Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Yeni Fidye Yazılımı Grubu Saldırılarda Rust Tabanlı Araçlar Kullanıyor
Prajeet Nair (@prajeetspeaks) •
23 Ekim 2024
Yakın zamanda oluşturulmuş ve görünüşe göre iyi kaynaklara sahip bir fidye yazılımı oynatıcısı, koruma sistemlerini atlatmak için sürücülerdeki bir güvenlik açığından yararlanan bir yöntem de dahil olmak üzere, güvenlik savunmalarını devre dışı bırakacak araçlar geliştiriyor ve test ediyor.
Ayrıca bakınız: İşletmenizin Başarısını Artırmaya Yönelik Varsayılan Olarak Güvenli Strateji
Eset’teki araştırmacılar, özel bir yükleyici ve uç nokta tespit aracı kullanan Embargo fidye yazılımının dağıtımıyla bağlantılı kötü amaçlı yazılımları ortaya çıkardı. Ambargo ilk olarak Nisan ayında, kolluk kuvvetlerinin baskıları ve dayanak noktası BlackCat’in beklenmedik çıkışı nedeniyle fidye yazılımı dünyasında devam eden bir sarsıntının ortasında ortaya çıktı (bkz.: RansomHub Hit’leri LockBit ve BlackCat’in Eski İştirakleri Tarafından Desteklenmektedir).
Grup, dark web sızıntı sitesinde Avustralyalı bir banka dışı borç veren, bir Güney Carolina polis departmanı ve bir Idaho toplum hastanesi de dahil olmak üzere on kurban olduğunu iddia ediyor. Haziran ayında kendini Embargo temsilcisi ilan eden bir kişiyle yapılan röportajda, grubun hizmet olarak fidye yazılımı modeli üzerinde çalıştığı ve bağlı kuruluşların herhangi bir şantaj ödemesinin %80’ini karşıladığı belirtildi.
Eset tarafından tespit edilen araç seti iki ana bileşenden oluşuyor: Embargo’nun fidye yazılımını ve diğer yükleri dağıtmak için tasarlanmış bir yükleyici olan MDeployer ve savunmasız sürücülerden yararlanarak uç nokta algılama ve yanıt sistemlerini devre dışı bırakan bir EDR katili olan MS4Killer.
Hem MDeployer hem de MS4Killer Rust’ta yazılmıştır. Dilin bellek güvenliği özellikleri ve düşük düzeyli yetenekleri, onu verimli ve dayanıklı kötü amaçlı yazılımlar oluşturmada etkili kılar. Eset araştırmacıları Rust’un Embargo’nun hem Windows hem de Linux sistemlerini hedeflemesine izin verdiğini söyledi.
Güvenliği ihlal edilmiş bir sisteme dağıtıldığında, MDeployer aracı MS4Killer yükünün şifresini çözer ve çalıştırır, ardından Embargo fidye yazılımı gelir. Dağıtıcının kullandığı tekniklerden biri, virüs bulaşmış bilgisayarları, çoğu siber güvenlik önleminin ve korumanın devre dışı bırakıldığı, minimum işlevselliğe sahip bir işletim sistemi modu olan Güvenli Mod’da yeniden başlatmaktır.
Eset araştırmacıları, her izinsiz girişte gözlemlenen MDeployer ve MS4Killer sürümlerinin biraz farklı olduğunu söyledi; bu da Embargo grubunun aktif olarak araç setini geliştirip iyileştirdiğini gösteriyor. Bir vakada araştırmacılar, tek bir izinsiz girişte MDeployer’ın iki versiyonunu buldu; bu da saldırganların başarısız bir girişimden sonra araçta değişiklik yaptığını gösteriyor.
MS4Killer, kendi savunmasız sürücünüzü getirme tekniğinden yararlanarak güvenlik ürünlerini devre dışı bırakmak için tasarlanmıştır. MS4Killer muhtemelen s4killer adlı kavram kanıtlama aracından esinlenmiştir ancak Embargo, gerçek dünyadaki saldırılarda daha etkili hale getirmek için işlevselliğini geliştirmiştir.
Araç sonsuz bir döngüde çalışır, sonlandırmak için güvenlik süreçlerini tarar ve verimli yürütme için birden fazla iş parçacığı kullanır.