Symantec’in tehdit avcısı ekibi, bir Ransomhub iştirakine bağlı “Betruger” adlı sofistike bir özel arka kapı belirledi.
Bu yeni keşfedilen arka kapı, fidye yazılımı işlemleri için amaca yönelik gibi görünmektedir ve birden fazla saldırı işlevini tek bir araca birleştirerek, kampanyalar sırasında saldırganın ayak izini en aza indirecek.
Gelişmiş çok fonksiyonlu kötü amaçlı yazılım keşfedildi
Arka kapı, fidye yazılımı saldırılarında tipik olarak birden fazla araca dağıtılan kapsamlı bir dizi özellik içerir.
Bunlar arasında ekran yakalama işlevselliği, kimlik bilgisi hırsızlık mekanizmaları, anahtarlama özellikleri, ağ tarama özellikleri ve ayrıcalık yükseltme teknikleri bulunur.
Güvenlik araştırmacıları, bu konsolide yaklaşımın, bir saldırı sırasında gereken farklı araçların sayısını azaltmak için tasarlanmış taktik bir evrimi temsil ettiğine ve böylece algılama olasılığını azalttığına inanmaktadır.
Koruma ve tespit mekanizmaları
Symantec, birden fazla tespit katmanı aracılığıyla bu tehdide karşı kapsamlı bir koruma uyguladı.
Güvenlik satıcısının uyarlanabilir tabanlı korumaları arasında ACM.PS-RGPST! G1, ACM.PS-SVCREG! G1 ve ACM.UNTRST-Runsys! G1 gibi imzalar bulunurken, davranış tabanlı algılama tehdidi sonar.tcp! Gen1 olarak tanımlar.
Dosya tabanlı algılamalar Backdoor.betruger, backdoor.cobalt, backdoor.systembc ve ransom.ransomhub! G1 dahil olmak üzere çeşitli sınıflandırmalar altında oluşturulmuştur.
Ek olarak, heur.advml.a! 300 ile heur.advml.c gibi imzalarla sezgisel analiz yoluyla tehdidi tanımlamak için makine öğrenme algoritmaları dağıtılmıştır.
VMware karbon siyah ürünleri de bu tehdide karşı etkilidir ve mevcut politikalar ilişkili kötü niyetli göstergeleri engeller.
Güvenlik uzmanları, korumayı en üst düzeye çıkarmak için tüm kötü amaçlı yazılım türlerini (bilinen, şüpheli ve PUP) engelleyen politikaların uygulanmasını ve bulut taraması için yürütmeyi geciktirmenizi önerir.
Betruger’ın keşfi, fidye yazılımı taktiklerinin devam eden evrimini vurgulamaktadır ve tehdit aktörleri operasyonel verimliliklerini artırmak için giderek daha fazla özel araçlar geliştirmektedir.
Hizmet olarak fidye yazılımı olarak çalışan RansomHub, bağlı kuruluşlarının gelişmiş özel kötü amaçlı yazılım kullanımı yoluyla sofistike yetenekler göstermeye devam ediyor.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin