Son zamanlarda iki önemli hacker grubunun kurbanları enfekte etmek için birlikte çalıştığı gözlemlendi. Bunlardan biri başlangıçta kalıcılık sağlayarak bilgileri çalmayı, diğeri ise sistemleri şifreleyip fidye yazılımı ödemesi talep etmeyi amaçlıyor.
Kaspersky araştırmacıları kısa bir süre önce Kolombiya’da meydana gelen böyle bir olayı inceledi. İsmi açıklanmayan bir şirket, oturum açma kimlik bilgilerini, hassas dosyaları ve daha fazlasını ele geçirebilen bilgi çalma amaçlı bir kötü amaçlı yazılım olan RustyStealer tarafından ilk kez enfekte edildi. Saldırının bu kısmının büyük ihtimalle ilk hacker grubu tarafından gerçekleştirildiği, sonrasında erişimi ikinci bir gruba devrettiği söyleniyor.
İkinci grup, ilk olarak şifreleyicisinin herhangi bir antivirüs veya kötü amaçlı yazılım alarmını tetiklemediğinden emin oldu. Bu amaçla Process Hacker ve AdvancedIP Scanner gibi farklı araçlar yüklediler. Araştırmacıların belirttiğine göre, “Sonunda, sistem güvenliğini azalttıktan sonra, saldırgan hedeflerine ulaşmak için Ymir’i çalıştırdı.”
Ymir, hem şifreleyicinin hem de şifreleyiciyi kullanan saldırganların adı ve aynı zamanda fidye yazılımı alanında nispeten yeni bir katılımcı. Bu kötü amaçlı yazılım, tamamen bellekten çalışması ve algılanmayı önlemek için ‘malloc‘, ‘memove’ ve ‘memcmp’ gibi farklı işlevlerden yararlanması açısından da oldukça benzersiz bir yaklaşıma sahip.
Ekip çalışması siber suç dünyasında tamamen yeni bir şey olmasa da, tüm bu operasyonun tek bir saldırgan tarafından yapılmış olma ihtimali de bulunuyor. Eğer tek bir saldırgan ekip varsa, fidye yazılımı saldırılarına tamamen farklı bir yaklaşım ve muhtemelen fidye yazılımı saldırılarının gerçekleştirilme biçiminde önemli bir değişim anlamına gelebilir.
Kaspersky araştırmacısı Cristian Souza, “Eğer aracılar gerçekten de fidye yazılımını dağıtan aynı saldırganlarsa, bu durum yeni bir eğilimin habercisi olabilir ve geleneksel Ransomware-as-a-Service (RaaS) gruplarına güvenmeden ek ele geçirme seçenekleri yaratabilir” dedi.