#ParsedReport #ExtractedSchema

Classified images:
code: 8, windows: 1, schema: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Исследователи EclecticIQ выявили вредоносный веб-сервер, который, вероятно, эксплуатируется китайским угрожающим субъектом, нацеленным на тайваньские государственные организации. Угроза использовала инструменты разведки для сканирования и снятия отпечатков пальцев с систем, инструменты с открытым исходным кодом, модифицированную версию Cobalt Strike и методы кражи учетных данных для компрометации жертв. Основными целями являются государственные структуры Тайваня и организации, работающие в секторе критических инфраструктур.
-----

Исследователи EclecticIQ выявили вредоносный веб-сервер, управляемый китайским субъектом угроз, нацеленный на тайваньские государственные учреждения и критически важную инфраструктуру.

Угрожающий субъект в основном фокусировался на эксплуатации четырех различных уязвимостей удаленного выполнения кода (RCE) и в значительной степени полагался на инструменты с открытым исходным кодом.

Угроза использовала инструменты разведки, заранее настроенные списки целей и брутфорсинг, чтобы нацелиться на жертву.

Агент угрозы использовал модифицированную версию Cobalt Strike 4.5, получившую название "Cobalt Strike Cat", для создания выделенного канала связи с системой жертвы.

Субъект угрозы использовал службы Windows для установки модифицированной версии полезной нагрузки Cobalt Strike и применял методы кражи учетных данных.

Угрожающий субъект использовал инструменты обратного прокси с открытым исходным кодом, чтобы вывести локальные устройства в Интернет.

Исследователи EclecticIQ с умеренной уверенностью оценивают, что основными целями угрожающего субъекта являются тайваньские государственные структуры и организации в секторе критических инфраструктур.

#technique

Bypassing Intel CET with Counterfeit Objects

https://www.offsec.com/offsec/bypassing-intel-cet-with-counterfeit-objects/

#technique

EDR bypassing via memory manipulation techniques

https://labs.withsecure.com/publications/edr-bypassing-via-memory-manipulation-techniques

The group that wasn't – tracking and defining Winnti

https://counterintelligence.pl/wp-content/uploads/2023/06/x33fcon2023.pdf

#ParsedReport #CompletenessMedium
05-06-2023

Volt Typhoon: Chinese State-Sponsored Actor Targeting Critical Infrastructure

https://www.secureblink.com/threat-research/volt-typhoon-chinese-state-sponsored-actor-targeting-critical-infrastructure

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon (motivation: cyber_espionage)

Threats:
Lolbin_technique
Mimikatz_tool
Steganography_technique
Portproxy_tool
Credential_stealing_technique

Victims:
Critical infrastructure organizations in the us

Industry:
Government, Transport, Maritime, Education

Geo:
China, Guam, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1144, T1036, T1098, T1090, T1124, T1112, T1106, T1075, T1083, have more...

IOCs:
File: 2
Hash: 19

Softs:
active directory, zyxel, local security authority, windows local security authority, psexec, windows defender credential guard, microsoft defender, microsoft defender for endpoint

Algorithms:
sha256, base64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Volt Typhoon - это спонсируемая государством группа агентов, базирующаяся в Китае, которая с середины 2021 года ведет целенаправленную вредоносную деятельность с целью получения и сохранения доступа к сетям критической инфраструктуры.
-----

Volt Typhoon - это спонсируемая государством группа агентов, базирующаяся в Китае, которая ведет целенаправленную вредоносную деятельность с середины 2021 года. Их основная цель - получить и сохранить доступ к сетям критической инфраструктуры, используя сложные методы и живые двоичные файлы (LOLBins). Группа была замечена в использовании пользовательских версий инструментов с открытым исходным кодом для создания канала командования и управления (C2) через прокси-соединения и эксплуатации устройств Fortinet FortiGuard, выходящих в интернет, для получения первоначального доступа.

