RedAlert ve Monster olarak bilinen yeni ortaya çıkan iki fidye yazılımı çetesi, birden çok işletim sistemi ve ortamına yönelik saldırıların daha kolay yürütülmesini sağlamak için platformlar arası yetenekleri benimsedi. Bu, savunucuların hazırlık yapması gereken çok platformlu fidye yazılımı saldırılarına yönelik çığ gibi büyüyen eğilimin parlak bir örneğidir.
RedAlert veya N13V olarak adlandırılan yeni tehdit gruplarından biri, Linux’a özgü bir C sürümünde yürütülebilir dosyalar oluşturur ve ayrıca VMware’in kurumsal sınıf ESXi hipervizörünü destekler. Diğer tehdit grubu Monster, saldırıyı belirli bir kurbanın yapılandırmasına göre uyarlamayı kolaylaştıran daha eski bir platformlar arası dil olan Delphi’yi kullanır.
Kaspersky’nin Perşembe günü yayınladığı bir tavsiyeye göre, tek bir kurbanın ortamında çeşitli istemci işletim sistemlerini etkileme yeteneği 2021’de hız kazanmaya başladı. Örneğin Conti grubu, bağlı kuruluşların fidye yazılımının bir Linux varyantına erişmesine izin verir ve bu da VMware’in ESXi hipervizörünü çalıştıran sistemlerin hedeflenmesine olanak tanır.
Bir Kez Dağıtın, Birçoğunu Etkileyin
Eğilimin birkaç nedeni var: Birincisi, emeği azaltıyor. Kaspersky’nin tavsiyesine göre, saldırganların belirli bir program işlevselliğini yalnızca bir kez yazması ve ardından ortaya çıkan kodu birden fazla hedefe yönelik saldırıları komut dosyası olarak kullanmak için kullanabilmesi gerekiyor.
Kaspersky Küresel Araştırma ve Analiz Ekibi kıdemli güvenlik araştırmacısı Jornt van der Wiel yaptığı açıklamada, “Fidye yazılımı gruplarının platformlar arası dilde yazılmış kötü amaçlı yazılımları dağıtmasına oldukça alıştık” dedi. “Bugünlerde siber suçlular [have] ortak saldırılar için düz programlama dillerinde yazılmış kötü amaçlı kodlarını ayarlamayı öğrendi ve güvenlik uzmanlarını fidye yazılımı girişimlerini tespit etme ve önleme yolları üzerinde ayrıntılı olarak incelemeye başladı.”
Platformlar arası saldırıların diğer faydaları, analizi engelleme yeteneği ve ayrıca saldırıları belirli kurban ortamlarına göre özelleştirme yeteneğidir. Gruplar, örneğin ESXi ortamlarında kodun çalışmasını önlemek için bir saldırıyı özelleştirmek için komut satırlarını kullanabilir – veya bunun tersine, belirli türdeki istemci sanal makinelerine odaklanmak için.
“Son zamanlarda amaçları, kötü amaçlı yazılım kodlarını o sırada birkaç işletim sistemine uyarlayarak mümkün olduğunca çok sisteme zarar vermek.” Kaspersky, blog yazısında 2022 fidye yazılımı trendlerini açıkladı. “[But] platformlar arası bir dil kullanmak için birkaç neden daha var.”
Kaspersky ayrıca, fidye yazılımı çetelerinin “1 günlük” açıklar olarak adlandırdığı n-günlük açıkları çok platformlu saldırılara uyarlamada giderek daha iyi hale geldiğini kaydetti. N-gün, siber suçluların şirketlerin düzeltmeye zamanları olmadan önce istismar etmek için yarıştığı, yeni bildirilen güvenlik açıklarını ifade eder.
“[Such broad functionality] genellikle ticari istismarlarda gördüğümüz bir şeydir” diyen şirket, son tavsiyesinde kapsanan iki istismardan birinin Asya-Pasifik bölgesindeki büyük bir perakendeciye yönelik bir saldırı sırasında “vahşi doğada” kullanıldığını belirtti.
Araştırmacılar, çapraz platforma geçişin zorunluluktan kaynaklandığını söyledi. 2022’nin ilk yarısında, kripto para birimlerinin değeri düşerken, fidye yazılımı saldırıları azaldı ve siber güvenlik firması Arctic Wolf yaklaşık dörtte bir düşüş bildirdi. Trend, yatırım dolandırıcılığı ve iş e-postası tavizleri gibi diğer siber suçlar için geçerli olmasa da, fidye yazılımı grupları için ters rüzgarlar, tehdit aktörlerinin başarılarını artırmanın yollarını bulmaları gerektiği anlamına geliyordu.
Rust ve GoLang, Fidye Yazılım Kodlaması için Steam Kazanıyor
Grupların platformlar arası yetenekler ekleme sürecini ele almalarının yaygın bir yolu, kodu Rust veya Golang gibi diğer platformları destekleyen bir dilde yazmaktır. Kaspersky, 24 Ağustos tarihli tavsiyesinde belirtti.
Örneğin, BlackCat fidye yazılımı programı, geliştirilmiş güvenlik özellikleri nedeniyle ilgi gören C’nin halefi olan Rust ile yazılmıştır.
“Rust çapraz derleme yetenekleri nedeniyle, [a] Kaspersky, danışma belgesinde, “Linux üzerinde de çalışan BlackCat örneklerini bulmamız için uzun zaman var” dedi. “BlackCat’in Linux örneği, Windows’a çok benziyor.”
Kaspersky, Rust ve Go’da yazılan fidye yazılımların, kötü amaçlı yazılım araştırmacıları için analizi daha da zorlaştırdığını, çünkü bu dilleri analiz etmeye yönelik araçların, ortak C programlama dilinde yazılmış programları analiz etmek kadar karmaşık olmadığını belirtti.
