Киберпреступники активно распространяют новый вариант программы-вымогателя под названием BianLian. Зловред написан на Go.

По словам исследователей из Cyble Research Labs, популярность BianLian растёт с тех пор, как она была впервые обнаружена ​​в середине июля 2022 года. Основную тяжесть атак BianLian принял на себя сектор СМИ и развлечений: на данный момент 25% жертв относятся к этой отрасли, примерно по 12,5% — к секторам профессиональных услуг, производства, здравоохранения, энергетики и коммунальных услуг, а также образования.

По словам исследователей, злоумышленники, использующие BianLian, требуют необычно высокие суммы выкупа и используют уникальный стиль шифрования, который делит содержимое файла на фрагменты по 10 байт, чтобы избежать обнаружения антивирусными продуктами. «Сначала он считывает 10 байтов из исходного файла, затем шифрует байты и записывает зашифрованные данные в целевой файл», — утверждают исследователи Cybel.

Операторы BianLian угрожают пострадавшим компаниям, что сольют их финансовые, клиентские, деловые, технические и личные файлы в интернет, если требования о выкупе не будут выполнены в течение 10 дней. Для связи злоумышленники используют площадки, размещаемые в onion-сети.

BianLian действует аналогично другим типам программ-вымогателей. Он шифрует файлы после заражения целевой системы и отправляет жертвам сообщение с инструкцией по дальнейшим действиям. Программа-вымогатель использует пакеты GoLang, такие как « crypto/cipher», «crypto/aes» и «crypto/rsa»  для шифрования файлов на компьютере-жертве.

По словам исследователей, после запуска программы-вымогателя BianLian пытается определить, работает ли файл в среде WINE, проверяя функцию wine_get_version() через API GetProcAddress(). Затем программа-вымогатель создаёт несколько потоков с помощью API-функции CreateThread() для более быстрого шифрования файлов, что, по их словам, также усложняет реверс-инжиниринг вредоносного ПО.

Затем вредоносное ПО идентифицирует системные диски с помощью API-функции GetDriveTypeW() и шифрует любые файлы, доступные на подключённых дисках, прежде чем удалить заметку о программе-вымогателе, говорят исследователи. Затем программа-вымогатель удаляет себя командой cmd /c del C:\Users\<Admin>\Desktop\new_one.exe , оставляя на машине жертвы только зашифрованные файлы и сообщение с требованием выкупа.

BianLian примечателен тем, что использует Go в качестве основного языка. Это даёт злоумышленникам больше гибкости как при разработке, так и при развёртывании вредоносного ПО. Кроссплатформенность Go позволяет компилировать единую кодовую базу во все основные операционные системы. Это позволяет злоумышленникам (в том числе тем, кто стоит за BianLian), вносить изменения и добавлять новые возможности в вредоносное ПО, чтобы избежать обнаружения.

Помимо BianLian, использующего возможности Golang, можно вспомнить ботнет под названием Kraken, который недавно всплыл на поверхность, а также Blackrota, сильно запутанный бэкдор.

В связи с этим нужно напомнить старые, но эффективные методы защиты от программ-вымогателей:

• регулярное резервное копирование в автономном режиме;

• обновление программного обеспечения устройства, в идеале с помощью автоматических обновлений программного обеспечения;

• запуск антивирусного программного обеспечения на устройствах;

• отказ от открытия любых подозрительных или неизвестных ссылок и вложений.

Подробнее о зловреде и его особенностях можно узнать в этой статье.

Что ещё интересного есть в блоге Cloud4Y

→ Как открыть сейф с помощью ручки

→ OpenCat — создай своего робокотика

→ Как распечатать цветной механический телевизор на 3D-принтере

→ WD-40: средство, которое может почти всё

→ Изобретатели, о которых забыли

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем только по делу. А ещё напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube и ВКонтакте.