Попав в сеть, Volt Typhoon фокусируется на краже учетных данных и повышении привилегий, похищая учетные данные из памяти с помощью инструментов типа Mimikatz и используя неправильную конфигурацию и уязвимости для повышения своих привилегий. Они также используют методы стеганографии для сокрытия данных в файлах изображений с целью их утечки. Для сохранения устойчивости в сети они создают бэкдоры, устанавливают вредоносные службы и изменяют параметры реестра.

#ParsedReport #CompletenessHigh
05-06-2023

COSMICENERGY: New OT Malware Possibly Related To Russian Emergency Response Exercises

https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

Report completeness: High

Threats:
Cosmicenergy
Crashoverride
Conduit
Piehop
Lightwork
Meterpreter_tool
Triton
Irongate
Incontroller_tool

Victims:
Organizations leveraging iec-104 compliant devices

Industry:
Government, Ics, Energy

Geo:
Asia, Russian, Russia

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 1
Hash: 6

Softs:
mssql, pyinstaller, py2exe, outlook, windows shell, networkminer

Algorithms:
sha256, sha1, base64

Win API:
Polygon

Languages:
python

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 13, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: COSMICENERGY - это новое OT/ICS-ориентированное вредоносное ПО, которое способно нарушить работу электроэнергетики и похоже на инцидент 2016 года INDUSTROYER.
-----

Компания Mandiant обнаружила COSMICENERGY, новую вредоносную программу, ориентированную на OT/ICS, загруженную в публичную службу сканирования вредоносных программ в России. COSMICENERGY предназначен для нарушения электроснабжения путем взаимодействия с устройствами стандарта IEC 60870-5-104 (IEC-104), такими как удаленные терминалы (RTU). Его возможности и стратегия атаки схожи с инцидентом INDUSTROYER 2016 года. Вредоносная программа состоит из двух компонентов - PIEHOP и LIGHTWORK. PIEHOP может подключаться к удаленному серверу MSSQL для загрузки файлов и подачи команд на RTU. LIGHTWORK реализует протокол IEC-104 для изменения состояния RTU через TCP. Он также включает восемь жестко закодированных адресов информационных объектов IEC-104 (IOA).

Происхождение и назначение COSMICENERGY неясно, но оно могло использоваться для поддержки учений, проводимых "Ростелеком-Solar", российской компанией по кибербезопасности, получившей государственную субсидию в 2019 году. Не исключено, что вредоносное ПО было разработано со злым умыслом и может использоваться для поддержки целенаправленной деятельности угроз в дикой природе. Барьеры для входа в наступательные ОТ-угрозы снижаются, поскольку субъекты используют знания, полученные в ходе предыдущих атак, для разработки новых вредоносных программ.

В заключение следует отметить, что COSMICENERGY представляет собой непосредственную угрозу для пострадавших организаций, и организациям следует принять меры по защите от вредоносного ПО и развернуть средства обнаружения для выявления вредоносной активности. Поскольку барьеры для проникновения наступательных угроз ОТ снижаются, организациям важно предпринять необходимые шаги для защиты.

#ParsedReport #CompletenessMedium
05-06-2023

Bitter Organization New Attack Weapon Analysis Report-ORPCBackdoor Weapon Analysis

https://mp.weixin.qq.com/s/H-ZRvcofbzwZ8Ikyn5Vu4w

Report completeness: Medium

Actors/Campaigns:
Bitter
Dropping_elephant
Manlinghua

Threats:
Orpcbackdoor
Dll_hijacking_technique

Victims:
Energy, engineering and government sectors of pakistan, bangladesh and saudi arabia

Industry:
Education, Aerospace, Government, Energy

Geo:
Asia, Bangladesh, Pakistan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1187, T1106, T1060, T1053, T1008, T1071, T1036, T1046, T1082, T1083, have more...

