Bu yıl itibariyle, başta Agenda Agenda (Qilin olarak da bilinir) olmak üzere birçok hizmet olarak fidye yazılımı grubu, fidye yazılımlarının sürümlerini Rust’ta geliştirdi. Agenda’nın Rust versiyonu, Go muadili gibi, önemli endüstrileri hedef aldı.
Trend Micro, Agenda fidye yazılımının geçtiğimiz ay sızan sitesinde çok sayıda işletme hakkında bilgi yayınladığını gözlemledi.
Tehdit aktörleri, sunucularına girdiklerini iddia etmenin yanı sıra bu şirketlerin dosyalarını sızdırmakla tehdit etti.
Fidye yazılımı kuruluşunun sızıntı sitesinde listelediği işletmeler, başta imalat ve BT sektörleri olmak üzere birçok ülkede bulunuyor ve bunların toplam yıllık geliri 550 milyon ABD dolarını aşıyor.
Rust Kullanan Agenda Ransomware ile Daha Büyük Sektörleri Hedefleme
“Rust dilinde yazılmış ve Ransom.Win32.AGENDA.THIAFBB olarak tespit edilen Agenda fidye yazılımının bir örneğini bulduk. Özellikle Go dilinde yazılan aynı fidye yazılımının Tayland ve Endonezya gibi ülkelerde sağlık ve eğitim sektörlerini hedef almasıyla biliniyordu”, Trend Micro araştırmacıları
Fidye yazılımının Go’da yazılan ve her kurban için özelleştirilmiş önceki bir sürümü, Endonezya, Suudi Arabistan, Güney Afrika ve Tayland gibi ülkelerde sağlık ve eğitim sektörlerini hedefliyordu.
Rust varyantının, tehdit aktörleri tarafından tespitten kaçınmak ve daha hızlı şifreleme için kullanılan yeni bir strateji olan aralıklı şifreleme kullandığı gözlemlendi.
Fidye yazılımı, fidye mektubunu her şifrelenmiş dizine bırakmaya başlayacaktır. Fidye yazılımını çalıştırmak için gereken parola, fidye notunda belirtildiği gibi, fidye yazılımı grubunun destek sohbet web sitesine erişmek için de parola olarak kullanılacaktır.
Agenda’nın Rust versiyonu, Golang versiyonunun on argümanının aksine yalnızca üç argümanı kabul eder.
Rust varyantının ikili dosyaları da sabit kodlu bir yapılandırmaya sahiptir. Araştırmacılar, yapılandırmalarına -n, -p, hızlı, atlama ve adım bayraklarını da eklediğini söylüyor. Özellikle, bu bayraklar aralıklı şifreleme için kullanılır.
Bu nedenle, bayrakların değerlerine dayalı kısmi bir şifreleme tekniği kullanarak, fidye yazılımı kurbanın dosyalarını daha hızlı bir şekilde şifreleyebilir. Uzmanlar, bunun daha hızlı şifreleme yapmalarına ve büyük ölçüde dosya okuma/yazma işlemlerine dayanan algılamalardan kaçınmalarına olanak tanıdığını söylüyor.
Ayrıca, Agenda fidye yazılımının her kurban için özelleştirilmiş fidye yazılımı dağıttığı da biliniyor ve Rust varyantlarının, çoğunlukla ayrıcalık yükseltme için kullanılmak üzere yapılandırmalarına hesap eklemek için ayrılmış bir alana sahip olduğunu gördük.
Son söz
Tehdit aktörleri, tercih ettikleri operasyon yöntemi olarak fidye yazılımlarını kullanmaya devam ederek işletmelerin ve kuruluşların veri güvenliğine yönelik çok katmanlı bir yaklaşıma güvenme ihtiyacını pekiştiriyor.
Trend Micro, “Analiz edilmesi daha zor olduğundan ve antivirüs motorları tarafından daha düşük bir algılama oranına sahip olduğundan, pas dili tehdit aktörleri arasında daha popüler hale geliyor.”
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin