Hive fidye yazılımı operasyonu, VMware ESXi Linux şifreleyicilerini Rust programlama diline dönüştürdü ve güvenlik araştırmacılarının kurbanın fidye görüşmelerini gözetlemesini zorlaştırmak için yeni özellikler ekledi.
Kuruluş, bilgisayar kaynaklarından tasarruf etmek, sunucuları birleştirmek ve daha kolay yedeklemeler için sanal makinelere giderek daha fazla bağımlı hale geldikçe, fidye yazılımı çeteleri bu hizmetlere odaklanan özel şifreleyiciler oluşturuyor.
Ransomware çetesinin Linux şifreleyicileri, kuruluşta en yaygın olarak kullanılanlar oldukları için tipik olarak VMware ESXI sanallaştırma platformlarını hedefler.
Süre Hive bir Linux şifreleyici kullanıyor VMware ESXi sunucularını bir süreliğine hedeflemek için yeni bir örnek, şifreleyicilerini ilk olarak BlackCat/ALPHV fidye yazılımı işlemi tarafından sunulan özelliklerle güncellediklerini gösteriyor.
Hive, BlackCat’ten özellikler ödünç alıyor
Fidye yazılımı operasyonları bir kurbana saldırdığında, müzakerelerini özel olarak yürütmeye çalışırlar ve kurbanlara fidye ödenmezse verilerinin yayınlanacağını ve itibarlarının zedeleneceğini söylerler.
Ancak, fidye yazılımı örnekleri kamuya açık kötü amaçlı yazılım analiz hizmetlerine yüklendiğinde, genellikle fidye notunu çıkarabilen ve pazarlıkları gözetleyen güvenlik araştırmacıları tarafından bulunur.
Çoğu durumda, bu müzakereler daha sonra Twitter’da ve başka yerlerde duyurulur ve müzakerelerin başarısız olmasına neden olur.
BlackCat fidye yazılımı çetesi, bunun olmasını önlemek için Tor anlaşma URL’lerini şifreleyicilerinden kaldırdı. Bunun yerine, şifreleyici yürütüldüğünde URL’nin komut satırı argümanı olarak iletilmesini gerektiriyordu.
Bu özellik, yürütülebilir dosyaya dahil edilmediği ve yalnızca çalışma zamanında yürütülebilir dosyaya iletildiği için, örneği bulan araştırmacıların URL’yi almasını engeller.
Hive Ransomware, bir kurbanın Tor müzakere sayfasına erişmek için zaten bir oturum açma adı ve parola gerektirse de, bu kimlik bilgileri daha önce şifreleyici yürütülebilir dosyasında depolanarak, bunların alınmasını kolaylaştırdı.
İçinde yeni Hive Linux şifreleyici Group-IB güvenlik araştırmacısı tarafından bulundu rivitnaHive işlemi artık saldırganın kötü amaçlı yazılımı başlatırken komut satırı bağımsız değişkeni olarak kullanıcı adını ve oturum açma parolasını sağlamasını gerektiriyor.
BlackCat’in taktiklerini kopyalayan Hive fidye yazılımı operasyonu, Linux kötü amaçlı yazılım örneklerinden müzakere oturum açma kimlik bilgilerini almayı imkansız hale getirdi ve kimlik bilgileri artık yalnızca saldırı sırasında oluşturulan fidye notlarında mevcut.
Hive Windows şifreleyicilerinin de şu anda bu yeni komut satırı argümanını kullanıp kullanmadığı bilinmiyor, ancak değilse, muhtemelen kısa süre sonra eklendiğini göreceğiz.
rivitna ayrıca BleepingComputer’a Hive’ın, fidye yazılımı örneklerini daha verimli ve tersine mühendislikle daha zor hale getirmek için Linux şifreleyicilerini Golang’dan Rust programlama diline taşıyarak BlackCat’i kopyalamaya devam ettiğini söyledi.
Rivitna, BleepingComputer’a Twitter’da yaptığı bir sohbette “Rust, daha güvenli, hızlı ve verimli kod almayı sağlarken kod optimizasyonu Rust programının analizini zorlaştırıyor” dedi.
Başarılı bir saldırının kritik bir parçası olan VMware ESXi sanal makinelerinin şifrelenmesiyle, fidye yazılımı operasyonları kodlarını yalnızca daha verimli olmak için değil, aynı zamanda operasyonları ve müzakereleri gizli tutmak için sürekli olarak geliştiriyor.
Daha fazla işletme sunucuları için sanallaştırmaya geçtikçe, fidye yazılımı geliştiricilerinin yalnızca Windows cihazlarına odaklanmadığını, aynı zamanda ESXi’yi hedefleyen özel Linux şifreleyicileri oluşturduğunu görmeye devam edeceğiz.
Bu nedenle, tüm güvenlik uzmanları ve ağ yöneticileri, saldırı belirtilerini tespit etmek için Linux sunucularına çok dikkat etmelidir.