IOCs:
Hash: 1
File: 6
Path: 1

Softs:
microsoft outlook, outlook

Algorithms:
sha256

Functions:
GetFileVersionInfoByHandle, GetFileVersionInfoBy-H, RPC, GetShell, Socket

Win API:
GetFileVersionInfoA, GetFileVersionInfoExW, GetFileVersionInfoSizeA, GetFileVersionInfoSizeExW, GetFileVersionInfoSizeW, GetFileVersionInfoW, VerFindFileA, VerFindFileW, VerInstallFileA, VerInstallFileW, have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Организация Bitter - это группа продвинутых угроз, действующая с 2013 года и нацеленная на энергетический, инженерный и государственный секторы Пакистана, Бангладеш и Саудовской Аравии. Недавно группа 404 Advanced Threat Intelligence Team обнаружила в ее арсенале новый тип DLL-бэкдора, ORPCBackdoor. ORPCBackdoor - это относительно оптимизированная и зрело разработанная программа-бэкдор, содержащая множество функциональных модулей.
-----

Анализ инструмента атаки ORPCBackdoor организации Bitter показывает, что это относительно упрощенная и зрело разработанная программа бэкдора. Бэкдор используется для создания базовой среды для последующих операций и, вероятно, ориентирован на группы пользователей Outlook. ORPCBackdoor содержит множество функциональных блоков, которые взаимодействуют для завершения предварительной работы по интерактивному выполнению с сервером. Сюда входит анализ символов, тест первого запуска, сохранение, сбор локальной информации, обнаружение C2 в режиме онлайн и т.д. В ORPCBackdoor есть две вредоносные записи, первая - экспортная функция GetFileVersionInfoByHandleEx(void), вторая - DllEntryPoint. Модуль, соответствующий команде DWN, является хорошо продуманным функциональным модулем, и его функция заключается в загрузке файлов. Команда CMD является основной командой ORPCBackdoor, а ее функция - GetShell.

Логика обработки, используемая ею, заключается в анализе команды Shell, выданной сервером, и последующем сращивании команды после получения команды Shell, выданной сервером. ORPCBackdoor использует технологию перехвата DLL и применяет метод "белое плюс черное" для достижения определенного анти-килл эффекта. Проведя анализ этого инструмента атаки, можно сделать вывод, что операция является хорошо продуманной и спланированной. Chuangyu Lieyou - это инструмент обнаружения и анализа трафика для активных APT-организаций. Он охватывает правила известных уязвимостей, сочетается с многолетними данными разведки ZoomEye по обследованию и картографированию, дополняется технологией анализа модели аномального поведения сети и может выявить все подозрительные действия.

Организация Bitter, также известная как Man Linghua, является передовой группой угроз, предположительно происходящей из Южной Азии. Она действует с 2013 года и ориентирована на энергетический, инженерный и государственный секторы Пакистана, Бангладеш и Саудовской Аравии. Недавно группа 404 Advanced Threat Intelligence Team в ходе постоянного отслеживания организации Bitter обнаружила в своем арсенале новый тип DLL-бэкдора. Этот бэкдор был назван ORPCBackdoor из-за его метода коммуникации, использующего RPC для взаимодействия с сервером. ORPCBackdoor содержит множество функциональных блоков, включая анализ символов, тест первого запуска, сохранение, сбор локальной информации, обнаружение C2 онлайн, GetShell, загрузку файлов и т.д. Он использует технологию перехвата DLL и применяет метод "белое плюс черное" для достижения определенного антиубийственного эффекта.

#ParsedReport #CompletenessHigh
05-06-2023

Not your average Joe: An analysis of the XeGroup s attack techniques

https://www.menlosecurity.com/blog/not-your-average-joe-an-analysis-of-the-xegroups-attack-techniques

Report completeness: High

Actors/Campaigns:
Xegroup (motivation: cyber_criminal)
Magecart

Threats:
Supply_chain_technique
Aspxspy_shell
Sliver_tool
Netcat_tool

Victims:
Us-based corporations, government agencies, construction organizations, and healthcare providers

Industry:
Retail, Healthcare, E-commerce, Financial, Government

Geo:
Vietnam, Vietnamese

CVEs:
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- telerik ui for asp.net ajax (<2019.3.1023)


