Ymir olarak adlandırılan fidye yazılımı, gelişmiş gizlilik ve şifreleme yöntemlerini kullanıyor. Ayrıca dosyaları seçerek hedef alıyor ve tespit edilmekten kaçınmaya çalışıyor.
Ymir fidye yazılımı, etkisini artıran teknik özellikler ve taktikler eşliğinde benzersiz bir yetenek kombinasyonu ortaya koyuyor.
Gizlilik için yaygın kullanılmayan bellek manipülasyon teknikleri. Tehdit aktörleri, kötü amaçlı kodu doğrudan bellekte çalıştırmak için malloc, memmove ve memcmp gibi alışılmadık bellek yönetimi işlevleri karışımından yararlanıyor.
Bu yaklaşım, yaygın fidye yazılımı türlerinde görülen tipik sıralı yürütme akışından saparak gizlilik yeteneklerini artırıyor. Üstüne Ymir esnek bir yapılanma gösteriyor: Saldırganlar –path komutunu kullanarak fidye yazılımının dosyaları araması gereken dizini belirleyebiliyorlar.
Eğer bir dosya beyaz listede yer alıyorsa, fidye yazılımı bu dosyayı atlıyor ve şifrelemeden bırakıyor. Bu özellik saldırganlara neyin şifrelenip neyin şifrelenmeyeceği konusunda daha fazla kontrol sağlıyor.
Veri çalmaya odaklı kötü amaçlı yazılım. Kolombiya’daki bir kuruluşa yönelik gerçekleşen ve güvenlik uzmanları tarafından gözlemlenen bir saldırıda, tehdit aktörlerinin çalışanlardan kurumsal kimlik bilgilerini almak için bilgi çalmaya odaklı bir kötü amaçlı yazılım türü olan RustyStealer’ı kullandığı görüldü.
Bu bilgiler daha sonra kuruluşun sistemlerine erişim sağlamak ve fidye yazılımını dağıtacak kadar uzun süre boyunca kontrolü elde tutmak için kullanıldı. Bu saldırı, saldırganların sistemlere sızdığı ve erişimi sürdürdüğü ilk erişim aracısı olarak biliniyor.
Genellikle ilk erişim aracıları elde ettikleri erişimi dark web üzerinden diğer siber suçlulara satıyorlar. Ancak bu vakada saldırganlar fidye yazılımını sisteme bulaştırarak saldırıyı kendileri devam ettirmiş gibi görünüyorlar.
Kaspersky Global Acil Durum Müdahale Ekibi Olay Müdahale Uzmanı Cristian Souza, “Aracılar gerçekten de fidye yazılımını dağıtan aktörlerle aynıysa, bu durum geleneksel Hizmet Olarak Fidye Yazılımı (RaaS) gruplarına güvenmeden ek ele geçirme seçenekleri yaratan, yeni bir eğilime işaret edebilir” diyor.
Gelişmiş şifreleme algoritması. Fidye yazılımı hızı ve güvenliğiyle bilinen, hatta Gelişmiş Şifreleme Standardından (AES) daha iyi performans gösteren modern bir akış şifresi olan ChaCha20’yi kullanıyor.
Yeni tehdit için bir isim arayan güvenlik uzmanları, Satürn’ün Ymir adlı ayının adını kullanmaya karar verdi. Bu ay, gezegenin dönüşünün tersi yönünde hareket eden “düzensiz” bir ay ve bu özelliği yeni fidye yazılımında kullanılan bellek yönetimi işlevlerinin alışılmadık karışımına ilginç bir şekilde benziyor.