Разделы

Безопасность Бизнес

Хакеры переосмыслили наработки грозного шифровальщика Petya для атак на ПК под Windows, Linux и VMware ESXi

Шифровальщик Nevada атакует системы под Windows, Linux и VMware ESXi. Он использует процедуры, напоминающие шифровальщик Petya, и, похоже, является его прямым родственником.

Шифровальщик и партнеры

Новый шифровальщик Nevada обзавелся новой функциональностью, которая обеспечивает ему повышенный успех при атаках на системы под управлением Windows и, что важнее, VMware ESXi.

Nevada впервые была замечена на хакерском форуме RAMP 10 декабря 2022 г.. Шифровальщик предлагался главным образом русско- и китаеязычным хакерам на условиях дохода в 85% от каждого выплаченного выкупа (15% операторы Nevada взимали в качестве комиссии). Наиболее успешным партнерам комиссию обещали снизить до 10%.

Компоненты Nevada включают, собственно, шифровальный модуль, написанный на языке Rust, чат-портал для переговоров о выкупе, а также раздельные домены в Tor для операторов-партнеров и жертв атак.

При заражении в систему сперва сгружается файл MPR.dll, который осуществляет сбор информации о ресурсах целевой сети и заносит в очередь на шифрование все ресурсы с общим доступом. Туда же зачисляются все файлы на логических дисках за вычетом критических системных файлов в каталогах Windows и Program Files.

Фото: © VitalikRadko
Новый шифровальщик унаследовал чужие баги, но остается угрозой

Затем шифровальщик устанавливается как служба Windows, скомпрометированная система перезагружается в безопасном режиме (с активным сетевым соединением), и начинается шифрование с использованием алгоритма Salsa20. Для всех файлов крупнее 512 кбайт используется частичное шифрование, что заметно ускоряет процесс. Правда, Linux-версия содержит ошибку, из-за которой шифровальщик игнорирует любые файлы размером от 512 кбайт до 1,25 мегабайта.

Шифровальщик также выводит копии шифруемых данных на внешние ресурсы, контролируемые злоумышленниками.

Наследник Petya

Эксперты фирмы Resecurity, проанализировавшие вредонос, отметили, что и вариант под Windows, и версия под Linux и VMware ESXi используют один и тот же алгоритм с постоянной переменной. Тот же принцип использовал ранее шифровальщик Petya. Интересно, что в реализации шифрования в Nevada и Petya фигурируют одни и те же ошибки, что в теории позволяет восстановить доступ к зашифрованным файлам без выплаты какого-либо выкупа.

«Создатели шифровальщиков с удовольствием используют чужой код, продемонстрировавший высокую степень эффективности, так что ничего удивительного, если авторы Nevada действительно позаимствовали что-то из кода Petya, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Указанные уязвимости вполне могут оказаться исправленными в ближайшее время, если от них будет зависеть прибыльность всего предприятия».

Александр Шевелев, гендиректор «Северстали» в интервью CNews: Перейти на импортонезависимые решения металлургам мешает нехватка отечественного «железа»
Бизнес

Всем зашифрованным файлам присваивается расширение .NEVADA. Жертв уведомляют о том, что у них всего пять дней на выплату выкупа, в противном случае злоумышленники обещают выложить украденную информацию на своем сайте утечек.

Создатели сервиса заявили, что не собираются работать с англоязычными партнерами, но готовы к сотрудничеству с любыми брокерами, предлагающими доступ в корпоративные сети коммерческих компаний. Случаи покупки доступа уже известны.

Шифровальщики, предлагаемые на русскоязычных форумах в даркнете, обычно обходят стороной машины, на которых установлены русскоязычные локали операционных систем, и не атакуют жертв, проживающих на территории России и стран ближнего зарубежья.

Однако в списке «безопасных» локалей шифровальщика Nevada фигурируют также Албания, Венгрия, Вьетнам, Малайзия, Таиланд, Турция и Иран.

Роман Георгиев