Site icon mobil proxy

Kaspersky yeni bir gizli fidye yazılımı tanımladı

kaspersky yeni bir gizli fidye yazilimi tanimladi Qf1EnDFf

Kaspersky Global Acil Durum Müdahale Grubu, çalışanların kimlik bilgilerinin çalınmasını takip eden bir hücum sırasında kullanılan, daha evvel görülmemiş bir fidye yazılımı tipinin etkin olarak sirkülasyonda olduğunu tespit etti. “Ymir” olarak isimlendirilen fidye yazılımı, gelişmiş kapalılık ve şifreleme prosedürlerini kullanıyor. Ayrıyeten belgeleri seçerek amaç alıyor ve tespit edilmekten kaçınmaya çalışıyor.

Ymir fidye yazılımı, tesirini artıran teknik özellikler ve taktikler eşliğinde eşsiz bir yetenek kombinasyonu ortaya koyuyor.

Gizlilik için yaygın kullanılmayan bellek manipülasyon teknikleri.  Tehdit aktörleri, makus gayeli kodu direkt bellekte çalıştırmak için malloc, memmove ve memcmp üzere alışılmadık bellek idaresi fonksiyonları karışımından yararlanıyor. Bu yaklaşım, yaygın fidye yazılımı tiplerinde görülen tipik sıralı yürütme akışından saparak zımnilik yeteneklerini artırıyor. Üstüne Ymir esnek bir yapılanma gösteriyor: Saldırganlar –path komutunu kullanarak fidye yazılımının belgeleri araması gereken dizini belirleyebiliyorlar. Şayet bir belge beyaz listede yer alıyorsa, fidye yazılımı bu belgeyi atlıyor ve şifrelemeden bırakıyor. Bu özellik saldırganlara neyin şifrelenip neyin şifrelenmeyeceği konusunda daha fazla denetim sağlıyor.

Veri çalmaya odaklı berbat gayeli yazılım. Kolombiya’daki bir kuruluşa yönelik gerçekleşen ve Kaspersky uzmanları tarafından gözlemlenen bir atakta, tehdit aktörlerinin çalışanlardan kurumsal kimlik bilgilerini almak için bilgi çalmaya odaklı bir makûs maksatlı yazılım tipi olan RustyStealer’ı kullandığı görüldü. Bu bilgiler daha sonra kuruluşun sistemlerine erişim sağlamak ve fidye yazılımını dağıtacak kadar uzun müddet boyunca denetimi elde tutmak için kullanıldı. Bu hücum, saldırganların sistemlere sızdığı ve erişimi sürdürdüğü birinci erişim ortacısı olarak biliniyor. Ekseriyetle birinci erişim aracıları elde ettikleri erişimi dark web üzerinden öbür siber hatalılara satıyorlar. Lakin bu olayda saldırganlar fidye yazılımını sisteme bulaştırarak saldırıyı kendileri devam ettirmiş üzere görünüyorlar. Kaspersky Küresel Acil Durum Müdahale Takımı Olay Müdahale Uzmanı Cristian Souza, “Aracılar nitekim de fidye yazılımını dağıtan aktörlerle aynıysa, bu durum klâsik Hizmet Olarak Fidye Yazılımı (RaaS) kümelerine güvenmeden ek ele geçirme seçenekleri yaratan, yeni bir eğilime işaret edebilir” diyor.

Ymir’in fidye notu

Gelişmiş şifreleme algoritması. Fidye yazılımı suratı ve güvenliğiyle bilinen, hatta Gelişmiş Şifreleme Standardından (AES) daha âlâ performans gösteren çağdaş bir akış şifresi olan ChaCha20’yi kullanıyor.

Cristian Souza, durumu şöyle yorumluyor: “Bu taarruzun gerisindeki tehdit aktörü çalınan dataları kamuyla paylaşmamış ya da öteki taleplerde bulunmamış olsa da, araştırmacılar bu bahiste yeni bir faaliyet olup olmadığını yakından takip ediyor. Şimdi yeraltı pazarında ortaya çıkan yeni bir fidye yazılımı kümesi gözlemlemiş değiliz. Saldırganlar çoklukla karanlık web forumları ya da portalları kullanarak bilgi sızdırıp kurbanları fidye ödemeye zorlarlar ki Ymir’de bu türlü bir durum kelam konusu değildi. Bu nedenle, fidye yazılımının gerisinde hangi kümenin olduğu sorusu açıkta kalıyor ve bunun yeni bir kampanya olabileceğinden şüpheleniyoruz.”

Yeni tehdit için bir isim arayan Kaspersky uzmanları, Satürn’ün Ymir isimli ayının ismini kullanmaya karar verdi. Bu ay, gezegenin dönüşünün zıddı tarafında hareket eden “düzensiz” bir ay ve bu özelliği yeni fidye yazılımında kullanılan bellek idaresi fonksiyonlarının alışılmadık karışımına enteresan bir halde benziyor.

Kaspersky eserleri, Ymir fidye yazılımını Trojan-Ransom.Win64.Ymir.gen olarak tespit ediyor. Kaspersky ayrıyeten kurumlara fidye yazılımı akınlarından korunmaları için aşağıdaki tedbirleri öneriyor:

Kaynak: (BYZHA) Beyaz Haber Ajansı

Exit mobile version