Cercetătorii în securitate de la Palo Alto Networks Unit 42 au identificat o nouă familie de ransomware care reprezintă o amenințare sporită pentru organizațiile care operează infrastructuri critice în regiunea Asia-Pacific. Ransomware-ul, denumit 01flip, este scris integral în limbajul de programare Rust și vizează atât sistemele Windows, cât și Linux, făcându-l mai greu de detectat și mai dificil de combătut.
Unit 42 a observat pentru prima dată ransomware-ul în iunie 2025 în timpul investigării unui executabil Windows suspect care prezenta un comportament specific ransomware-ului. Cercetătorii au descoperit ulterior o versiune Linux care a prezentat o rată de detectare zero timp de cel puțin trei luni după ce a fost trimisă la VirusTotal.
Arhitectura cross-platform ridică alarme
Capacitățile multi-platformă ale ransomware-ului reprezintă o evoluție în tacticile infractorilor cibernetici. Prin valorificarea caracteristicilor de compilare încrucișată ale Rust, atacatorii pot implementa 01flip pe diverse sisteme de operare din cadrul unei singure rețele, de la stații de lucru la servere. Conform analizei Unit 42 publicate pe 9 decembrie, ransomware-ul criptează fișierele folosind criptare AES-128-CBC și RSA-2048, apoi le redenumește cu extensia .01flip și plasează notițe de răscumpărare intitulate “RECOVER-YOUR-FILE.TXT” în toate directoarele cu drepturi de scriere.
Cercetătorii au remarcat că, deși capacitățile 01flip sunt clare, output-ul complex al compilatorului Rust face ca ingineria inversă să fie semnificativ mai dificilă pentru analiștii de malware. Această dificultate în crearea decriptoarelor lasă victimele cu puține opțiuni în afara plății răscumpărării. Ransomware-ul încearcă, de asemenea, să se șteargă după criptare pentru a preveni recuperarea de pe gazde infectate.
Unit 42 a confirmat că atacatorii motivați financiar, urmăriți sub numele CL-CRI-1036, au folosit framework-ul de comandă și control Sliver pentru accesul inițial și mișcarea laterală înainte de implementarea ransomware-ului. Într-un incident, atacatorii au compromis cu succes rețeaua unei victime prin exploatarea unor vulnerabilități mai vechi care vizează aplicații expuse pe internet, apoi au implementat multiple instanțe 01flip pe mașini Windows și Linux în decurs de o săptămână.
Campanie limitată dar direcționată
Numărul victimelor rămâne minim, dar printre cei afectați se numără organizații responsabile pentru infrastructura critică din Asia de Sud-Est. Cercetătorii de la Unit 42 au identificat potențiale victime în Filipine și Taiwan pe baza postărilor de la un actor de amenințare legat de CL-CRI-1036 pe forumuri din dark web, unde datele furate ar fi fost oferite spre vânzare. O victimă a raportat că atacatorii le-au compromis serverul Zimbra.
Apariția 01flip vine în contextul unei tendințe mai ample a grupurilor de ransomware de a adopta Rust pentru dezvoltarea de malware. Cercetătorii de la Microsoft au remarcat anterior că ransomware-ul Hive a trecut de la Go la Rust în 2022, beneficiind de siguranța memoriei limbajului, rezistența la inginerie inversă și bibliotecile criptografice robuste. Regiunea Asia-Pacific a înregistrat 2.978 de atacuri cibernetice săptămânale per organizație în noiembrie 2025, menținând nivelurile din anul precedent, ransomware-ul rămânând o amenințare persistentă.
Surse:
https://unit42.paloaltonetworks.com/new-ransomware-01flip-written-in-rust/
New 01Flip Ransomware Targets Both Windows and Linux Systems