Kaspersky Küresel Acil Durum Müdahale Ekibi, ‘Ymir’ adlı yeni bir fidye yazılımının dolaşımda olduğunu tespit etti. Bu fidye yazılımı, çalışan kimlik bilgilerini çalarak kurumsal sistemlere sızıyor ve kullanıcı verilerini şifreliyor. Şirketten yapılan açıklamaya göre, Ymir’in gelişmiş teknik özellikleri ve esnek yapısı, saldırganların fidye yazılımını kullanarak hedef sistemlerde daha uzun süre gizli kalmasını sağlıyor.
Ymir Fidye Yazılımının Teknik Özellikleri ve Çalışma Prensibi
Ymir, alışılmışın dışında bellek yönetimi işlevlerini (‘malloc’, ‘memmove’, ‘memcmp’) kullanarak kötü amaçlı kodu bellekte çalıştırıyor. Bu sayede yaygın fidye yazılımlarının sıradan yürütme sırasından saparak daha fazla gizlilik sağlıyor. Ayrıca, fidye yazılımının saldırıda hangi dizinleri hedefleyeceği ‘–path’ komutu ile belirlenebiliyor. Bu esnek özellik, saldırganlara hangi dosyaların şifrelenip hangilerinin şifrelenmeyeceği üzerinde kontrol sağlıyor.
Ymir, saldırganların belirli dosyaları beyaz listeye ekleyerek şifrelenmesini önlemelerine olanak tanıyor. Bu durum, sistemde önemli verileri şifrelemek isteyen tehdit aktörlerine esnek bir kontrol imkânı sağlıyor. Kaspersky uzmanlarının Kolombiya’daki bir kuruluşa yönelik saldırıda gözlemlediği bu özellik, fidye yazılımının hedeflediği veriler üzerinde seçici davranmasına olanak tanıyor.
RustyStealer ve Kimlik Bilgilerinin Çalınması
Saldırganlar, kurbanlardan kurumsal kimlik bilgilerini ele geçirmek için RustyStealer isimli bir kötü amaçlı yazılımı kullanıyor. Bu bilgileri elde eden saldırganlar, kuruluşun sistemlerine erişim sağlıyor ve Ymir fidye yazılımını sisteme bulaştırıyor. Bu saldırı, genellikle elde edilen erişimi Dark Web’de satmak yerine, tehdit aktörlerinin doğrudan kendi saldırılarını yürütmeleriyle dikkat çekiyor.
Kaspersky Global Acil Durum Müdahale Ekibi’nden Cristian Souza, saldırının arkasındaki tehdit aktörünün çalınan verileri henüz yayımlamadığını veya başka taleplerde bulunmadığını belirtti. Souza, “Bu durum yeni bir eğilimi işaret edebilir ve geleneksel RaaS (Hizmet Olarak Fidye Yazılımı) gruplarına bağımlılığı azaltan bir stratejiyi ortaya koyabilir” dedi. Ayrıca, yeraltı pazarında henüz bu fidye yazılımını üstlenen bir grubun tespit edilmediğini ve yeni bir tehdit kampanyasının habercisi olabileceğini belirtti.
Siber Güvenlik Dünyasında Ymir Alarmı
Kaspersky’nin gözlemleri, Ymir fidye yazılımının siber saldırılarda yeni bir paradigma yarattığını ortaya koyuyor. Gizlilik özellikleri ve hedefe yönelik saldırı stratejileri, Ymir’in gelecekte şirketler için önemli bir tehdit unsuru olabileceğini gösteriyor.