2024: Появление вируса
Эксперты по кибербезопасности компании Trend Micro обнаружили новый вирус-вымогатель, атакующий операционные системы Linux и среды виртуализации VMware. Вирус, известный как TargetCompany, использует сложные методы проникновения и маскировки для шифрования данных и вымогательства выкупа у пользователей. Об этом в Trend Micro сообщили в июне 2024 года.
Вирус ранее атаковал базы данных в Windows-средах. В этот раз злоумышленники нацелились на системы под управлением Linux, активно используя шелл-скрипты для внедрения и запуска вредоносного ПО. Вирус особенно опасен для сред VMware ESXi, где он шифрует файлы с ключевыми расширениями и добавляет к ним суффикс .locked.
Как сообщили специалисты Trend Micro, для обхода защитных средств злоумышленники используют скрипты PowerShell и упаковщики Fully Undetectable Packers (FUD), что позволяет им скрыть вредоносную активность. Согласно исследованию Trend Micro, злоумышленники уже имеют первоначальный доступ к уязвимым серверам SQL, откуда и начинается распространение вируса. Скрипт PowerShell загружает основную вредоносную нагрузку, которая затем проверяет систему и передает информацию на сервер управления, после чего начинается процесс шифрования файлов.Как Threat Intelligence помогает бизнесу бороться с таргетированными кибератаками
Михаил Зайцев, эксперт по информационной безопасности компании SEQ, отметил, что успешная атака на среду виртуализации может привести к остановке процессов у всех пользователей этой среды. Это создает значительные трудности для операторов виртуальных хостов, так как они вынуждены одновременно справляться с потерей времени и ресурсов.
По его информации, злоумышленники, стоящие за TargetCompany, расширили свои цели, включив в них серверы виртуализации для нанесения большего ущерба и повышения шансов на получение выкупа. Для этого используется проверка среды, в которой работает вирус, включая определение VMware ESXi. Как только вирус определяет, что система функционирует в этой среде, он начинает шифровать критические файлы, что приводит к значительным сбоям в работе.
Специалисты по кибербезопасности Trend Micro подчеркивают необходимость усиленной защиты от новых вариантов вирусов-вымогателей. Внедрение многофакторной аутентификации (MFA), регулярное резервное копирование данных по правилу 3-2-1 и своевременное обновление систем и приложений могут значительно снизить риск атаки.
По данным Trend Micro, ответственным за атаки на Linux-системы является группировка под названием Vampire, ранее атаковавшая базы данных MS SQL. Исследования показали, что IP-адреса, связанные с доставкой вируса, принадлежат сетям интернет-провайдера в Китае.[1]