Siber güvenlik araştırmacıları, sistemlerin RustyStealer adlı hırsız kötü amaçlı yazılım tarafından ele geçirilmesinden iki gün sonra yapılan bir saldırıda konuşlandırılan Ymir adlı yeni bir fidye yazılımı ailesini işaretledi.
Rus siber güvenlik sağlayıcısı Kaspersky, “Ymir fidye yazılımı, etkinliğini artıran benzersiz bir teknik özellik ve taktik kombinasyonu sunuyor” dedi.
“Tehdit aktörleri, kötü amaçlı kodu doğrudan bellekte yürütmek için malloc, memmove ve memcmp gibi bellek yönetimi işlevlerinin alışılmadık bir karışımından yararlandı. Bu yaklaşım, yaygın fidye yazılımı türlerinde görülen tipik sıralı yürütme akışından saparak gizlilik yeteneklerini artırıyor.”
Kaspersky, Kolombiya’daki isimsiz bir kuruluşu hedef alan bir siber saldırıda kullanılan fidye yazılımını gözlemlediğini, tehdit aktörlerinin daha önce kurumsal kimlik bilgilerini toplamak için RustyStealer kötü amaçlı yazılımını dağıttığını gözlemlediğini söyledi.
Çalınan kimlik bilgilerinin, fidye yazılımını dağıtmak amacıyla şirketin ağına yetkisiz erişim sağlamak için kullanıldığına inanılıyor. Genellikle ilk erişim komisyoncusu ile fidye yazılımı ekibi arasında bir aktarım olsa da, burada durumun böyle olup olmadığı açık değil.
Kaspersky araştırmacısı Cristian Souza, “Eğer komisyoncular gerçekten de fidye yazılımını dağıtan aktörlerle aynıysa, bu yeni bir eğilimin sinyalini verebilir ve geleneksel Hizmet Olarak Fidye Yazılımı (RaaS) gruplarına güvenmeden ek korsanlık seçenekleri oluşturabilir.” dedi.
Saldırı, Gelişmiş IP Tarayıcı ve Process Hacker gibi araçların yüklenmesiyle dikkat çekiyor. Ayrıca, SystemBC kötü amaçlı yazılımının bir parçası olan ve boyutu 40 KB’tan büyük olan ve belirli bir tarihten sonra oluşturulan dosyaları dışarı çıkarmak için uzak bir IP adresine gizli bir kanal kurmaya izin veren iki komut dosyası da kullanılmaktadır.
Fidye yazılımı ikili dosyası, dosyaları şifrelemek için akış şifresi ChaCha20 algoritmasını kullanıyor ve her şifrelenmiş dosyaya “.6C5oy2dVr6” uzantısını ekliyor.
Kaspersky, “Ymir esnektir: Saldırganlar –path komutunu kullanarak fidye yazılımının dosyaları arayacağı dizini belirleyebilir” dedi. “Bir dosya beyaz listedeyse, fidye yazılımı onu atlayacak ve şifrelenmemiş halde bırakacaktır. Bu özellik, saldırganlara neyin şifrelenip şifrelenmediği konusunda daha fazla kontrol sağlar.”
Bu gelişme, Black Basta fidye yazılımının arkasındaki saldırganların, olası hedeflerle etkileşime geçmek için Microsoft Teams sohbet mesajlarını kullandığı ve onları sahte bir alana yönlendirerek ilk erişimi kolaylaştırmak için kötü amaçlı QR kodları kullandığı tespit edilmesiyle ortaya çıktı.
ReliaQuest, “Altta yatan motivasyonun sosyal mühendislik tekniklerinin takibi için zemin hazırlaması, kullanıcıları uzaktan izleme ve yönetim (RMM) araçlarını indirmeye ikna etmesi ve hedeflenen ortama ilk erişimi elde etmesi muhtemeldir” dedi. “Sonuçta, saldırganların bu olaylardaki nihai hedefi neredeyse kesinlikle fidye yazılımının yayılmasıdır.”
