Ερευνητές ασφαλείας στο Palo Alto Networks ανακάλυψαν μια νέα απειλή ransomware τον Ιούνιο του 2025 που σηματοδοτεί μια σημαντική αλλαγή στις τακτικές ανάπτυξης κακόβουλου λογισμικού.
Η οικογένεια ransomware 01flip αναδύεται ως ένα πλήρως γραμμένο από τη Rust κακόβουλο λογισμικό που έχει σχεδιαστεί για να επιτίθεται ταυτόχρονα σε συστήματα Windows και Linux.
Αυτή η ικανότητα πολλαπλών πλατφορμών αντιπροσωπεύει μια αυξανόμενη τάση όπου οι εγκληματίες του κυβερνοχώρου αξιοποιούν σύγχρονες γλώσσες προγραμματισμού για να δημιουργήσουν πιο αποτελεσματικές και πιο δύσκολο να ανιχνευθούν απειλές.
Το κακόβουλο λογισμικό φαίνεται να στοχεύει ένα περιορισμένο αλλά συγκεκριμένο σύνολο θυμάτων στην περιοχή Ασίας-Ειρηνικού, με τους οργανισμούς που είναι υπεύθυνοι για κρίσιμες υποδομές στη Νοτιοανατολική Ασία να γίνονται πρωταρχικοί στόχοι.
Οι αρχικές παρατηρήσεις αποκάλυψαν ότι η καμπάνια 01flip, που παρακολουθείται ως CL-CRI-1036, δείχνει σημάδια ανάπτυξης σε πρώιμο στάδιο, αν και ο αντίκτυπος θα μπορούσε να επεκταθεί γρήγορα, δεδομένης της τεχνικής πολυπλοκότητας του κακόβουλου λογισμικού.
Οι φορείς επίθεσης που οδηγούν στην ανάπτυξη του 01flip παραμένουν εν μέρει ασαφείς, ωστόσο τα στοιχεία δείχνουν μια μεθοδική προσέγγιση από επιτιθέμενους με οικονομικά κίνητρα.
Οι φορείς απειλών προσπάθησαν να εκμεταλλευτούν παλαιότερα τρωτά σημεία όπως το CVE-2019-11580 έναντι εφαρμογών που αντιμετωπίζουν το Διαδίκτυο από τις αρχές Απριλίου 2025, στοχεύοντας κρίσιμα συστήματα όπως λύσεις ηλεκτρονικού ταχυδρομείου Zimbra Server.
Οι εισβολείς κατάφεραν να αναπτύξουν μια έκδοση Linux του Sliver, ένα πλαίσιο εξομοίωσης αντιπάλου μεταξύ πλατφορμών γραμμένο στο Go, το οποίο τους επέτρεψε να εκτελούν πλευρική κίνηση σε όλη την υποδομή δικτύου.
Μέχρι τα τέλη Μαΐου 2025, οι εισβολείς ενορχήστρωσαν τη διανομή πολλαπλών παρουσιών ransomware 01flip σε μηχανήματα Windows και Linux εντός δικτύων που είχαν παραβιαστεί.
Τα στοιχεία δείχνουν ότι οι επιτιθέμενοι διεξήγαγαν πρακτικές αναγνωρίσεις, απέρριψαν τα διαπιστευτήρια και μετακινήθηκαν πλευρικά μέσω συστημάτων για να επιτύχουν αυτήν την ευρείας κλίμακας ανάπτυξη, αν και οι ακριβείς μέθοδοι ανάπτυξης παραμένουν άγνωστες.
Αναλυτές ασφαλείας της Palo Alto Networks αναγνωρισθείς το 01flip ransomware μέσω λεπτομερούς ανάλυσης sandbox και εξέτασης συμπεριφοράς ύποπτων εκτελέσιμων Windows που παρουσίαζαν χαρακτηριστικά ransomware.
Οι ερευνητές ανακάλυψαν τη σύμβαση ονομασίας του κακόβουλου λογισμικού που προέρχεται από την επισυναπτόμενη επέκταση αρχείου (.01flip) και το email επικοινωνίας του σημειώματος λύτρων ([email protected]). Συγκεκριμένα, η παραλλαγή Linux έδειξε μηδενικά ποσοστά ανίχνευσης για τουλάχιστον τρεις μήνες μετά την αρχική υποβολή του VirusTotal, υποδεικνύοντας τη δυνατότητα της απειλής να αποφύγει τα συστήματα ανίχνευσης ασφαλείας.
