Luna in Rust: Platformlar arası programlama dilini kullanan yeni fidye yazılımı grubu

Kaspersky araştırmacıları, fidye yazılımı aktörlerinin platformlar ortası fonksiyonelliğe dönüşme eğilimini vurgulayan yeni bir fidye yazılımı kümesini ortaya çıkardı. Luna isimli grup, daha evvel BlackCat ve Hive çeteleri tarafından kullanılan bir programlama lisanı olan Rust’ta yazılmış fidye yazılımını kullanıyor. Böylelikle berbat hedefli yazılımların bir işletim sisteminden başkasına kolaylıkla taşınmasına imkan tanıyor. Bu keşfe Kaspersky’nin Securelist’inde bulunan son cürüm yazılımı raporunda yer verildi.

Luna, Rust’ta yazılmış makus maksatlı yazılımları dağıtıyor. Yazılımın farklı platformlar ortası uyumluluğu kümenin Windows, Linux ve ESXi sistemlerini tıpkı anda hedeflemesine imkan tanıyor. Kaspersky tarafından tespit edilen karanlık webdeki reklam, Luna’nın sırf Rusça konuşan kuruluşlarla çalıştığını belirtiyor. Ayrıyeten ikili belgeye sabit kodlanmış fidye notu birtakım yazım yanılgıları içeriyor. Bu da kümenin Rusça konuşuyor olabileceğini gösteriyor. Luna yeni keşfedilen bir grup olduğundan, kurbanları hakkında hala çok az data mevcut. Kaspersky, Luna’nın faaliyetlerini aktif olarak takip ediyor.

Luna, Golang ve Rust üzere lisanların geçtiğimiz yıl çağdaş fidye yazılımı çeteleri tarafından yoğun bir şekilde uygulandığı platformlar ortası fidye yazılımlarında son trende karşılık geliyor. Kayda bedel bir örnek BlackCat ve Hive’ı içeriyor ki bunlardan ikincisi hem Go hem de Rust kullanıyor. Bu lisanlar platformdan bağımsız olması nedeniyle yazılan fidye yazılımları bir platformdan başkasına basitçe taşınabiliyor. Hücumlar tıpkı anda birden fazla işletim sistemine yönelik olabiliyor.

Kaspersky tarafından yakın vakitte yürütülen bir öteki araştırma, fidye yazılımı aktörü Black Basta’nın aktifliği hakkında daha geniş bilgi sağlıyor. Bu grup, birinci olarak Şubat 2022’de gün ışığına çıkan C++ ile yazılmış yeni bir fidye yazılımı türevini kullanıyor. O tarihten beri Black Basta, esas Amerika Birleşik Devletleri, Avrupa ve Asya’da yer alan 40’tan fazla kurbana saldırmayı başardı.

Kaspersky araştırmasının gösterdiği üzere hem Luna hem de Black Basta, ESXi sistemlerini, Windows’u ve 2022’nin bir diğer fidye yazılımı trendi olan Linux’u hedefliyor. ESXi, rastgele bir işletim sisteminde bağımsız olarak kullanılabilen bir hiper yönetici olarak biliniyor. Birçok kuruluş ESXi tabanlı sanal makinelere geçtiğinden, saldırganların kurbanların datalarını şifrelemesi daha kolay hale geliyor.

Kaspersky güvenlik uzmanı Jornt van der Wiel, şunları söylüyor: “Bu yılın başlarında ana sınırlarıyla belirttiğimiz trendler sürat kazanıyor. Fidye yazılımlarını hazırlamak için platformlar ortası lisanlar kullanan daha fazla çete görüyoruz. Bu, makûs hedefli yazılımlarını çeşitli işletim sistemlerine dağıtmalarını sağlıyor. ESXi sanal makinelerine yönelik artan akınlar tasa verici ve giderek daha fazla fidye yazılımı ailesinin birebir stratejiyi kullanmasını bekliyoruz.”

Securelist’te ortaya çıkan fidye yazılımı kümeleri hakkında daha fazla bilgi edinebilirsiniz.

Kendinizi ve işletmenizi fidye yazılımı taarruzlarından korumak için Kaspersky şu kurallara uyulmasını önermektedir

• Uzak masaüstü hizmetleri (RDP gibi) muhakkak gerekli olmadıkça genel ağlara maruz bırakılmamalı ve bunlar için her vakit güçlü parolalar kullanılmalıdır.
• Savunma stratejinizi yanal hareketleri ve internete bilgi sızmasını tespit etmeye odaklanmalıdır. Siber hatalıların kontaklarını tespit etmek için giden trafiğe bilhassa dikkat edilmelidir.
• Saldırganlar en son maksatlarına ulaşmadan evvel, taarruzun erken evrelerinde tespit edilip durdurulmasına yardımcı olabilecek Kaspersky Endpoint Detection and Response Expert ve Kaspersky Managed Detection and Response üzere tahliller kullanılmalıdır.
• Kurumsal çevreyi korumak için çalışanlar eğitilmelidir. Kaspersky Automated Security Awareness Platform’da sağlananlar özel eğitim kursları yardımcı olabilir.
• Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı bilgilerini kullanılmalıdır. Kaspersky Tehdit İstihbarat Portalı, Kaspersky’nin TI’si için tek bir erişim noktası sağlayarak siber akın bilgilerini ve 25 yılı aşkın müddettir grubumuz tarafından toplanan öngörüleri sağlar. İşletmelerin bu çalkantılı vakitlerde tesirli savunmalar yapmasına yardımcı olmak için Kaspersky, devam eden siber akınlar ve tehditler hakkında bağımsız, daima güncellenen ve global kaynaklı bilgilere fiyatsız olarak erişim sağladığını duyurdu. Bu teklife buradan erişim talebinde bulunarak ulaşabilirsiniz.

Kaynak: (BYZHA) – Beyaz Haber Ajansı