Peneliti keamanan Kaspersky telah mengungkapkan rincian keluarga ransomware baru yang ditulis dalam Rust, menjadikannya jenis ketiga setelah BlackCat dan Hive yang menggunakan bahasa pemrograman.
Luna, demikian sebutannya, “cukup sederhana” dan dapat berjalan di sistem Windows, Linux, dan ESXi, dengan malware perbankan pada kombinasi Curve25519 dan AES untuk enkripsi.
“Baik sampel Linux dan ESXi dikompilasi menggunakan kode sumber yang sama dengan beberapa perubahan kecil dari versi Windows,” perusahaan Rusia tersebut mencatat dalam sebuah laporan yang diterbitkan hari ini.
Iklan untuk Luna di forum darknet menunjukkan bahwa ransomware dimaksudkan untuk digunakan hanya oleh afiliasi berbahasa Rusia. Pengembang intinya juga diyakini berasal dari Rusia karena kesalahan ejaan dalam catatan tebusan yang dikodekan dalam biner.
“Luna mengkonfirmasi tren untuk ransomware lintas platform,” kata para peneliti, menambahkan bagaimana sifat agnostik platform bahasa seperti Golang dan Rust memberi operator kemampuan untuk menargetkan dan menyerang dalam skala besar dan menghindari analisis statis.
Konon, sangat sedikit informasi tentang pola viktimologi mengingat Luna adalah kelompok kriminal yang baru ditemukan dan aktivitasnya masih dipantau secara aktif.
Luna jauh dari satu-satunya ransomware yang mengarahkan perhatiannya pada sistem ESXi, dengan keluarga ransomware baru yang dikenal sebagai Black Basta yang menjalani pembaruan bulan lalu untuk menyertakan varian Linux.
Black Basta juga terkenal karena memulai sistem Windows dalam mode aman sebelum enkripsi untuk memanfaatkan fakta bahwa solusi deteksi titik akhir pihak ketiga mungkin tidak dimulai setelah mem-boot sistem operasi dalam mode aman. Ini memungkinkan ransomware untuk tidak terdeteksi dan dengan mudah mengunci file yang diinginkan.
“Ransomware tetap menjadi masalah besar bagi masyarakat saat ini,” kata para peneliti. “Begitu beberapa keluarga turun dari panggung, yang lain menggantikan mereka.”
LockBit, bagaimanapun, tetap menjadi salah satu geng ransomware paling aktif pada tahun 2022, sering mengandalkan akses RDP ke jaringan perusahaan untuk menonaktifkan layanan cadangan dan membuat Kebijakan Grup untuk menghentikan proses yang berjalan dan menjalankan muatan ransomware.
“Keberhasilan LockBit juga karena pengembang dan afiliasinya melanjutkan evolusi fitur dan taktik, yang mencakup kecepatan enkripsi malware yang cepat, kemampuan untuk menargetkan mesin Windows dan Linux, drive rekrutmennya yang kurang ajar, dan target profil tinggi,” Ancaman Symantec Hunter Team, bagian dari Broadcom Software, mengatakan dalam sebuah laporan.