Siber güvenlik araştırmacıları, sistemlerin RustyStealer adlı hırsız kötü amaçlı yazılım tarafından ele geçirilmesinden iki gün sonra yapılan bir saldırıda konuşlandırılan Ymir adlı yeni bir fidye yazılımı ailesini işaretledi.

Rus siber güvenlik sağlayıcısı Kaspersky, “Ymir fidye yazılımı, etkinliğini artıran benzersiz bir teknik özellik ve taktik kombinasyonu sunuyor.” söz konusu.

“Tehdit aktörleri, kötü amaçlı kodu doğrudan bellekte yürütmek için malloc, memmove ve memcmp gibi bellek yönetimi işlevlerinin alışılmadık bir karışımından yararlandı. Bu yaklaşım, yaygın fidye yazılımı türlerinde görülen tipik sıralı yürütme akışından saparak gizlilik yeteneklerini artırıyor.”

Kaspersky, Kolombiya’daki isimsiz bir kuruluşu hedef alan bir siber saldırıda kullanılan fidye yazılımını gözlemlediğini ve tehdit aktörlerinin daha önce bu saldırıyı gerçekleştirdiğini söyledi. RustyStealer kurumsal kimlik bilgilerini toplamak için kötü amaçlı yazılım.

olduğuna inanılıyor çalıntı kimlik bilgileri fidye yazılımını dağıtmak amacıyla şirketin ağına yetkisiz erişim sağlamak için kullanıldı. Genellikle ilk erişim komisyoncusu ile fidye yazılımı ekibi arasında bir aktarım söz konusu olsa da burada durumun böyle olup olmadığı belli değil.

Kaspersky araştırmacısı Cristian Souza, “Eğer komisyoncular gerçekten de fidye yazılımını dağıtan aktörlerle aynıysa, bu yeni bir eğilimin sinyalini verebilir ve geleneksel Hizmet Olarak Fidye Yazılımı (RaaS) gruplarına güvenmeden ek korsanlık seçenekleri oluşturabilir.” dedi.

Saldırı, Gelişmiş IP Tarayıcı ve Process Hacker gibi araçların yüklenmesiyle dikkat çekiyor. Ayrıca, SystemBC kötü amaçlı yazılımının bir parçası olan ve boyutu 40 KB’tan büyük olan ve belirli bir tarihten sonra oluşturulan dosyaları dışarı çıkarmak için uzak bir IP adresine gizli bir kanal kurmaya izin veren iki komut dosyası da kullanılmaktadır.

Fidye yazılımı ikili dosyası, dosyaları şifrelemek için akış şifresi ChaCha20 algoritmasını kullanıyor ve her şifrelenmiş dosyaya “.6C5oy2dVr6” uzantısını ekliyor.

Kaspersky, “Ymir esnektir: Saldırganlar –path komutunu kullanarak fidye yazılımının dosyaları arayacağı dizini belirleyebilir” dedi. “Bir dosya beyaz listedeyse, fidye yazılımı onu atlayacak ve şifrelenmemiş halde bırakacaktır. Bu özellik, saldırganlara neyin şifrelenip şifrelenmediği konusunda daha fazla kontrol sağlar.”

Bu gelişme, Black Basta fidye yazılımının arkasındaki saldırganların Microsoft Teams sohbet mesajlarını kullanarak olası hedeflerle etkileşime geçtiği ve onları sahte bir alana yönlendirerek ilk erişimi kolaylaştırmak için kötü amaçlı QR kodları kullandığının tespit edilmesiyle ortaya çıktı.

ReliaQuest, “Altta yatan motivasyon muhtemelen sosyal mühendislik tekniklerinin takibi için zemin hazırlayacak, kullanıcıları uzaktan izleme ve yönetim (RMM) araçlarını indirmeye ikna edecek ve hedeflenen ortama ilk erişimi elde edecek.” söz konusu. “Sonuçta, saldırganların bu olaylardaki nihai hedefi neredeyse kesinlikle fidye yazılımının yayılmasıdır.”