Siber güvenlik şirketi ayrıca, tehdit aktörlerinin BT destek personeli kılığına girerek kullanıcıları kandırmaya çalıştığı ve Microsoft’un Mayıs 2024’te uyardığı bir teknik olan uzaktan erişim elde etmek için Hızlı Yardım’ı kullanmaları için onları kandırmaya çalıştıkları örnekleri de tespit ettiğini söyledi.
Vishing saldırısının bir parçası olarak, tehdit aktörleri kurbana, sisteme uzaktan erişim sağlamak için AnyDesk gibi bir uzak masaüstü yazılımı yüklemesi veya Quick Assist’i başlatması talimatını veriyor.
Burada, saldırının daha önceki bir yinelemesinde malspam taktikleri kullanıldığını, çalışanların gelen kutularını binlerce e-postayla doldurduğunu ve ardından sorunun çözülmesine yardımcı olduğu iddia edilen şekilde şirketin BT yardım masası gibi davranarak çalışanı çağırdığını belirtmekte fayda var.
Akira ve Fog ailelerini kapsayan fidye yazılımı saldırıları, kurban ağlarını ihlal etmek için CVE-2024-40766’ya karşı yama uygulanmayan SonicWall SSL VPN’lerini çalıştıran sistemlerden de yararlandı. Arctic Wolf’a göre, Ağustos 2024 ile Ekim 2024 ortası arasında bu taktiği kullanan 30 kadar yeni saldırı tespit edildi.
Bu olaylar, fidye yazılımının devam eden evrimini ve kolluk kuvvetlerinin siber suç gruplarını engellemeye yönelik çabaları daha fazla parçalanmaya yol açmış olsa bile, dünya çapındaki kuruluşlara yönelik oluşturduğu kalıcı tehdidi yansıtıyor.
Geçtiğimiz ay, Sophos tarafından gelecek yılın başlarında satın alınması planlanan Secureworks, ekosistemde 31 yeni grubun ortaya çıkmasıyla aktif fidye yazılımı gruplarının sayısının yıldan yıla %30 arttığını ortaya çıkardı.
Siber güvenlik firması, “Fidye yazılımı gruplarındaki bu büyümeye rağmen kurban sayıları aynı hızda artmadı; bu da, bu yeni grupların ne kadar başarılı olabileceği sorusunu gündeme getiren çok daha parçalı bir manzara ortaya koyuyor” dedi.
NCC Group tarafından paylaşılan veriler, Eylül 2024’te toplam 407 fidye yazılımı vakasının kaydedildiğini gösteriyor. Bu sayı, ağustos ayındaki 450’den bir önceki aya göre %10 düşüşle gerçekleşti. Buna karşılık, Eylül 2023’te 514 fidye yazılımı saldırısı kaydedildi. Bu dönemde hedeflenen başlıca sektörlerden bazıları arasında endüstriyel, tüketici ihtiyari ve bilgi teknolojisi yer alıyor.
Hepsi bu değil. Son aylarda, fidye yazılımının kullanımı, “bir misilleme aracı olarak fidye yazılımını” kullanan CyberVolk gibi siyasi motivasyonlu hacktivist grupları da kapsayacak şekilde genişledi.
Bu arada ABD’li yetkililer, mağdurları ilk etapta ödeme yapmaktan caydırmak amacıyla siber sigorta şirketlerini fidye ödemeleri için geri ödemeleri durdurmaya çağırmak da dahil olmak üzere fidye yazılımlarına karşı koymanın yeni yollarını arıyor.
ABD’nin Siber ve Gelişen Teknolojilerden Sorumlu Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, Financial Times’taki bir görüş yazısında şöyle yazdı: “Bazı sigorta şirketi politikaları – örneğin fidye yazılımı ödemelerinin geri ödenmesini kapsayan – siber suç ekosistemlerini besleyen fidye ödemelerini teşvik ediyor.” “Bu, sona ermesi gereken rahatsız edici bir uygulamadır.”