Новый шифровальщик 01flip, написанный на Rust, всё чаще начал появляться в атаках на организации в Азиатско-Тихоокеанском регионе. По данным подразделения Unit 42 компании Palo Alto Networks, активность пока затронула ограниченное число целей, но включает структуры, связанные с критической инфраструктурой в Юго-Восточной Азии.
Авторы отчёта отслеживают кампанию под обозначением CL-CRI-1036 и считают, что злоумышленники действуют из финансовых побуждений и во многом вручную. В одном из случаев вскоре после инцидента на форуме в даркнете появилось сообщение о возможной публикации данных пострадавшей организации. Отдельно упоминается пост на профильном форуме, где предполагаемая жертва связывает взлом с компрометацией сервера Zimbra.
Первоначальный доступ, как отмечается, мог начинаться с попыток эксплуатации старых уязвимостей, включая CVE-2019-11580, на приложениях, доступных из интернета. Затем атакующие развернули Linux-версию Sliver — многоплатформенного инструмента, который используют для управления заражёнными узлами и перемещения внутри сети. Позже 01flip распространялся по инфраструктуре и запускался на устройствах под Windows и Linux, при этом точный механизм массового развёртывания установить не удалось.
Функциональность 01flip типична для вымогателей, но реализация на Rust усложняет разбор кода. Вредонос перечисляет диски, создаёт записки с инструкциями в доступных для записи каталогах, шифрует файлы с помощью AES-128-CBC, а ключ защищает RSA-2048, после чего переименовывает данные с добавлением расширения.01flip и старается удалить следы присутствия.
Для маскировки используются системные вызовы низкого уровня и кодирование строк, а в некоторых образцах обнаружена простая проверка на «песочницу»: при определённом имени файла шифрование не выполняется.
>>> Подробности
