Yeni Bir Siber Tehdit: İki Hacker Grubunun İş Birliği
Son zamanlarda, siber suç dünyasında dikkat çekici bir gelişme yaşandı: İki ayrı hacker grubu, kurbanlarını enfekte etmek için birlikte hareket etmeye başladı. Bu gruplardan biri, sistemlere kalıcılık kazandırarak gizlice bilgileri çalmayı hedeflerken, diğeri ise ele geçirilen sistemleri şifreleyip fidye ödemesi talep etmeyi amaçlıyor.
Kaspersky araştırmacıları, Kolombiya’da meydana gelen ilginç bir olayı derinlemesine inceledi. Bu olayda, ismi gizli tutulan bir şirket, bilgi çalma amacına hizmet eden kötü amaçlı yazılım olan RustyStealer tarafından ilk etapta hedef alındı. RustyStealer, oturum açma kimlik bilgileri, hassas dosyalar ve daha birçok veriyi çalarak kurbanın sistemine sızmayı başardı. Saldırının bu aşamasının, ilk hacker grubu tarafından gerçekleştirildiği düşünülüyor. Ardından, bu grup elde ettikleri erişimi ikinci bir gruba devrederek saldırıya devam etti.
İkinci grup, ilk olarak şifreleyicinin herhangi bir antivirüs veya kötü amaçlı yazılım algılama sistemini tetiklemediğinden emin olmak için çeşitli araçlar yükledi. Bu araçlar arasında Process Hacker ve AdvancedIP Scanner gibi yazılımlar yer alıyor. Araştırmacıların belirttiğine göre, “Sonunda, sistem güvenliğini azalttıktan sonra, saldırgan hedeflerine ulaşmak için Ymir’i çalıştırdı.”
Ymir, yalnızca şifreleyicinin adı değil, aynı zamanda bunu kullanan saldırganların da adıdır. Fidye yazılımı alanında oldukça yeni bir katılımcı olan Ymir, tamamen bellek üzerinden çalışan ve tespit edilmemek için malloc, memmove ve memcmp gibi çeşitli işlevlerden yararlanan benzersiz bir yapıya sahiptir. Bu tür bir ekip çalışması, siber suç dünyasında yeni bir olgu olmasa da, tüm bu operasyonun tek bir saldırgan tarafından gerçekleştirilmiş olma ihtimali üzerinde duruluyor.
Eğer gerçekten tek bir saldırgan ekip varsa, bu durum, fidye yazılımı saldırılarına bambaşka bir yaklaşım ve muhtemelen bu saldırıların yöntemlerinde önemli bir değişim anlamına gelebilir. Kaspersky araştırmacılarından Cristian Souza, “Eğer aracılar gerçekten de fidye yazılımını dağıtan aynı saldırganlarsa, bu durum yeni bir eğilimin habercisi olabilir ve geleneksel Ransomware-as-a-Service (RaaS) gruplarına güvenmeden ek ele geçirme seçenekleri yaratabilir.” diyerek bu durumun potansiyel etkilerine dikkat çekiyor.
