Kısa bir süre önce IBM Security X-Force Threat Researchers tarafından, RansomExx olarak bilinen ve Rust dilinde yazılmış RansomExx2 olarak adlandırılan yeni bir fidye yazılımı türü hakkında bir keşif yapıldı.
Bu kötü amaçlı yazılımın arkasındaki tehdit aktörü Hive0091 (aka DefrayX) olarak bilinir. Bunun dışında RansomExx şu isimlerle de bilinir:-
Bu yeni varyantın piyasaya sürülmesiyle, fidye yazılımı geliştiricilerinin, tehdit aktörleri için ortak bir programlama dili haline gelen Rust programlama diline geçiş yapma eğiliminin arttığı fark edildi.
“Rust dili, kötü amaçlı yazılım geliştiricileri tarafından benimsenmeye devam ederse, AV satıcıları Rust’u tespit etme yeteneklerini artırmaya başlayacak ve bu nedenle diğer dillere kıyasla avantajları azalacak. Bu noktada, kötü amaçlı yazılım geliştiricilerinin yer değiştirdiğini ve bunun yerine farklı dillerle deneyler yaptığını görebiliriz.” IBM araştırmacıları söyledi.
Teknik Analiz
Rust’ı kullanmanın birincil nedeni, virüsten koruma programları için daha düşük algılama oranları sunabilmesi olabilir. Bu büyüme eğiliminin bir sonucu olarak, aşağıdakiler gibi suşlarla aynı kalıpları takip ediyor: –
DefrayX (namı diğer Hive0091) tehdit aktörü grubu ayrıca aşağıdaki türlerle tanınır: –
- PyXie kötü amaçlı yazılımı
- KDV yükleyici
- Fidye yazılımını ortadan kaldırın
Bu grup tarafından daha önce Linux ve Windows sürümleri de dahil olmak üzere çok çeşitli fidye yazılımı yayınlandı. Bu nedenle, fidye yazılımının Windows sürümünün de yakında piyasaya sürülme olasılığı yüksektir.
RansomExx2’nin yeni varyantı Rust programlama dilinde kalıplanmış olsa da, işlevselliğinin çoğunu selefi olarak koruyor.
Hedef dizinleri şifrelemek için komut satırı bağımsız değişkenlerinin bir parçası olarak RansomExx2’ye çeşitli parametrelerin iletilmesi gerekecektir. Bunu takiben dosyalar AES-256 ile şifrelenirken, şifreleme anahtarları RSA kriptografisi ile korunur.
Fidye yazılımı grubunun web sitesinde de bir güncelleme yapıldı ve sayfa başlığı şu şekilde değiştirildi: –
Fidye yazılımı çalıştırıldığında, kullanıcı tarafından belirtilen dizinlerdeki dosyaları numaralandırır ve şifreler. Fidye notları ve önceden şifrelenmiş dosyalar dışında, boyutu 40 bayttan büyük olan tüm dosyalar şifrelenir.
Her şifrelenmiş dosyaya kolayca tanınabilmesi için yeni bir dosya uzantısı verilir. Şifrelenmiş dosyaların bulunduğu her dizine bir fidye notu bırakılacaktır.
Fidye notu “!_WHY_FILES_ARE_ENCRYPTED_!.txt” başlıklı olup, bu not aşağıdaki bilgileri içermektedir:-
Operasyonun 2018’de başlatılmasından bu yana RansomExx’in operasyonlarının bir dizi kurbanı oldu, bunlara aşağıdakiler dahildir:
- Devlet kurumları
- GİGABAYT
- Zegna
X-Force tarafından belirlendiği üzere, gelecekte Rust’ı deneyen daha fazla tehdit olma olasılığı yüksektir. 2022’de Rust’a geçecek en yeni fidye yazılımı aileleri arasında RansomExx de var.
“Son birkaç yılda tehdit aktörleri tarafından kullanımda benzer bir artış yaşayan Go programlama dili gibi, Rust’ın derleme süreci de tersine mühendisler için analiz edilmesi daha fazla zaman alan daha karmaşık ikili dosyalarla sonuçlanıyor.”
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin