Группа Albabat ransomware, преследующая финансовые цели, обновила свои методы шифрования: новые версии 2.0.0 и 2.5, выявленные с конца 2023 и начала 2024 года, теперь нацелены не только на Windows, но и на Linux с macOS для сбора системной и аппаратной информации.
В операциях злоумышленников используется GitHub, что значительно упрощает управление вредоносным ПО. Приватный репозиторий , зарегистрированный под именем «Bill Borguiann», создан 27 февраля 2024 года и регулярно обновляется; последний коммит датируется 22 февраля 2025 года, а активность пиковала в августе и сентябре 2024 года, преимущественно в период с 00:00 до 04:00 UTC и с 12:00 до 16:00 UTC.
Конфигурационные файлы вредоносного ПО содержат список директорий для сбора данных – BIN, System Volume Information, windows.old, steamapps, perflogs, ansel, tmp, node_modules, cache, vendor, target, Mozilla, venv, env, Chrome, google-chrome, pypoetry, vimfiles, viminfo, site-packages, scoop, go, temp, src – а также множество типов файлов с расширениями.ico,.cur,.theme,.themepack,.bat,.com,.cmd,.cpl,.prf,.icls,.idx,.mod,.pyd,.vhdx,._pth,.hta,.mp3,.CHK,.pickle,.pif,.url,.ogg,.tmp,.dat,.exe,.lnk,.win,.vscdb,.bin,.cab,.inf,.lib,.tcl,.cat,.so,.msi,.vpk,.vc,.cur,.ini,.bik,.sfx,.xnb,.ttf,.otf,.woff,.woff2,.vfont,.resource,.N2PK,.log,.pkg,.desktop,.dll,.pkr,.arc,.sig,.bk2,.arz,.swf,.qt,.wma,.mp2,.vdf,.pdb,.nfo,.whl,.mui,.srm,.smc,.dic,.lock,.pyc,.TAG,.locale,.store,.sdi,.library-ms,.acf,.po,.mo, а также файлы ntuser.ini, iconcache.db, Thumbs.db и.DS_Store. В качестве целей также используются исполняемые файлы, такие как processhacker.exe, regedit.exe, code.exe, excel.exe, powerpnt.exe, winword.exe, msaccess.exe, mspub.exe, msedge.exe, virtualboxvm.exe, virtualbox.exe, chrome.exe, cs2.exe, steam.exe, postgres.exe, mysqlworkbench.exe, outlook.exe, mysqld.exe, windowsterminal.exe, powershell.exe, cmd.exe, sublime_text.exe, microsoft.photos.exe и photosapp.exe.
Полученные конфигурационные данные позволяют злоумышленникам точно определять, куда сохраняется информация с зараженных систем, что используется для формулирования требований о выкупе, мониторинга будущих заражений и последующей продажи данных. Наличие команд для Linux и macOS в конфигурации указывает на разработку бинарных файлов, специально ориентированных на эти платформы.
В каталоге «2.5.x» репозитория обнаружен файл config.json, содержащий сведения о разработке новой версии вредоносного ПО. Конфигурация данного файла открывает информацию о новых криптовалютных кошельках для Bitcoin, Ethereum, Solana и BNB, что свидетельствует о планах финансировать будущие атаки, хотя текущие транзакции через эти кошельки не зафиксированы.
Работа с конфигурационными данными осуществляется через GitHub REST API с использованием заголовка «User-Agent: Awesome App». Передача осуществляется посредством аутентификационного токена, обнаруженного с помощью Fiddler, что позволяет злоумышленникам получать ключевые параметры функционирования вредоносного ПО и отслеживать места хранения данных на зараженных системах.
Специальные индикаторы компрометации (IoCs) помогают в раннем обнаружении Albabat. Среди них – фильтрация командной строки по критериям eventSubId: 2 и processCmd с шаблоном /cmd.+wmic (cpu|csproduct|os|nic). Примеры SHA1-хэшей, таких как 1cc2d1f2a991c19b7e633a92b1629641c019cdeb, c7c52fdaecf325dfaf6eda14e0603579feaed40a, 8a3ea65147a156d381d8f1773e91eb8e0f6b1e40, 8de54cad9d6316679580c91117b484acb493ab72 и d67dc8c4232a3943a66608d62874923e9a3fb628, помечены как Ransom.Win64.ALBABAT.THBBEBE, что значительно упрощает их идентификацию в ходе расследований.
Применение комплексных мер кибербезопасности крайне необходимо для предотвращения атак Albabat. Рекомендуется использовать строгие меры контроля доступа к конфиденциальным данным, регулярно обновлять системы и патчи, создавать и тестировать резервные копии, а также сегментировать сеть для ограничения распространения угроз. Дополнительно, обучение пользователей распознаванию фишинговых атак и постоянный мониторинг индикаторов компрометации, с применением технологий, подобных Trend Cybertron, снижающих риск заражения на 92% и время обнаружения угроз на 99%, позволяют существенно укрепить защиту.
Атаки Albabat приводят к серьезным репутационным, операционным и финансовым потерям, если происходит захват и блокировка критически важной информации. Постоянный анализ киберугроз с использованием Threat Insights обеспечивает эффективное обнаружение, сдерживание и предупреждение атак, позволяя оперативно противодействовать растущей угрозе.
