Ymir Fidye Yazılımının Teknik Detayları

Kaspersky, Yeni ve Gelişmiş Bir Fidye Yazılımını Tanımladı: Ymir

Kaspersky Küresel Acil Durum Müdahale Ekibi, çalışanların kimlik bilgilerini çalma amacıyla başlatılan bir saldırı sırasında yeni bir fidye yazılımı türü keşfetti. “Ymir” adı verilen bu fidye yazılımı, seçici şifreleme ve sofistike gizlilik teknikleri kullanarak saldırılarda tespit edilmekten kaçınıyor. Dosya hedeflemede yenilikçi yaklaşımlara sahip olan Ymir, saldırganlara hangi dosyaların şifrelenip hangilerinin şifrelenmeyeceği konusunda yüksek bir kontrol sağlıyor.

Gizlilik ve Bellek Manipülasyonu Teknikleri

Ymir’in en dikkat çeken özelliklerinden biri, bellek manipülasyonu için çok nadir kullanılan işlevlere başvurması. Saldırganlar, malloc, memmove ve memcmp gibi bellek yönetimi işlevlerinden yararlanarak kötü amaçlı kodu doğrudan bellekte çalıştırıyor. Bu yöntem, sıralı yürütme akışını bozarak Ymir’in tespit edilmesini zorlaştırıyor. Esneklik açısından da oldukça güçlü olan Ymir, saldırganların --path komutuyla şifreleme işleminin hedefleneceği dizini seçmesine imkân tanıyor. Bu esneklik, saldırganların yalnızca hedefledikleri dosyaları şifreleyip diğer dosyaları atlamalarını sağlıyor.

İlk Erişim ve Veri Hırsızlığı Amaçlı Kötü Amaçlı Yazılım Kullanımı

Kolombiya’da bir kuruluşa yönelik bir saldırı sırasında, tehdit aktörlerinin kimlik bilgilerini ele geçirme amacıyla “RustyStealer” adlı bir bilgi çalma yazılımı kullandığı tespit edildi. Bu bilgiler, fidye yazılımını dağıtmak amacıyla sisteme uzun süreli erişim sağlamak için kullanıldı. Kaspersky uzmanlarına göre bu saldırı, genellikle dark web üzerinden satılan ilk erişim aracılarının rollerini tehdit aktörlerinin kendilerinin üstlenmesiyle farklılık gösteriyor. Olay Müdahale Uzmanı Cristian Souza, bu eğilimin, fidye yazılımı hizmeti veren gruplara bağımlılığı azaltabileceğini belirtiyor.

Ymir Fidye Yazılımının Teknik Detayları

ChaCha20 şifreleme algoritmasını kullanarak gelişmiş bir güvenlik seviyesi sağlayan Ymir, Gelişmiş Şifreleme Standardı’ndan (AES) daha yüksek performans sunabiliyor. Buna rağmen, tehdit aktörleri şu ana kadar fidye taleplerini karanlık web üzerinden paylaşmadılar, bu da saldırının arkasındaki grubun kim olduğu sorusunu açık bırakıyor. Bu yeni fidye yazılımı türüne Satürn’ün “Ymir” adlı uydusunun ismi verildi; uydu, ters yörüngede hareket etmesiyle gizlilik tekniklerine bir benzerlik taşıyor.

Kaspersky'nin Önerdiği Koruma Önlemleri

Kaspersky, kurumlara fidye yazılımlarına karşı önlem almak için çeşitli öneriler sunuyor:

Yedekleme Programı: Düzenli yedekleme yaparak fidye yazılımı saldırılarında veri kaybını en aza indirin. Siber Güvenlik Eğitimi: Çalışanların kötü amaçlı yazılımlar hakkında farkındalığını artırın. Fidyeyi Ödemeyin: Fidyeyi ödemenin, kötü niyetli kişileri cesaretlendireceği unutulmamalıdır. Siber Güvenlik Çözümleri Kullanın: Kaspersky’nin EDR, XDR ve MDR gibi gelişmiş güvenlik çözümleriyle şirket güvenliğini artırın.

Ymir'in Trojan-Ransom.Win64.Ymir.gen olarak tanımlandığını belirten Kaspersky, güvenlik önlemlerinin fidye yazılımı tehdidine karşı etkili bir savunma oluşturduğuna dikkat çekiyor.