Новый штамм вымогателя Sicarii содержит критический дефект в управлении ключами RSA: закрытый ключ удаляется сразу после шифрования, делая данные невосстановимыми. Это подрывает стандартную модель RaaS. Эксперты Halcyon предупреждают о невозможности восстановления данных даже при уплате выкупа.
В недавно обнаруженном штамме вымогательского ПО Sicarii выявлен критический дефект в обработке ключей шифрования, который может сделать зашифрованные данные невосстановимыми, даже если жертва заплатит выкуп или воспользуется предоставленным дешифратором.
Аналитики из Исследовательского центра по программам-вымогателям Halcyon обнаружили, что Sicarii генерирует новые пары ключей RSA при каждом запуске, а затем отбрасывает закрытый ключ, не оставляя материала для восстановления зашифрованных систем.
Организации, пострадавшие от этого варианта, не могут рассчитывать на переговоры о выкупе или сторонние дешифраторы для восстановления файлов, если нет доказательств того, что лежащий в основе дефект был устранен в конкретном образце, заразившем их. «Проблема, по-видимому, вызвана плохим управлением ключами шифрования, а не преднамеренной конструкцией», — отмечает Сакши Гровер, старший менеджер по исследованиям в области кибербезопасности IDC. «Это отражает более широкую тенденцию в экосистеме программ-вымогателей, где низкий порог входа и быстрая монетизация имеют приоритет над технической надежностью».
О Sicarii впервые стало известно в декабре 2025 года, и пока зафиксировано лишь небольшое число заявленных жертв, но его необычные технические характеристики заставили исследователей предположить, что оно могло быть создано с помощью “vibe coding” (кодирования на основе интуиции/быстрого наброска).
Дефект шифрования разрушает стандартную модель RaaS
Программы-вымогатели обычно шифруют файлы с использованием схемы с открытым ключом, при которой злоумышленник сохраняет закрытый ключ или может восстановить его позже, что позволяет работать дешифратору в случае уплаты выкупа. Sicarii отклоняется от этой модели. В образцах, изученных Halcyon, оно полностью генерирует новую пару ключей RSA в системе жертвы при каждом запуске и немедленно отбрасывает закрытый ключ после завершения шифрования.
В результате у жертв не остается жизнеспособного пути для восстановления зашифрованных данных, даже если они сотрудничают с нападающими или используют опубликованный инструмент дешифрования. Согласно оповещению Halcyon, предприятиям следует предполагать неудачное восстановление с помощью дешифраторов, связанных с выкупом, если нет независимой проверки того, что этот дефект был устранен в данном штамме.
«Программа-вымогатель Sicarii представляет собой сценарий кошмара, в котором традиционные стратегии реагирования на программы-вымогатели полностью терпят неудачу», — заявил Агнидипта Саркар, главный евангелист ColorTokens. «Поскольку ни один дешифратор не может восстановить отброшенные закрытые ключи, предприятиям придется смириться с «полным уничтожением данных», что усугубит финансовый, операционный ущерб и репутационный урон».
Отсутствие восстановления с помощью дешифратора вынуждает организации планировать полное восстановление за счет резервных копий и альтернативных методов восстановления работы, что меняет для них анализ соотношения затрат и выгод. Это также повышает важность заранее созданной, безопасной инфраструктуры резервного копирования и быстрого изолирования. Halcyon настоятельно рекомендовал организациям сосредоточиться на немедленном сдерживании и восстановлении, а не на восстановлении через выкуп. Пораженные системы должны быть изолированы, определен масштаб заражения, а операции восстановлены только из заведомо исправных, офлайн- или неизменяемых резервных копий.
«Предприятия должны инвестировать в проактивную микросегментацию с нулевым доверием, которую можно внедрить за считанные часы, используя существующие EDR, агенты, безагентные механизмы для сдерживания угроз в точке первоначального доступа, предотвращая распространение шифрования», — добавил Саркар.
Необычный технический профиль намекает на vibe-coding
Одним из возможных объяснений сломанного процесса шифрования Sicarii являются незрелые или плохо реализованные методы разработки. Неспособность программы-вымогателя сохранить пригодные для использования ключи не соответствует устоявшемуся дизайну программ-вымогателей и предполагает, что она могла быть собрана без тщательного тестирования или четкого понимания операционных последствий, или даже создана с помощью vibe-coding.
«Halcyon с умеренной уверенностью предполагает, что разработчики могли использовать инструменты с поддержкой ИИ, что могло способствовать этой ошибке реализации», — говорится в аналитической записке исследователей.
Анализ Check Point Research, опубликованный ранее в этом месяце, также выявил ряд необычных и внутренне противоречивых характеристик. Согласно анализу, Sicarri использует израильский и еврейский символизм в своем брендинге и сообщениях, однако большая часть его подпольной активности происходит на русском языке. Кроме того, иврит, используемый в вредоносном ПО и коммуникациях, содержит ошибки, указывающие на то, что он либо неродной, либо получен с помощью автоматического перевода.
Помимо шифрования, Check Point зафиксировал, что Sicarii выполняет сбор учетных данных, сетевую разведку, сканирование уязвимостей и эксфильтрацию данных, что указывает на то, что операция включает в себя инструментарий, нетипичный для программ-вымогателей, мотивированных финансовой выгодой. «Sicarii значительно повышает профиль риска инцидентов с программами-вымогателями, смещая акцент с финансового вымогательства на потенциальную безвозвратную потерю данных и длительный сбой в работе бизнеса», — добавила Гровер. «В регулируемых отраслях это может дополнительно обострить последствия с точки зрения соблюдения нормативных требований, юридических вопросов и операционной деятельности».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma