Haberler

Kaspersky, Yeni Ymir Fidye Yazılımını Uyardı

Kaspersky, Yeni Ymir Fidye Yazılımını Uyardı
Haberler
Güncelleme:
Haberler
Twitter'da Paylaş Facebook'da Paylaş WhatsApp'da Paylaş

Kaspersky, Ymir adlı fidye yazılımının aktif olduğunu ve sistemlere sızan kötü amaçlı yazılımlarla birlikte çalışan kimlik bilgilerinin çalınmasına odaklandığını bildirdi. Saldırganların, fidye yazılımını dağıtarak mevcut güvenlik yapılarını aşmaya çalıştıkları ifade edildi.

Kaspersky Küresel Acil Durum Müdahale Ekibi, çalışanların kimlik bilgilerinin çalınmasını takip eden bir saldırı sırasında kullanılan "Ymir" adlı fidye yazılımı türünün aktif olarak dolaşımda olduğunu tespit etti.

Şirketten yapılan açıklamaya göre, Ymir fidye yazılımı, etkisini artıran teknik özellikler ve taktikler eşliğinde bir yetenek kombinasyonu ortaya koyuyor.

Tehdit aktörleri, kötü amaçlı kodu doğrudan bellekte çalıştırmak için "malloc", "memmove" ve "memcmp" gibi alışılmadık bellek yönetimi işlevleri karışımından yararlanıyor. Bu yaklaşım, yaygın fidye yazılımı türlerinde görülen tipik sıralı yürütme akışından saparak gizlilik yeteneklerini artırıyor.

Ymir esnek bir yapılanma gösteriyor. Saldırganlar "--path" komutunu kullanarak fidye yazılımının dosyaları araması gereken dizini belirleyebiliyorlar. Eğer bir dosya beyaz listede yer alıyorsa, fidye yazılımı bu dosyayı atlıyor ve şifrelemeden bırakıyor. Bu özellik saldırganlara neyin şifrelenip neyin şifrelenmeyeceği konusunda daha fazla kontrol sağlıyor.

Kolombiya'daki bir kuruluşa yönelik gerçekleşen ve Kaspersky uzmanları tarafından gözlemlenen bir saldırıda, tehdit aktörlerinin çalışanlardan kurumsal kimlik bilgilerini almak için bilgi çalmaya odaklı bir kötü amaçlı yazılım türü olan RustyStealer'ı kullandığı görüldü. Bu bilgiler daha sonra kuruluşun sistemlerine erişim sağlamak ve fidye yazılımını dağıtacak kadar uzun süre boyunca kontrolü elde tutmak için kullanıldı.

Bu saldırı, saldırganların sistemlere sızdığı ve erişimi sürdürdüğü ilk erişim aracısı olarak biliniyor. Genellikle ilk erişim aracıları elde ettikleri erişimi Dark Web üzerinden diğer siber suçlulara satıyorlar. Ancak bu vakada saldırganlar fidye yazılımını sisteme bulaştırarak saldırıyı kendileri devam ettirmiş gibi görünüyorlar.

Açıklamada görüşlerine yer verilen Kaspersky Global Acil Durum Müdahale Ekibi Olay Müdahale Uzmanı Cristian Souza, "Aracılar gerçekten de fidye yazılımını dağıtan aktörlerle aynıysa, bu durum geleneksel Hizmet Olarak Fidye Yazılımı (RaaS) gruplarına güvenmeden ek ele geçirme seçenekleri yaratan, yeni bir eğilime işaret edebilir." ifadelerini kullandı.

Souza, saldırının arkasındaki tehdit aktörünün çalınan verileri kamuyla paylaşmadığını ya da başka taleplerde bulunmadığını belirterek, "Araştırmacılar yine de bu konuda yeni bir faaliyet olup olmadığını yakından takip ediyor. Henüz yeraltı pazarında ortaya çıkan yeni bir fidye yazılımı grubu gözlemlemiş değiliz. Saldırganlar genellikle karanlık web forumları ya da portalları kullanarak bilgi sızdırıp kurbanları fidye ödemeye zorlarlar ki Ymir'de böyle bir durum söz konusu değildi. Bu nedenle, fidye yazılımının arkasında hangi grubun olduğu sorusu açıkta kalıyor ve bunun yeni bir kampanya olabileceğinden şüpheleniyoruz." açıklamalarında bulundu.

Merkez Bankası faizi sabit tuttu

Piyasaların merakla beklediği faiz kararı açıklandı

Rusya, Ukrayna'ya kıtalararası balistik füze saldırısı düzenledi

Savaşta bir ilk! Putin'in intikamı hayli ağır oldu

3 polisin yaralandığı çatışma, iki grup arasındaki pornografik görüntü kavgasından çıkmış

Cinsel ilişki görüntüleri sonrası kurşun yağdırmışlar

Yenidoğan Çetesi davasında 4. gün! Tutuklu belediye çalışanından çok konuşulacak savunma

Bebek katili belediye çalışanı! Hakim sıkıştırdı, dönen dolabı bir bir anlattı

500
Haberler.com'da yer alan yorumlar, kullanıcıların kişisel görüşlerini yansıtır ve haberler.com'un editöryal politikası ile örtüşmeyebilir. Yorumların hukuki sorumluluğu tamamen yazarlarına aittir.
title