конец октября они не использовали типичный для современных RaaS-групп (Ransomware-as-a-Service) сайт двойного шантажа. Однако на следующий день после атаки на теневом форуме появилось сообщение с предложением данных скомпрометированной организации. Аккаунт, разместивший это сообщение, имеет историю продажи данных и сетевого доступа на известных площадках с 2020 года. Поскольку 01flip не имеет функционала для выгрузки данных, связь между этим пользователем и шифровальщиком прослеживается лишь через общую жертву.

В целом, активность CL-CRI-1036 демонстрирует растущую тенденцию использования киберпреступниками современных языков программирования, таких как Rust, для создания кроссплатформенных угроз. Хотя текущая кампания, судя по всему, находится в зачаточном состоянии, она уже связана с реальными атаками на критическую инфраструктуру и потенциальными утечками данных, что требует от специалистов по безопасности повышенного внимания к подобным техникам.

SHA256

• 6aad1c36ab9c7c44350ebe3a17178b4fd93c2aa296e2af212ab28d711c0889a3
• ba41f0c7ea36cefe7bc9827b3cf27308362a4d07a8c97109704df5d209bce191
• e5834b7bdd70ec904470d541713e38fe933e96a4e49f80dbfb25148d9674f957