Kaspersky, Yeni ve Gelişmiş Bir Fidye Yazılımını Tanımladı: Ymir

Kaspersky Küresel Acil Durum Müdahale Ekibi, çalışanların kimlik bilgilerini çalma amacıyla başlatılan bir saldırı sırasında yeni bir fidye yazılımı türü keşfetti. “Ymir” adı verilen bu fidye yazılımı, seçici şifreleme ve sofistike gizlilik teknikleri kullanarak saldırılarda tespit edilmekten kaçınıyor. Dosya hedeflemede yenilikçi yaklaşımlara sahip olan Ymir, saldırganlara hangi dosyaların şifrelenip hangilerinin şifrelenmeyeceği konusunda yüksek bir kontrol sağlıyor.

Ymir’in en dikkat çeken özelliklerinden biri, bellek manipülasyonu için çok nadir kullanılan işlevlere başvurması. Saldırganlar, malloc, memmove ve memcmp gibi bellek yönetimi işlevlerinden yararlanarak kötü amaçlı kodu doğrudan bellekte çalıştırıyor. Bu yöntem, sıralı yürütme akışını bozarak Ymir’in tespit edilmesini zorlaştırıyor. Esneklik açısından da oldukça güçlü olan Ymir, saldırganların --path komutuyla şifreleme işleminin hedefleneceği dizini seçmesine imkân tanıyor. Bu esneklik, saldırganların yalnızca hedefledikleri dosyaları şifreleyip diğer dosyaları atlamalarını sağlıyor.

Kolombiya’da bir kuruluşa yönelik bir saldırı sırasında, tehdit aktörlerinin kimlik bilgilerini ele geçirme amacıyla “RustyStealer” adlı bir bilgi çalma yazılımı kullandığı tespit edildi. Bu bilgiler, fidye yazılımını dağıtmak amacıyla sisteme uzun süreli erişim sağlamak için kullanıldı. Kaspersky uzmanlarına göre bu saldırı, genellikle dark web üzerinden satılan ilk erişim aracılarının rollerini tehdit aktörlerinin kendilerinin üstlenmesiyle farklılık gösteriyor. Olay Müdahale Uzmanı Cristian Souza, bu eğilimin, fidye yazılımı hizmeti veren gruplara bağımlılığı azaltabileceğini belirtiyor.

ChaCha20 şifreleme algoritmasını kullanarak gelişmiş bir güvenlik seviyesi sağlayan Ymir, Gelişmiş Şifreleme Standardı’ndan (AES) daha yüksek performans sunabiliyor. Buna rağmen, tehdit aktörleri şu ana kadar fidye taleplerini karanlık web üzerinden paylaşmadılar, bu da saldırının arkasındaki grubun kim olduğu sorusunu açık bırakıyor. Bu yeni fidye yazılımı türüne Satürn’ün “Ymir” adlı uydusunun ismi verildi; uydu, ters yörüngede hareket etmesiyle gizlilik tekniklerine bir benzerlik taşıyor.

Kaspersky, kurumlara fidye yazılımlarına karşı önlem almak için çeşitli öneriler sunuyor:

Ymir'in Trojan-Ransom.Win64.Ymir.gen olarak tanımlandığını belirten Kaspersky, güvenlik önlemlerinin fidye yazılımı tehdidine karşı etkili bir savunma oluşturduğuna dikkat çekiyor.