Исследователи AT&T Alien Labs анализируют версию вымогателя Darkside для Linux

Вскоре после появления Colonial Pipeline разработчики Darkside объявили о закрытии операций. Тем не менее, исследователи из AT&T Alien Labs обнаружили доказательства того, что группа завершила версию своего вредоносного ПО для Linux, нацеленную на серверы ESXi, на которых размещены виртуальные машины VMware. К этому моменту авторы анонсировали версию Darkside 2.0 с возможностями Linux.

Офер Каспи, исследователь безопасности в AT&T Alien Labs, написал в блоге на эту тему:

«Серверы Linux и UNIX всегда были предпочтительным вариантом для серверов и центров обработки данных, вероятно, из-за небольшой поверхности атаки серверов, жестких конфигураций и отсутствия взаимодействия с пользователем.

Однако их часто устанавливают, а затем забывают, оставляя без механизмов обнаружения или защиты. Это делает их очень привлекательными для злоумышленников.

Заражая незащищенные серверы виртуализации, злоумышленники могут совершать разрушительные атаки на компании, отключая все службы компании с помощью одного заражения».

В отличие от обычных программ-вымогателей Linux, которые в основном заархивируют файлы с паролем, Darkside шифрует файлы с помощью криптографических библиотек. Это, вероятно, делает восстановление без ключа шифрования невозможным, если оно правильно реализовано.

Каспи дал следующие советы:

1. Обновляйте программное обеспечение с помощью обновлений безопасности.
2. Тщательно отслеживайте подозрительные электронные письма и управляйте ими.
3. Используйте систему резервного копирования для резервного копирования файлов сервера.
4. Установите антивирус и EDR на всех конечных точках.
5. Убедитесь, что двухфакторная аутентификация включена во всех службах.