IOCs:
File: 1
Email: 10
Path: 1
Domain: 84
IP: 11
Url: 3
Hash: 56

Softs:
adobe coldfusion, asp.net, instagram

Algorithms:
base64

Functions:
ismatchagent

Languages:
javascript, autoit

Platforms:
intel

Links:
https://github.com/volexity/threat-intel/blob/main/2021/2021-12-06%20-%20XEGroup/indicators/indicators.csv

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: XeGroup - активная и растущая хакерская группа, похитившая более 30 миллионов долларов у американских корпораций, государственных учреждений, строительных организаций и сектора здравоохранения, и, вероятно, базирующаяся во Вьетнаме. Они используют различные методы атак и были отслежены исследователями компании Volexity. Важно сохранять бдительность, используя меры безопасности и передовой опыт для защиты конфиденциальных данных.
-----

XeGroup - это хакерская группа, которая представляет собой активную и растущую угрозу, по крайней мере, с 2013 года. Они атаковали американские корпорации, правительственные учреждения, строительные организации и сектор здравоохранения. Считается, что группа похитила более 30 миллионов долларов у этих организаций и, скорее всего, базируется во Вьетнаме под псевдонимами XeThanh и/или XeGroup. Они используют различные методы атак, такие как атаки на цепочки поставок, поддельные веб-сайты и продажа украденных данных в темной паутине.

XeGroup известна использованием уязвимости CVE-2019-18935, которая позволяет им получить удаленный доступ к серверу правительства США. Они также используют веб-оболочки ASPXSPY для получения несанкционированного доступа к веб-серверам. Эти инструменты атаки связаны с адресами электронной почты xecloud[@\]icloud.com и xemembers[@\]icloud.com. Кроме того, XeGroup использовала инъекции JavaScript для использования уязвимостей в платформах электронной коммерции Magento, серверном ПО Adobe ColdFusion и компонентах пользовательского интерфейса Telerik для кражи финансовой информации.

XeGroup была впервые выявлена в 2013 году, когда она успешно проникла в системы точек продаж в розничных магазинах по всему миру, создав вредоносное ПО под названием Snipr (Credential-Stuffing toolkit). Они также рассылали фишинговые электронные письма, используя поддельные домены, связанные с легитимными компаниями, такими как PayPal и eBay. В августе 2020 года XeGroup, предположительно, была уничтожена после того, как ее отследили исследователи компании Volexity, которые сообщили о своих находках правоохранительным органам по всему миру.

Однако теперь выяснилось, что XeGroup вернулась и ведет активную деятельность по скиммингу кредитных карт по всей клиентской базе и использует маскированные EXE-файлы под PNG-файлы, чтобы избежать обнаружения. Menlo Labs также обнаружила тот же значок/шрифт, связанный с GitHub и Crowdin, а также учетную запись Google Play Games с идентификатором игрока g02444030915105485496 и аватаром Joe Nguyen. Дальнейшее изучение истории whois этих сайтов выявило адреса электронной почты и другую идентифицирующую информацию, связанную с именем Joe Nguyen и строкой XeThanh.

На основании собранных доказательств был сделан вывод, что Тхань Нгуен использует общие пароли joynnguyen[@\]msn.com и xegroups[@\]gmail.com, и что Нгуен Хыу Тай (также известный как Джо Нгуен и Тхань Нгуен), вероятно, связан с XeGroup. Адрес электронной почты xxx.corp[@\]gmail.com также, вероятно, связан с этой группой и имеет имя Nguyen Van Phuc.

Учитывая постоянную угрозу со стороны XeGroup и ее тактику атак, необходимо сохранять бдительность в отношении мер безопасности и передовой практики для обеспечения защиты конфиденциальных данных.

