Nové kmeny ransomwaru označovaného jako Luna dokážou zašifrovat zařízení s operačními systémy Windows, Linux a VMware ESXi. Novinky si všiml monitorovací systém Darknet Threat Intelligence bezpečnostní firmy Kaspersky, který na jednom z darknetových diskuzních fór zachytil reklamu na tento malware.
Luna je ve své podstatě velmi jednoduchý ransomware, který je stále ve fázi vývoje a má poměrně omezené možnosti založené na dostupných funkcích příkazového řádku. Od jiných podobných aplikací se liší používáním nepříliš obvyklého šifrovacího schématu.
Ransomware Luna
Bezpečnostní experti předpokládají, že ransomware je dílem ruských programátorů. K tomuto přesvědčení došli mimo jiné i na základě gramatických chyb nalezených v kódu – například místo slovního spojení „small team“ je používáno „little team“. „Z tohoto důvodu předpokládáme se střední mírou jistoty, že aktéři stojící za Lunou hovoří rusky,“ tvrdí odborníci.
„Naši odborníci objevili malware Luna v červnu. Je napsán v jazyce Rust a dokáže šifrovat zařízení se systémem Windows i Linux a také obrazy virtuálních počítačů ESXi,“ uvádí na webu Kaspersky editorka Julia Glazova.
V inzerátu na dark webu kyberzločinci tvrdí, že spolupracují pouze s rusky mluvícími partnery. To znamená, že cíle, jež útočníky zajímají, se s největší pravděpodobností nacházejí mimo území bývalého Sovětského svazu. Tomu nasvědčuje i skutečnost, že oznámení o výkupném vložené do kódu ransomwaru je napsáno v angličtině.
Není omezený jen na Windows
Použití multiplatformního jazyka Rust umožňuje ransomwaru Luna fungování na více platformách jen s velmi malými změnami zdrojového kódu. Kromě toho pomáhá vyhnout se pokusům o automatickou statickou analýzu kódu.
„Vzorky pro Linux i ESXi jsou zkompilovány s použitím stejného zdrojového kódu s několika drobnými změnami oproti verzi pro Windows. Zbytek kódu nevykazuje žádné významné změny oproti verzi pro Windows,“ upřesňují bezpečnostní experti.
Luna tak potvrzuje nejnovější trend kyberzločineckých skupin vyvíjejících multiplatformní ransomware, které používají jazyky jako Rust a Golang k vytvoření malwaru schopného zaútočit na více operačních systémů s malými nebo žádnými změnami.
Chraňte i linuxové servery
Aktuálně nejsou k dispozici údaje o tom, kolik obětí bylo ransomwarem Luna postiženo. Vzhledem k tomu, že skupina byla objevena teprve nedávno, je docela dobře možné, že zatím nemá na svém kontě žádné oběti. To se však může v dohledné době změnit.
Kaspersky varuje, že ransomware zůstává zejména pro firmy vážnou hrozbou. Na trhu se stále objevují noví hráči, kteří rychle přebírají nejroztodivnější trendy. Je tedy nutné sledovat aktuální hrozby a na jejich základě vytvářet strategii ochrany.
„Nezapomeňte, že všechna firemní zařízení směřující do internetu musí být vybavena bezpečnostními řešeními, včetně serverů se systémem Linux – útoky na ně jsou v poslední době stále častější,“ konstatují experti v samotném závěru své zprávy.