Изображение носит иллюстративный характер
В операциях злоумышленников используется GitHub, что значительно упрощает управление вредоносным ПО. Приватный репозиторий , зарегистрированный под именем «Bill Borguiann», создан 27 февраля 2024 года и регулярно обновляется; последний коммит датируется 22 февраля 2025 года, а активность пиковала в августе и сентябре 2024 года, преимущественно в период с 00:00 до 04:00 UTC и с 12:00 до 16:00 UTC.
Конфигурационные файлы вредоносного ПО содержат список директорий для сбора данных – BIN, System Volume Information, windows.old, steamapps, perflogs, ansel, tmp, node_modules, cache, vendor, target, Mozilla, venv, env, Chrome, google-chrome, pypoetry, vimfiles, viminfo, site-packages, scoop, go, temp, src – а также множество типов файлов с расширениями.ico,.cur,.theme,.themepack,.bat,.com,.cmd,.cpl,.prf,.icls,.idx,.mod,.pyd,.vhdx,._pth,.hta,.mp3,.CHK,.pickle,.pif,.url,.ogg,.tmp,.dat,.exe,.lnk,.win,.vscdb,.bin,.cab,.inf,.lib,.tcl,.cat,.so,.msi,.vpk,.vc,.cur,.ini,.bik,.sfx,.xnb,.ttf,.otf,.woff,.woff2,.vfont,.resource,.N2PK,.log,.pkg,.desktop,.dll,.pkr,.arc,.sig,.bk2,.arz,.swf,.qt,.wma,.mp2,.vdf,.pdb,.nfo,.whl,.mui,.srm,.smc,.dic,.lock,.pyc,.TAG,.locale,.store,.sdi,.library-ms,.acf,.po,.mo, а также файлы ntuser.ini, iconcache.db, Thumbs.db и.DS_Store. В качестве целей также используются исполняемые файлы, такие как processhacker.exe, regedit.exe, code.exe, excel.exe, powerpnt.exe, winword.exe, msaccess.exe, mspub.exe, msedge.exe, virtualboxvm.exe, virtualbox.exe, chrome.exe, cs2.exe, steam.exe, postgres.exe, mysqlworkbench.exe, outlook.exe, mysqld.exe, windowsterminal.exe, powershell.exe, cmd.exe, sublime_text.exe, microsoft.photos.exe и photosapp.exe.
Полученные конфигурационные данные позволяют злоумышленникам точно определять, куда сохраняется информация с зараженных систем, что используется для формулирования требований о выкупе, мониторинга будущих заражений и последующей продажи данных. Наличие команд для Linux и macOS в конфигурации указывает на разработку бинарных файлов, специально ориентированных на эти платформы.
В каталоге «2.5.x» репозитория обнаружен файл config.json, содержащий сведения о разработке новой версии вредоносного ПО. Конфигурация данного файла открывает информацию о новых криптовалютных кошельках для Bitcoin, Ethereum, Solana и BNB, что свидетельствует о планах финансировать будущие атаки, хотя текущие транзакции через эти кошельки не зафиксированы.
Работа с конфигурационными данными осуществляется через GitHub REST API с использованием заголовка «User-Agent: Awesome App». Передача осуществляется посредством аутентификационного токена, обнаруженного с помощью Fiddler, что позволяет злоумышленникам получать ключевые параметры функционирования вредоносного ПО и отслеживать места хранения данных на зараженных системах.
Специальные индикаторы компрометации (IoCs) помогают в раннем обнаружении Albabat. Среди них – фильтрация командной строки по критериям eventSubId: 2 и processCmd с шаблоном /cmd.+wmic (cpu|csproduct|os|nic). Примеры SHA1-хэшей, таких как 1cc2d1f2a991c19b7e633a92b1629641c019cdeb, c7c52fdaecf325dfaf6eda14e0603579feaed40a, 8a3ea65147a156d381d8f1773e91eb8e0f6b1e40, 8de54cad9d6316679580c91117b484acb493ab72 и d67dc8c4232a3943a66608d62874923e9a3fb628, помечены как Ransom.Win64.ALBABAT.THBBEBE, что значительно упрощает их идентификацию в ходе расследований.
Применение комплексных мер кибербезопасности крайне необходимо для предотвращения атак Albabat. Рекомендуется использовать строгие меры контроля доступа к конфиденциальным данным, регулярно обновлять системы и патчи, создавать и тестировать резервные копии, а также сегментировать сеть для ограничения распространения угроз. Дополнительно, обучение пользователей распознаванию фишинговых атак и постоянный мониторинг индикаторов компрометации, с применением технологий, подобных Trend Cybertron, снижающих риск заражения на 92% и время обнаружения угроз на 99%, позволяют существенно укрепить защиту.
Атаки Albabat приводят к серьезным репутационным, операционным и финансовым потерям, если происходит захват и блокировка критически важной информации. Постоянный анализ киберугроз с использованием Threat Insights обеспечивает эффективное обнаружение, сдерживание и предупреждение атак, позволяя оперативно противодействовать растущей угрозе.
