Вирусе 01flip - этот шифровальщик, написанный на языке программирования Rust, всё чаще стал появляться в атаках на организации в Азиатско-Тихоокеанском регионе.
По данным подразделения Unit 42 компании Palo Alto Networks, активность пока затронула ограниченное число целей, но включает структуры, связанные с критической инфраструктурой в Юго-Восточной Азии. Это серьёзный сигнал для всех, кто заботится о безопасности своих данных.
Как работает вирус 01flip
Авторы отчёта отслеживают кампанию под обозначением CL-CRI-1036 и считают, что злоумышленники действуют из финансовых побуждений и во многом вручную. В одном из случаев вскоре после инцидента на форуме в даркнете появилось сообщение о возможной публикации данных пострадавшей организации.
Первоначальный доступ мог начинаться с попыток эксплуатации старых уязвимостей, включая CVE-2019-11580, на приложениях, доступных из интернета. Затем атакующие развернули Linux-версию Sliver — многоплатформенного инструмента, который используют для управления заражёнными узлами и перемещения внутри сети. Позже 01flip распространялся по инфраструктуре и запускался на устройствах под Windows и Linux.
Функциональность 01flip типична для вымогателей, но реализация на Rust усложняет разбор кода. Вредонос перечисляет диски, создаёт записки с инструкциями в доступных для записи каталогах, шифрует файлы с помощью AES-128-CBC, а ключ защищает RSA-2048, после чего переименовывает данные с добавлением расширения .01flip и старается удалить следы присутствия. Для маскировки используются системные вызовы низкого уровня и кодирование строк, а в некоторых образцах обнаружена простая проверка на «песочницу»: при определённом имени файла шифрование не выполняется.
Что делать, чтобы защититься
Сумма выкупа в зафиксированных случаях составляла один биткоин (около 90 тысяч долларов на момент публикации). При этом у кампании пока не видно характерной для крупных групп инфраструктуры двойного вымогательства.
Чтобы защититься от подобных угроз, важно регулярно обновлять программное обеспечение, использовать надёжные пароли и двухфакторную аутентификацию, а также быть внимательным к сообщениям о возможных атаках. Кроме того, стоит проводить проверки на уязвимости и обращаться к специалистам по кибербезопасности для аудита инфраструктуры.
Заключение
Будьте бдительны и осторожны в интернете! Следите за новостями в области кибербезопасности и принимайте меры для защиты своих данных. Если у вас есть вопросы или вы столкнулись с подозрительной активностью, не стесняйтесь обращаться к специалистам.
FAQ
Вопрос: Как часто нужно обновлять программное обеспечение для защиты от вирусов?
Ответ: Регулярно обновляйте программное обеспечение, чтобы закрыть уязвимости, которые могут быть использованы злоумышленниками.
———
Вопрос: Что такое двухфакторная аутентификация и зачем она нужна?
Ответ: Двухфакторная аутентификация — это дополнительный уровень защиты, который требует от пользователя не только пароль, но и дополнительный код, например, отправленный по SMS или сгенерированный приложением. Это значительно усложняет несанкционированный доступ к вашим учётным записям.
———
Вопрос: Какие ещё меры можно предпринять для защиты от киберугроз?
Ответ: Помимо обновления ПО и использования двухфакторной аутентификации, важно быть внимательным к сообщениям о возможных атаках и проводить регулярные проверки на уязвимости. Также полезно следить за новостями в области кибербезопасности и обращаться к специалистам по кибербезопасности для аудита инфраструктуры.
———
Вопрос: Где найти надёжного специалиста по кибербезопасности?
Ответ: Надёжного специалиста по кибербезопасности можно найти через профессиональные сообщества, форумы или рекомендации от коллег. Также многие компании предлагают услуги по кибербезопасности, включая аудит и консультации.
══════
Больше материалов: Центр знаний SecureDefence.
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]