Araştırmacılar, herkese açık olarak açığa çıkan Uzak Masaüstü hizmetlerinin hedef uç noktalara yeni fidye yazılımları dağıtmak için kötüye kullanıldığını söylüyor.
Linuxct adındaki bir siber güvenlik araştırmacısı, yakın zamanda, Venüs adında keşfettikleri bir fidye yazılımı türü hakkında daha fazla bilgi edinmek için MalwareHunterTeam’e ulaştı.
Ekip daha sonra, fidye yazılımı operatörlerinin 2022 Ağustos ortasından beri aktif olduğunu ve bir kuruluş hizmet için alışılmadık bir bağlantı noktası numarası kullandığında bile Windows Uzak Masaüstü protokolü aracılığıyla bir şirket ağına erişim sağlayarak dünyanın dört bir yanındaki kurbanları hedeflediğini keşfetti.
Güvenlik duvarının arkasına saklanmak
Araştırmacılar, bu tür saldırılara karşı korunmanın en iyi yolunun, bu hizmetleri bir güvenlik duvarının arkasına koymak olduğu sonucuna vardı. Dahası, Uzak Masaüstü Hizmetleri herkese açık olarak gösterilmemeli ve ideal olarak yalnızca Sanal Özel Ağ (VPN) aracılığıyla erişilebilir olmalıdır.
Venus fidye yazılımına gelince, çalışma şekli bu tür kötü amaçlı yazılımlar için olağandışı bir şey değil. Ağ eşleme, uç nokta tanımlama ve diğer keşif çalışmaları yapıldıktan sonra, kötü amaçlı yazılım, veritabanı sunucuları ve Office uygulamaları tarafından kullanılan 39 işlemi öldürecektir. Olay günlükleri ve gölge kopya birimleri silinir, Veri Yürütme Engellemesi devre dışı bırakılır ve tüm dosyalar .venus uzantısını taşımak için şifrelenir.
Son olarak, fidye yazılımı, şifre çözme anahtarı karşılığında kripto para birimlerinde ödeme talep eden bir fidye notu oluşturacaktı. Venüs genellikle bitcoin cinsinden ödeme talep eder ve en son bilgiler, şifre çözme anahtarı için 0,02 BTC veya yaklaşık 380 dolar talep eden gruba işaret eder.
Fidye notunun sonunda, araştırmacıların büyük olasılıkla şifreli şifre çözme anahtarı olduğuna inandıkları ve günlük olarak ID Ransomware’e yeni gönderiler yüklendiğine inandıkları, base64 ile kodlanmış bir blob bulunuyor.
Geçen yıl, aynı şifreli dosya uzantısını kullanan başka bir fidye yazılımı türü daha vardı, ancak araştırmacılar bunun aynı fidye yazılımı varyantı olup olmadığından emin değiller.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
