Son zamanlarda, iki önemli hacker grubunun, kurbanları enfekte etmek amacıyla birlikte hareket ettiği gözlemlenmiştir. Bu gruplardan biri, sistemlere kalıcılık sağlayarak hassas bilgileri çalmayı hedeflerken, diğeri ise sistemleri şifreleyerek fidye talep etmeyi amaçlamaktadır.
Kaspersky araştırmacıları, Kolombiya’da meydana gelen bir olayı inceledi ve bu olayın detayları dikkat çekicidir. Adı açıklanmayan bir şirket, RustyStealer olarak bilinen bir bilgi çalma amaçlı kötü amaçlı yazılım tarafından ilk kez enfekte olmuştur. Bu saldırının ilk aşamasında, hacker grubunun bilgileri çalmayı başardığı düşünülmektedir. Ardından, elde edilen erişimi başka bir gruba devrettikleri belirtiliyor.
İkinci grup, şifreleyiciyi kullanmadan önce, sistemde herhangi bir antivirüs veya kötü amaçlı yazılım alarmını tetiklemeden çalışmanın yollarını aramıştır. Bu hedefle, Process Hacker ve AdvancedIP Scanner gibi bir dizi farklı araç yüklemişlerdir. Araştırmacılar, “Sonunda, sistem güvenliğini azaltmayı başardıktan sonra, saldırgan hedeflerine ulaşmak için Ymir’i çalıştırdı” açıklamasında bulunmuşlardır. Ymir, hem şifreleme işlemini gerçekleştiren kötü amaçlı yazılımın adı hem de bu yazılımı kullanan saldırganların kimliğidir. Ayrıca, fidye yazılımı alanında nispeten yeni bir katılımcı olarak öne çıkmaktadır.
Bu kötü amaçlı yazılım, tamamen bellek üzerinden çalışarak algılanmayı önlemek için malloc, memmove ve memcmp gibi çeşitli işlevlerden yararlanması açısından oldukça dikkat çekici bir yaklaşıma sahiptir. Ekip çalışması, siber suç dünyasında tamamen yeni bir olgu olmasa da, tüm bu operasyonun tek bir saldırgan tarafından gerçekleştirilmiş olma olasılığı da mevcuttur. Eğer bu saldırılar tek bir grup tarafından yapılıyorsa, fidye yazılımı saldırılarına yönelik tamamen farklı bir yaklaşım ve aynı zamanda fidye yazılımı saldırılarının gerçekleştirilme biçiminde önemli bir değişim anlamına gelebilir.
Kaspersky araştırmacısı Cristian Souza, “Eğer aracılar gerçekten de fidye yazılımını dağıtan aynı saldırganlarsa, bu durum yeni bir eğilimin habercisi olabilir ve geleneksel Ransomware-as-a-Service (RaaS) gruplarına güvenmeden ek ele geçirme seçenekleri yaratabilir” şeklinde bir değerlendirmede bulunmuştur.
