Эксперты Palo Alto Networks обнаружили новый вид вредоносного ПО - ransomware под названием 01FLIP, получивший своё имя из-за расширения .01flip, которое присваивается зашифрованным файлам. Анализ образцов показал, что этот шифровальщик полностью написан на языке Rust, что делает его менее уязвимым для традиционных средств защиты. Использование менее распространённых языков программирования, таких как Rust, может быть частью стратегии злоумышленников по уклонению от обнаружения антивирусными системами.
Описание
На данный момент 01FLIP не получил широкого распространения и атакует лишь ограниченное число целей. Это говорит о том, что он не является частью экосистемы Ransomware-as-a-Service (RaaS), где вредоносное ПО распространяется массово через партнёрские сети. Однако даже локальные атаки могут нанести серьёзный ущерб, особенно если жертвами становятся предприятия с критически важными данными.
Одной из отличительных особенностей 01FLIP является отсутствие функции экфильтрации файлов. В отличие от многих современных шифровальщиков, которые не только блокируют доступ к данным, но и похищают их для последующего шантажа, этот ransomware сосредоточен исключительно на шифровании. Тем не менее, злоумышленники уже начали выходить на связь с жертвами: в одном из подтверждённых случаев киберпреступник потребовал 1 биткоин (около $60 000 по текущему курсу) за восстановление доступа к файлам, используя для переговоров приватный чат.
После запуска вредоносная программа начинает сканировать диски и искать файлы с определёнными расширениями. Если файл соответствует заданным критериям, он шифруется, а его имя изменяется по шаблону, включающему расширение .01flip. В каждой затронутой папке ransomware оставляет текстовый файл с инструкциями - RECOVER-YOUR-FILE.TXT, в котором содержатся требования выкупа и контакты злоумышленников.
| 1 2 3 4 5 6 7 8 9 10 11 | == IMPORTANT == Your files have been encrypted. Do not attempt to recover them yourself, as this may cause irreversible damage. Once we receive payment, we will immediately provide the decryption key to restore your data. Every hour of delay increases the risk of permanent data loss. Email: >> 01Flip@proton[.]me Session (hxxps[:]//getsession[.]org, copy and paste to send a friend request): >> [Note: information removed] Cipher: >> [Note: information removed] |
Хотя пока атаки носят точечный характер, эксперты предупреждают, что ситуация может измениться в любой момент. Если злоумышленники решат масштабировать свою деятельность или продать код другим киберпреступным группировкам, угроза может стать значительно серьёзнее. Уже сейчас компании должны принимать превентивные меры: обновлять системы защиты, обучать сотрудников кибербезопасности и регулярно создавать резервные копии критически важных данных.
Пока 01FLIP остаётся в тени более известных ransomware-семейств, таких как LockBit или BlackCat, но его появление подтверждает тренд на использование новых языков программирования в кибератаках. Rust, Go и другие современные языки позволяют создавать более сложные и устойчивые к анализу вредоносные программы, что усложняет работу специалистов по информационной безопасности.
Индикаторы компрометации
URLs
- https://getsession.org
Emails
SHA256
- 036e4fd7acc65c9410b4c1f8f420bbfbf648f896a0bc2f371ad0a83c727137b4
- 6aad1c36ab9c7c44350ebe3a17178b4fd93c2aa296e2af212ab28d711c0889a3
