Эволюция программы-вымогателя Albabat: новые угрозы для организаций
Источник: www.trendmicro.com
Недавние исследования компании Trend Research выявили значительные изменения в программе-вымогателе Albabat, которая теперь нацелена не только на системы Windows, но и на устройства Linux и macOS. Этот переход подчеркивает эволюцию методов киберпреступников и углубление их тактики.
Инновационный подход к управлению данными
В новых версиях Albabat, включая 2.0.0 и 2.5, была внедрена интеграция с GitHub REST API для управления данными конфигурации. Хакеры оптимизируют свои операции, используя репозиторий GitHub, обозначенный как billdev.github.io. Несмотря на то, что это хранилище в настоящее время закрыто, доступ к нему можно получить с помощью токена аутентификации, который был найден во время оценки угроз.
Способы маскировки и обхода защиты
Извлеченные из хранилища данные конфигурации содержат информацию о работе программы-вымогателя, включая её способность обходить определенные папки. Это позволяет минимизировать вероятность обнаружения во время заражения. К числу таких папок относятся:
- AppData
- $RECYCLE.BIN
- Системные папки, не содержащие пользовательские данные
Методология и финансовые аспекты
Программа-вымогатель, по всей видимости, использует базу данных PostgreSQL для регистрации статусов заражения и выплат выкупа, что указывает на высокую степень организованности в управлении скомпрометированными системами и их финансовыми аспектами. Более того, версия 2.5 находится в стадии разработки, что подтверждается обнаружением файла config.json в выделенном каталоге.
Новые возможности для финансовых транзакций
Новая версия программы включает в себя дополнительные криптовалютные кошельки для таких валют, как Bitcoin, Ethereum, Solana и BNB, что открывает возможности для более сложных финансовых операций, хотя пока никаких изменений зафиксировано не было.
Выводы и рекомендации
Эволюция программы-вымогателя Albabat подчеркивает сегодняшний тренд среди киберпреступников использовать общедоступные ресурсы для усиления своей деятельности. Организациям необходимо быть готовыми к рискам, связанным с программами-вымогателями, чтобы избежать возможных сбоев в работе и значительных финансовых потерь.
Превентивные меры остаются ключевыми в борьбе с угрозами подобного рода:
- Внедрение строгих мер контроля доступа
- Своевременное обновление систем
- Регулярное и безопасное резервное копирование данных
Постоянное информирование о возникающих угрозах и меняющихся тактиках киберпреступников является важным аспектом обеспечения безопасности организаций в условиях неизменно развивающегося ландшафта киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
