Новая версия Royal Ransomware нацелена на Linux-системы

Впервые данная программа-вымогатель была обнаружена в сентябре прошлого года и изначально распространялась только на системах под управлением Windows. Согласно результатам исследования Trend Micro, Royal попала в топ 3 самых активных кампаний в четвёртом квартале 2022 года, уступая только LockBit и BlackCat. В своих ранних версиях программа использовала шифровальщик BlackCat, но позже перешла на собственный Zeon, а в последних версиях распространилась на Linux и сервера ESXi. Жертвами чаще всего становится малый (51,9%) и средний (26,8%) бизнес. Лишь 11,3% за этот период составили крупные предприятия. Их основными целями были компании в сфере информационных технологий, финансов, здравоохранения, а также пищевой промышленности.


Анализ ВПО DarkCloud Stealer

Специалисты Cyble Research and Intelligence Labs (CRIL) заметили рост активности спам-кампаний по распространению DarkCloud Stealer по всему миру. ВПО может красть конфиденциальную информацию с зараженных устройств, включая пароли, номера кредитных карт, номера социального страхования и другую личную или финансовую информацию. Возможности кражи данных стилера DarkCloud включают использование SMTP, Telegram, веб-панели и FTP. С января 2023 года программа-вымогатель была выставлена злоумышленниками на продажу. В конструкторе пользователь имеет возможность дополнительно включать функции «граббера» и «клипера». Специалисты CRIL подробно разобрали этапы заражения, привели рекомендации для снижения рисков, а также предоставили список IOCs для выявления ВПО.


Защита от Zero-click exploits

Эксплойты zero-click — это сложные угрозы, использующие уязвимость без какого-либо взаимодействия с пользователем. Как правило, атаки включают в себя отправку сообщения или файла с вредоносным кодом, после получения используются различные уязвимости для предоставления злоумышленнику доступа. Наиболее известным примером является эксплойт Pegasus для IPhone от компании NSO Group. Samsung презентовала новую функцию Message Guard — это изолированное виртуальное пространство на смартфоне, которое действует как место временного хранения для поступивших файлов. По результатам проверки, система может поместить файл на карантин и изолировать от ОС смартфона. Таким образом, защита автоматически нейтрализует любую потенциальную угрозу прежде, чем она сможет причинить вред устройству.