Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Albabat: эволюция программ-вымогателей с динамической конфигурацией

3 мин
В конце 2023 года на киберпреступном горизонте появилась новая угроза — программа-вымогатель Albabat, также известная как White Bat. За короткий срок её развитие происходило стремительно: от версии 0.1.0 в ноябре, через 0.3.0 в декабре, до 0.3.3 в январе 2024 года. Этот вредоносный софт, написанный на языке Rust, предназначен преимущественно для операционных систем Windows, однако собирает системную информацию и с Linux, и с macOS. Уникальной особенностью Albabat является размещение файла конфигурации на GitHub. Во время своей работы программа-загрузчик обращается к этому репозиторию для получения: Файл config.json в формате JSON выступает в роли основного руководства для вредоносной активности. Это позволяет злоумышленникам динамически изменять поведение программ-вымогателей без необходимости пересборки или повторной доставки бинарных файлов. После запуска на Windows Albabat управляет несколькими критическими командами и процессами, включая: На платформах Linux и macOS Albabat огранич
Оглавление
Источник: blog.pulsedive.com
Источник: blog.pulsedive.com

Новый программ-вымогатель Albabat: эволюция угроз в кибербезопасности

В конце 2023 года на киберпреступном горизонте появилась новая угроза — программа-вымогатель Albabat, также известная как White Bat. За короткий срок её развитие происходило стремительно: от версии 0.1.0 в ноябре, через 0.3.0 в декабре, до 0.3.3 в январе 2024 года. Этот вредоносный софт, написанный на языке Rust, предназначен преимущественно для операционных систем Windows, однако собирает системную информацию и с Linux, и с macOS.

Особенности архитектуры и механизм работы Albabat

Уникальной особенностью Albabat является размещение файла конфигурации на GitHub. Во время своей работы программа-загрузчик обращается к этому репозиторию для получения:

  • команд управления;
  • списка файлов для шифрования;
  • шаблона уведомления о требовании выкупа;
  • дополнительных ресурсов, таких как обои и иконки.

Файл config.json в формате JSON выступает в роли основного руководства для вредоносной активности. Это позволяет злоумышленникам динамически изменять поведение программ-вымогателей без необходимости пересборки или повторной доставки бинарных файлов.

Методы обхода защиты и нанесение ущерба

После запуска на Windows Albabat управляет несколькими критическими командами и процессами, включая:

  • вмешательство в защиту Microsoft Defender с помощью PowerShell;
  • удаление теневых копий для затруднения восстановления данных;
  • модификацию процесса загрузки ОС, позволяющую игнорировать ошибки;
  • отключение функций автоматического восстановления;
  • изменение реестра для ограничения доступа к командной строке и диспетчеру задач.

На платформах Linux и macOS Albabat ограничивается сбором системной информации (версия ОС, характеристики материнской платы, тип процессора, MAC-адрес), избегая сбоев критичных системных процессов. Однако стоит отметить наличие явных типографических ошибок в списках процессов Linux, что может указывать на небрежность или недостаточную проработку вероятных целей атаки.

Шифрование данных и требования выкупа

Сам процесс шифрования сопровождается применением жестко закодированного открытого ключа, который находится в конфигурационном файле. Albabat последовательно завершает процессы, способные препятствовать шифрованию, используя утилиту taskkill. Вредонос добавляет к зашифрованным файлам произвольное расширение (в примерах — .kZwtY8rR), чтобы скрыть их оригинальные форматы.

Жертвы получают требование выкупа в виде HTML-файла с подробными инструкциями и уникальным PIN-кодом для идентификации при дальнейшем общении с операторами. Для связи предлагаются защищённые мессенджеры и альтернативные электронные почтовые адреса, что свидетельствует о продуманной организации коммуникаций между злоумышленниками и жертвами.

Последние тенденции и перспективы развития Albabat

Отчёты экспертов показывают, что разработчики Albabat постоянно совершенствуют свои инструменты. Недавно была зафиксирована версия 2.5.0, которая расширила возможности оплаты выкупа, добавив поддержку сразу нескольких криптовалют, таких как Ethereum, Solana и BNB, наряду с традиционным биткоином.

Текущие возможности модификации через конфигурационный файл config.json без необходимости пересборки всего бинарного файла подчёркивают инновационный подход в построении инфраструктуры программ-вымогателей и делают Albabat одной из наиболее гибких и опасных угроз на сегодняшний день.

Подводя итог, Albabat демонстрирует современный уровень организации вредоносных кампаний, сочетающий динамическое управление, сложные методы обхода защиты и многообразие вариантов получения выкупа, что требует от специалистов по кибербезопасности пристального внимания и оперативного реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Albabat: эволюция программ-вымогателей с динамической конфигурацией".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.