Kovan Ransomware operasyonu, VMware ESXI Linux şifrelemelerini pas programlama diline dönüştürdü ve güvenlik araştırmacılarının kurbanın fidye müzakerelerinde snoop etmelerini zorlaştırmak için yeni özellikler ekledi.
Kurumsal, bilgisayar kaynaklarını kaydetmek için sanal makinelere giderek daha fazla güveniyor, sunucuları birleştirin ve daha kolay yedeklemeler için, Ransomware çeteleri bu hizmetlere odaklanan özel şifreleme oluşturuyor.
Ransomware çetesinin Linux şifrelemecileri genellikle VMware ESXI sanallaştırma platformlarını, işletmede en sık kullanılan oldukları için hedef alırlar.
Kovan, VMware ESXI sunucularını bir süredir hedeflemek için bir Linux şifreleme kullanıyor olsa da, yeni bir örnek, ilk bir örnek, BlackCat / Alphv Ransomware işlemi tarafından verilen özelliklerle şifrelemelerini güncelleştirdiklerini göstermektedir.
Ransomware operasyonları bir kurbana saldırdığında, müzakerelerinizi özel olarak yürütmeye çalışırlar, mağdurları söylerse, bir fidye ödenmezse verileri yayınlanmayacak ve itibar bir hit çekecekler.
Bununla birlikte, Ransomware örnekleri kamu malware analiz hizmetlerine yüklendiğinde, fidye notunu ve snoop'u müzakerelerde çıkarabilen güvenlik araştırmacıları tarafından yaygın olarak bulunurlar.
Çoğu durumda, bu müzakereler daha sonra Twitter'da ve başka yerlerde ilan edilmekte olup, müzakerelerin başarısız olmasına neden olmaktadır.
BlackCat Ransomware çete, bunun olmasını önlemek için TOR müzakere URL'lerini şifrelemelerden çıkardı. Bunun yerine, şifreleme çalıştırıldığında komut satırı argümanı olarak kabul edilecek URL'nin gereklidir.
Bu özellik, örneğin URL'yi çalıştırılabilir olarak dahil edilmediğinden ve yalnızca Çalışma Zamanında Yürütülebilir'e geçtiğinden, Numuneyi URL'yi almayı alan araştırmacıları önler.
Kovan Ransomware, bir mağdurun Tor Müzakeresi sayfasına erişmek için bir giriş adı ve şifresini zaten gerektirirken, bu kimlik bilgilerinin daha önce şifreleme çalıştırılabilir bir şekilde kaydedilmesini sağladı ve bunları almayı kolaylaştırdı.
Grup-IB Güvenlik Araştırmacı RIVITNA'nın bulunduğu yeni bir kovan Linux şifrelemesinde, kovan operasyonu şimdi saldırganın, kötü amaçlı yazılımları başlatırken kullanıcı adını ve oturum açma şifresini komut satırı argümanı olarak sağlamasını gerektirir.
Blackcat'ın taktiklerini kopyalayarak, Kovan Ransomware operasyonu, yalnızca saldırı sırasında oluşturulan Ransom Notes'ta bulunan kimlik bilgileriyle, Linux Malware örneklerinden müzakere giriş bilgilerini almayı imkansız hale getirmiştir.
Kovan pencerelerinin şifrelemelerinin şu anda bu yeni komut satırı argümanını kullanmasıyla da bilinmemektedir, ancak olmasa, muhtemelen kısa süre sonra eklendiğini göreceğiz.
RIVITNA ayrıca, fidye yazılımı örneklerini daha verimli ve daha sert hale getirmek için, Linux şifrelemelerini Golang'dan Pas programlama diline geçerek BlackCat'ı kopyalamaya devam ettiğini söyledi.
RIVITNA, "Pas, daha güvenli, hızlı ve verimli bir kod elde etmesine izin verirken, Kod Optimizasyonu Pas Programının Analizini Karşılaştırırken," Twitter'da bir sohbette bulundu.
VMware ESXI sanal makinelerinin şifrelemesiyle, başarılı bir saldırının kritik bir parçası olan fidye yazılımı işlemleri, yalnızca daha verimli olmamakla birlikte, fakat operasyonları ve müzakereleri sır tutmak için kodlarını sürekli geliştirmektedir.
Daha fazla işletme sunucuları için sanallaşmaya geçerken, Ransomware geliştiricilerini yalnızca Windows aygıtlarına odaklanmayı değil, aynı zamanda ESXI'yu hedef alan özel Linux şifreleme oluşturmayı da görmeye devam edeceğiz.
Bundan dolayı, tüm güvenlik profesyonelleri ve ağ yöneticileri, saldırıların belirtilerini tespit etmek için Linux sunucularına çok dikkat etmeniz gerekir.
Daha fazla Conti Ransomware Kaynak Kodu Twitter'da intikamdan kaçtı
3 ay boyunca 722 saldırıda düzinelerce fidye yazılımı varyantları
Revil Ransomware Üyesi, Kaseya Saldırısı için yargılanmak için U.
Ransomware'deki hafta - 28 Ocak 2022 - NAS aygıtlarını internetten çıkarın
Suncrypt Ransomware hala canlı ve 2022'de tekmelemek
Kaynak: Bleeping Computer