Albabat ransomware udvides til Linux og macOS

En ny version af Albabat ransomware er under aktiv udvikling og udvider nu sine angreb til både Linux og macOS. Det viser en teknisk analyse fra Trend Micro, som er omtalt i Infosecurity Magazine. Analysen dokumenterer desuden, at ransomware-familien anvender GitHub som kontrolpunkt til at hente konfigurationsfiler og styre infektioner.

Indsamler systemdata på tværs af platforme

Ifølge analysen er version 2.0 af Albabat i stand til at indsamle system- og hardwareinformation fra både Linux- og macOS-systemer. Den anvender platformsspecifikke kommandoer og ser ud til at være udviklet med henblik på multiplatform-angreb.

Ifølge Trend Micro benytter Albabat et GitHub-lager til at gemme og distribuere sine konfigurationsfiler. Kontoen bag depotet blev oprettet i februar 2024 under navnet "Bill Borguiann", som vurdereres til at være et pseudonym. Selvom lageret i dag er privat, er det stadig tilgængeligt via et godkendelsestoken, som blev observeret under netværksanalyse.

Commit-historikken viser, at udviklingen er i gang, og den seneste opdatering skete 22. februar 2025. Ændringerne relaterer sig primært til konfigurationskode, hvilket tyder på vedvarende tilpasning og test.

Ny variant under udvikling

Trend Micro har også fundet en undermappe  i GitHub-depotet, hvilket peger på at en kommende version er under udvikling. Der blev ikke fundet nogen binær fil i mappen, men en config.json-fil afslørede tilføjelsen af krypto-wallets til Bitcoin, Ethereum, Solana og BNB. Der er dog endnu ikke registreret nogen transaktioner.

Researcherne konkluderer ifølge Infosecurity Magazine, at Albabats hurtige udvikling illustrerer behovet for konstant overvågning af IoC’er og løbende tilpasning af forsvaret, hvorfor organisationer som altid anbefales at følge med i tekniske analyser fra anerkendte sikkerhedsleverandører og sikre, at endpoints på tværs af platforme er beskyttede og opdaterede.

Albabat er skrevet i programmeringssproget Rust og blev første gang observeret i november 2023.