#ParsedReport #CompletenessLow
02-06-2023

Netskope Threat Coverage: MOVEit Transfer Zero-Day

https://www.netskope.com/blog/netskope-threat-coverage-moveit-transfer-zero-day

Report completeness: Low

Victims:
Moveit transfer customers

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1078, T1140, T1090

IOCs:
File: 2
Path: 2
Hash: 11
IP: 3

Softs:
moveit

Algorithms:
sha256

#ParsedReport #CompletenessMedium
05-06-2023

Satacom delivers browser extension that steals cryptocurrency

https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807

Report completeness: Medium

Threats:
Legionloader
Process_injection_technique
Process_hollowing_technique

Victims:
Individual users around the world

Geo:
Egypt, Vietnam, Turkey, Indonesia, India, Brazil, Algeria, Mexico

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 6
Domain: 68
IP: 1
Hash: 4

Softs:
google chrome, opera, chrome, wordpress, macos

Wallets:
coinbase

Crypto:
bitcoin, kucoin, binance

Algorithms:
zip, rc4, base64, base58

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что Satacom - это опасное семейство вредоносных программ, которое постоянно разрабатывается и внедряется субъектами угроз с целью кражи криптовалюты у жертв и перевода ее на кошельки злоумышленников.
-----

Satacom - это семейство вредоносных программ, появившееся в 2019 году и известное тем, что использует технику запроса DNS-серверов для получения URL-адреса в base64-кодировке с целью получения следующего этапа другого семейства вредоносных программ. Вредоносные ссылки или реклама на сайтах перенаправляют пользователей на вредоносные сайты, такие как поддельные файлообменные сервисы. Основная цель вредоносной программы, которую сбрасывает загрузчик Satacom, - кража BTC со счета жертвы путем выполнения веб-инъекций на целевые криптовалютные веб-сайты.

Заражение начинается с файла ZIP-архива, загруженного с веб-сайта, который внешне имитирует портал программного обеспечения. Файл Setup.tmp создает новый файл PE DLL в каталоге Temp и загружает его в себя. Затем он расшифровывает полезную нагрузку Satacom и создает новый подпроцесс explorer.exe для внедрения вредоносной программы. Вредоносная полезная нагрузка использует реализацию шифрования RC4 для расшифровки своих конфигурационных данных, строк связи и данных для других сброшенных двоичных файлов на машине жертвы. Вредоносная программа использует различные жестко закодированные ключи для расшифровки данных на каждом этапе. Explorer.exe выполняет DNS-запрос к don-dns.com через Google DNS и запрашивает TXT-запись. По URL-адресу загружается полезная нагрузка.

Загрузчик Satacom загружает на машину жертвы различные двоичные файлы, включая вредоносное расширение для веб-браузеров на базе Chromium, нацеленное на Google Chrome, Brave и Opera. Вредоносное расширение содержит различные JS-скрипты для выполнения манипуляций с браузером во время просмотра пользователем целевых веб-сайтов, включая перечисление и манипуляции с криптовалютными веб-сайтами. Оно также способно манипулировать внешним видом некоторых почтовых сервисов, таких как Gmail, Hotmail и Yahoo, чтобы скрыть свою деятельность с криптовалютами жертвы, отображаемую в уведомлениях электронной почты. Вредоносное расширение способно выполнять дополнительные действия, такие как извлечение информации через браузер и получение команд с сервера C2.

Загрузчик Satacom все еще проводит кампании и разрабатывается тем, кто его создал. Этот угрожающий субъект продолжает распространять семейства вредоносных программ, используя различные техники, такие как внедрение рекламы через рекламные плагины для сайтов WordPress. Недавно распространенная вредоносная программа, представляющая собой расширение для браузеров на базе Chromium, выполняет действия в браузере для манипулирования содержимым целевого криптовалютного веб-сайта. Основной целью этого вредоносного расширения является кража криптовалюты у жертв и перевод ее на кошелек угрожающих субъектов. Более того, поскольку это расширение для браузера, оно может быть установлено в браузеры на базе Chromium на различных платформах, что позволяет легко атаковать пользователей Linux и macOS, если жертвы используют браузеры на базе Chromium.