Siber güvenlik şirketi ayrıca, tehdit aktörlerinin BT destek personeli kılığına girerek kullanıcıları kandırmaya çalıştığı ve Microsoft’un Mayıs 2024’te uyardığı bir teknik olan uzaktan erişim elde etmek için Hızlı Yardım’ı kullanmaları için onları kandırmaya çalıştıkları örnekleri de tespit ettiğini söyledi.

Vishing saldırısının bir parçası olarak, tehdit aktörleri kurbana, sisteme uzaktan erişim sağlamak için AnyDesk gibi bir uzak masaüstü yazılımı yüklemesi veya Quick Assist’i başlatması talimatını veriyor.

Ymir Fidye Yazılımı

Burada şunu belirtmekte yarar var ki önceki yineleme Saldırıda malspam taktikleri kullanıldı, çalışanların gelen kutuları binlerce e-postayla dolduruldu ve ardından sorunun çözülmesine yardımcı olduğu iddia edilen şirketin BT yardım masası gibi görünerek çalışanı aradı.

Akira ve Fog ailelerini kapsayan fidye yazılımı saldırıları, kurban ağlarını ihlal etmek için CVE-2024-40766’ya karşı yama uygulanmayan SonicWall SSL VPN’lerini çalıştıran sistemlerden de yararlandı. Ağustos 2024 ile Ekim 2024 ortası arasında bu taktiği kullanan 30 kadar yeni saldırı tespit edildi. Arktik Kurt.

Bu olaylar şunu yansıtıyor devam eden evrim fidye yazılımı ve kalıcı tehdit dünya çapındaki kuruluşlara poz veriyor, hatta kanun uygulama çabaları Siber suç gruplarının sekteye uğratılması daha fazla parçalanmaya yol açmıştır.

Geçtiğimiz ay, Sophos tarafından gelecek yılın başlarında satın alınması planlanan Secureworks, ekosistemde 31 yeni grubun ortaya çıkmasıyla aktif fidye yazılımı gruplarının sayısının yıldan yıla %30 arttığını ortaya çıkardı.

Siber güvenlik firması, “Fidye yazılımı gruplarındaki bu büyümeye rağmen kurban sayıları aynı hızda artmadı; bu da, bu yeni grupların ne kadar başarılı olabileceği sorusunu gündeme getiren çok daha parçalı bir manzara ortaya koyuyor.” söz konusu.

NCC Group tarafından paylaşılan veriler gösteriler Eylül 2024’te toplam 407 fidye yazılımı vakasının kaydedildiğini, bu rakamın ağustos ayındaki 450 rakamından bir önceki aya göre %10 düşüş olduğunu belirtti. Buna karşılık, Eylül 2023’te 514 fidye yazılımı saldırısı kaydedildi. Bu dönemde hedeflenen başlıca sektörlerden bazıları arasında endüstriyel, tüketici ihtiyari ve bilgi teknolojisi yer alıyor.

Hepsi bu değil. Son aylarda fidye yazılımının kullanımı, siyasi amaçlı hacktivist gruplara kadar yayıldı. SiberVolk“misilleme aracı olarak fidye yazılımını” kullanan .

Bu arada ABD’li yetkililer, siber sigorta şirketlerini fidye ödemeleri için yapılan geri ödemeleri durdurmaya çağırmak da dahil olmak üzere, fidye yazılımlarına karşı koymanın yeni yollarını arıyor. mağdurları ödeme yapmaktan caydırmak ilk etapta.

Siber ve Gelişen Teknolojiden Sorumlu ABD Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, “Bazı sigorta şirketi politikaları (örneğin fidye yazılımı ödemelerinin geri ödenmesini kapsayan) siber suç ekosistemlerini besleyen fidye ödemelerini teşvik ediyor” dedi. yazdı Financial Times’ın bir görüş yazısında. “Bu, sona ermesi gereken rahatsız edici bir uygulamadır.”



siber-2