Пока специалисты Sonatype разбираются со злоумышленниками, распространяющими зловредные NPM-пакеты на Windows, эксперты компании из Словакии ESET обнаружили вредоносное ПО для операционных систем семейства Linux и FreeBSD.
Пользователям этих систем новый шифровальщик от группировки интернет-вымогателей HIve пока не так страшен. Как говорится в твиттере словацкой компании, он не имеет серьезного функционала, поддерживает всего один-единственный параметр командной строки (-no-wipe) и находится в стадии разработки. Для сравнения, похожая версия для Windows имеет около 5 вариантов выполнения, включая завершение процессов, пропуск очистки диска, неинтересные файлы и старые файлы. Версия программы-вымогателя для Linux также не может запустить шифрование без прав root, поскольку она пытается удалить уведомление о выкупе в корневых файловых системах зараженных устройств.
В компании ESET Research Labs заявили, что данный вирус написан на языке golang и использует метод обфускации. Go или golang — язык программирования, разработанный внутри компании Google. На данный момент поддержка официального компилятора, разрабатываемого создателями языка, осуществляется для операционных систем FreeBSD, OpenBSD, Linux, macOS, Windows, DragonFly BSD, Plan 9, Solaris, Android, AIX. Обфускация — метод, при котором приведение исходного кода программы к виду, в котором затрудняется анализ при декомпиляции, но при этом функциональность данной программы сохраняется (так называемое «запутывание» кода).
Группа вымогателей Hive, действующая как минимум с июня 2021 года, уже атаковала более 30 организаций. Так, например, вирус-вымогатель Hive заразил систему здравоохранения Мемориал (Memorial Health System) 15 августа 2021 года. Злоумышленники утверждают, что украли данные пациентов, включая имена, номера социального страхования, даты рождения, адреса и номера телефонов, а также истории болезни 200 тысяч пациентов и еще 1,2 ТБ других данных. Возможные масштабы вымогательства больше, так как эти 30 организаций отказались платить.
Но Hive — это всего лишь одна из многочисленных группировок программ-вымогателей, которые начали атаковать серверы Linux. К увеличению количества атак мог привести и тот факт, что многие организации сейчас для удобства администрирования и более эффективного использования ресурсов оборудования медленно переходят на виртуальные решения. Это выгодно хакерам, которые могут одной командой с помощью программ-вымогателей зашифровать несколько серверов одновременно.
Так в июне исследователи заметили другой шифровальщик Linux-вымогателей REvil, предназначенный для виртуальных машин VMware ESXi, популярной корпоративной платформы виртуальных машин. Технический директор Emsisoft Фабиан Восар сообщил порталу BleepingComputer, что истинная причина, по которой большинство хакеров-вымогателей создали новые программы-вымогатели для Linux, состоит в том, чтобы нацелиться именно на ESXi. Это вполне вероятно, так как ESXi хоть и является собственной средой виртуализации, написанной почти с нуля, все равно имеет глубокие корни из Linux.
