Новый штамм вымогательского софта BlackSuit демонстрирует поразительное сходство с Royal

Анализ Linux -версии нового штамма вымогательского ПО под названием «BlackSuit» выявил значительное сходство данного программного обеспечения с другим семейством вымогателей под названием Royal.

Компания Trend Micro , которая и исследовала версию вредоноса для компьютеров с Linux, заявила, что выявила «чрезвычайно высокую степень сходства» между Royal и BlackSuit.

«Они почти идентичны, с 98% сходством функций, 99,5% сходства блоков и 98,9% сходства переходов на основе BinDiff , инструмента сравнения двоичных файлов», — отметили исследователи Trend Micro. В то время как сравнение Windows -версий вредоносных программ показло 93,2% сходства в функциях, 99,3% в базовых блоках и 98,4% в переходах на основе анализа BinDiff.

О BlackSuit впервые стало известно в начале мая этого года, когда подразделение Unit 42 из Palo Alto Networks обратило внимание на способность вредоноса атаковать как хосты на Windows, так и на Linux.

Как и многие другие вымогатели, операторы BlackSuit используют схему двойного вымогательства, при который хакеры сначала похищают конфиденциальные данные, а лишь потом шифруют, требуя денежный выкуп за восстановление и/или удаление.

Последние данные Trend Micro показывают, что и BlackSuit, и Royal используют AES OpenSSL для шифрования и аналогичные методы прерывистого шифрования для ускорения процесса работы программы.

«Появление программы-вымогателя BlackSuit (с её сходством с Royal) указывает на то, что это либо новый вариант, разработанный теми же авторами, либо подражатель, использующий аналогичный код. Либо же вообще филиал банды вымогателей Royal, который внедрил некоторые модификации в оригинальный код», — заявили в Trend Micro.

Учитывая, что Royal является ответвлением бывшей команды Conti, то вполне вероятно, что и BlackSuit тоже возник из отколовшейся группы внутри первоначальной банды вымогателей Royal. По крайней мере, так считают специалисты Trend Micro.

Разработка в очередной раз подчёркивает постоянную динамику развития сообщества вымогателей. Ведь то и дело появляются новые участники отрасли, способные модифицировать существующие инструменты и успешно зарабатывать на этом.

К этой же тенденции можно отнести вымогателей NoEscape, работающих по модели RaaS . По данным исследователей Cyble , эти злоумышленники предоставляют своим клиентам возможность использовать методы тройного вымогательства для максимального эффекта от успешной атаки.

Тройное вымогательство подразумевает под собой классическую эксфильтрацию и шифрование данных в сочетании с DDoS-атаками, полностью уничтожающими возможность организации-жертвы продолжить ведение бизнеса, чтобы вынудить её заплатить денежный выкуп.