Μηχανισμός κρυπτογράφησης
Το ransomware χρησιμοποιεί έναν απλό αλλά αποτελεσματικό μηχανισμό κρυπτογράφησης που συνδυάζει πολλαπλά κρυπτογραφικά επίπεδα για να διασφαλίσει ότι τα θύματα δεν μπορούν να αποκρυπτογραφήσουν ανεξάρτητα τα αρχεία τους.
Το κακόβουλο λογισμικό ξεκινά απαριθμώντας όλες τις πιθανές μονάδες δίσκου από το Α έως το Ω και, στη συνέχεια, δημιουργεί συστηματικά σημειώσεις λύτρων με τίτλο RECOVER-YOUR-FILE.TXT σε όλους τους εγγράψιμους καταλόγους πριν ξεκινήσει η κρυπτογράφηση.
Τα αρχεία λαμβάνουν νέα ονόματα σύμφωνα με το μοτίβο: ORIGINAL_FILENAME.UNIQUE_ID.0 ή 1.01flip. Η διαδικασία κρυπτογράφησης χρησιμοποιεί το AES-128-CBC για κρυπτογράφηση περιεχομένου αρχείων, με το ίδιο το κλειδί συνεδρίας κρυπτογραφημένο χρησιμοποιώντας κρυπτογράφηση δημόσιου κλειδιού RSA-2048.
.webp.jpeg "Το νέο Multi-Platform 01flip Ransomware υποστηρίζει αρχιτεκτονική πολλαπλών πλατφορμών, συμπεριλαμβανομένων των Windows και του Linux")
Αυτή η προσέγγιση κρυπτογράφησης διπλού επιπέδου εμποδίζει τα θύματα να αποκρυπτογραφήσουν αρχεία ακόμα και αν αποκτήσουν το κλειδί συνεδρίας. Αυτό εμφανίζει ορατές συμβολοσειρές που σχετίζονται με το Rust που είναι ενσωματωμένες στο δείγμα ransomware, επιβεβαιώνοντας την προέλευση της συλλογής Rust.
Αυτό που κάνει το 01flip ιδιαίτερα ανησυχητικό περιλαμβάνει τις τεχνικές ενεργητικής αμυντικής αποφυγής του που έχουν σχεδιαστεί για να αποτρέπουν τον εντοπισμό και την αφαίρεση.
Τόσο οι παραλλαγές Windows όσο και Linux δίνουν προτεραιότητα στα API χαμηλού επιπέδου και τις κλήσεις συστήματος που συνδυάζονται φυσικά με τη νόμιμη δραστηριότητα του λειτουργικού συστήματος, καθιστώντας τον εντοπισμό συμπεριφοράς πολύ πιο δύσκολο.
.webp.png "Το νέο Multi-Platform 01flip Ransomware υποστηρίζει αρχιτεκτονική πολλαπλών πλατφορμών, συμπεριλαμβανομένων των Windows και του Linux")
Το κακόβουλο λογισμικό κωδικοποιεί τις περισσότερες συμβολοσειρές που ορίζονται από τον χρήστη μέσα στον κώδικα και τις αποκωδικοποιεί κατά τη διάρκεια του χρόνου εκτέλεσης, συμπεριλαμβανομένου του περιεχομένου της σημείωσης λύτρων, του ονόματος αρχείου της σημείωσης λύτρων, της λίστας επέκτασης αρχείου και του δημόσιου κλειδιού RSA.
Επιπλέον, ορισμένα δείγματα εφαρμόζουν ανίχνευση anti-sandbox ελέγχοντας εάν το όνομα αρχείου περιέχει τη συμβολοσειρά 01flip.
Μόλις το εντοπίσει, το ransomware παραλείπει την κρυπτογράφηση αρχείων και προχωρά απευθείας στην αφαίρεση του δείκτη, καταστρέφοντας τα ίχνη της παρουσίας του στο μολυσμένο σύστημα.
Αυτό δείχνει πώς το 01flip αποκωδικοποιεί το πρότυπο σημείωσης λύτρων χρησιμοποιώντας μια απλή λειτουργία SUB που εκτελείται σε κάθε δύο byte κωδικοποιημένων δεδομένων, δείχνοντας την πρόθεση των προγραμματιστών να εξισορροπήσουν την πολυπλοκότητα με τη λειτουργική αποτελεσματικότητα.