Эта кампания нацелена на индивидуальных пользователей по всему миру, причем наиболее часто заражения происходят в таких странах, как Бразилия, Алжир, Турция, Вьетнам, Индонезия, Индия, Египет и Мексика. Вредоносное расширение содержит скрипты, которые отвечают за инициализацию полученных команд и становятся функциональными после получения адреса C2. Оно может обновлять свою функциональность благодаря технике, используемой для получения C2-сервера через последнюю транзакцию конкретного BTC-кошелька.

#ParsedReport #CompletenessMedium
05-06-2023

Cyclops Ransomware and Stealer Combo: Exploring a Dual Threat

https://www.uptycs.com/blog/cyclops-ransomware-stealer-combo

Report completeness: Medium

Threats:
Cyclops_blink
Lockbit
Babuk
Rtm_locker

Industry:
Education, Financial

ChatGPT TTPs:
do not use without manual check
T1566.003, T1543.005, T1486, T1563.004, T1552.001, T1545.001, T1036, T1078, T1574.001

IOCs:
File: 24
Command: 1
Url: 2

Softs:
macos, wordpad, outlook, thebat, onenote

Algorithms:
chacha20, ecdh, crc-32, sha512, hc-256, zip, curve25519, xor

Functions:
GetLogicalDriveStrings, Curve25519

Win API:
GetSystemInfo, GetProcessAffinityMask, GetEnvironmentStrings

Win Services:
xfssvccon, synctime, ocomm, ocautoupds, dbeng50, powerpnt, dbsnmp, tbirdconfig, agntsvc, Mydesktopservice, have more...

Languages:
golang

Platforms:
x64

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
dump: 7, windows: 15, chart: 6, code: 6, schema: 16

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Команда исследователей угроз Uptycs недавно обнаружила нового поставщика ransomware-as-a-service (RaaS) под названием Cyclops group, который способен заражать системы Windows, Linux и macOS. Эта программа шифрует файлы с помощью шифра Curve25519, а компонент stealer эксфильтрирует целевые файлы на сервер злоумышленника. Логика шифрования Cyclops имеет общие черты с Babuk и Lockbit v2 ransomware.
-----

Команда исследователей угроз Uptycs недавно обнаружила новую тревожную угрозу, известную как группа Cyclops, которая особенно гордится тем, что создала ransomware, способное заражать все три основные платформы: Windows, Linux и macOS. Этот поставщик ransomware-as-a-service (RaaS) также поставляет отдельный двоичный файл для целей кражи. Полезная нагрузка сканирует и идентифицирует процессы, запущенные на машинах жертв, а затем завершает любой процесс, который может помешать шифрованию целевых файлов, которые она собирается взять в заложники. Она добавляет расширение .CYCLOPS к зашифрованным файлам и создает файл с примечанием о выкупе под названием How To Restore Your Files.txt. Двоичный файл для Linux представляет собой скомпилированный файл Golang, имена функций которого удалены, чтобы затруднить обратную разработку. В Windows шифрование Curve25519 реализовано статически для обеспечения безопасности, а в Linux используется библиотека Golang Curve25519. Угонщик также читает свой файл config.json, расположенный в том же каталоге, что и его исполнение, содержащий список имен файлов вместе с соответствующими расширениями и размерами. Он перечисляет каталоги в поисках наличия целевых файлов и добавляет их в защищенный паролем zip-файл, который затем пересылается на сервер злоумышленника.

Логика шифрования Cyclops ransomware имеет общие черты с Babuk ransomware и Lockbit v2 ransomware. И Babuk, и Lockbit используют Curve25519 и HC-256 для шифрования Windows и Curve25519 и ChaCha для шифрования Linux. Исполняемые строки кодируются и хранятся в виде стековой строки в Cyclops ransomware, которая может быть динамически декодирована с помощью вычислений, включающих сложение, вычитание, сдвиг, XORing и т.д.