Qurban seçilmiş təşkilatın məlumatlarını aşkarlanmadan yan keçərək şifrələmək üçün qabaqcıl mexanizmlərdən istifadə edən yeni fidyə proqramı aşkar edilib.

Kaspersky Qlobal Kiber İnsidentlərə Cavab Qrupu (Kaspersky GERT) zərərli proqramı Saturn
planetinin nizamsız peykinin şərəfinə “Ymir” adlandırıb.

Bu peyk orbitdə planetinfırlanmasına əks istiqamətdə hərəkət edir. “Ymir” adı zərərli proqram tərəfindən istifadə edilən yaddaş idarəetmə funksiyalarının qeyri-standart birləşməsini əks etdirir.

“Ymir” necə aşkarlanıb. Kaspersky mütəxəssisləri Kolumbiyada bir təşkilata bir neçə
mərhələdə edilmiş hücumu təhlil edərkən “Ymiri” aşkar ediblər. Birincisi, təcavüzkarlar
işçilərin korporativ hesab məlumatlarını oğurlamaq üçün “RustyStealer” stilerindən
istifadə ediblər. Bu, onlara sistemə giriş əldə etmək və sonra fidyə proqramını yeritmək
üçün kifayət qədər uzun müddət ərzində ona nəzarət etməyə imkan verdi.

Təcavüzkarların bu cür davranışı, yəni sistemə nüfuz edib və bir müddət orada qalmaq,
qondarma “ilkin giriş brokerləri” üçün xarakterikdir. Onlar adətən hücuma məruz qalan
sistemə giriş məlumatlarını qaranlıq internetdə digər təcavüzkarlara satırlar. Lakin, bu
halda, təcavüzkarlar çox güman ki, bunu etməyib və fidyə proqramını işə salıblar.

“Əgər qondarma “brokerlər” və fidyə proqramını sistemə yeridənlər eyni insanlardırsa,
əsas tendensiyadan kənara çıxma haqqında danışmaq olar: təcavüzkarların şifrələməni
xidmət kimi ( RaaS) təklif edən ənənəvi qruplara etibar etmədən hakerlik etmək üçün
əlavə imkanları var”, – deyə Kaspersky-nin Qlobal kompüter insidentlərinə reaksiya
qrupunun rəhbəri Konstantin Sapronov qeyd edir.

Təcavüzkarlar zərərli kodu bilavasitə yaddaşda icra etmək üçün malloc, memmove
və  memcmp funksiyalarının qeyri-standart kombinasiyasından istifadə ediblər. Bu
yanaşma ümumi fidyə proqramlarında istifadə olunan tipik ardıcıl icraetmə axınından
fərqlənir və aşkarlanmadan daha effektiv şəkildə yayınmağa imkan verir.

Bundan əlavə, “Ymir” təcavüzkarlara faylları istəyə uyğun şifrələməyə imkan verir ki, bu
da onlara vəziyyətə daha çox nəzarət etmək fürsəti yaradır. “Path” əmrindən istifadə
edərək təcavüzkarlar fidyə proqramının məlumat axtarmalı olduğu qovluğu təyin edə
bilərlər. Fayl ağ siyahıdadırsa, zərərli proqram ondan yan keçəcək və şifrləməyəcək.
Qabaqcıl şifrələmə alqoritmi. Fidyə proqramı yüksək sürət və təhlükəsizliyə malik
müasir axın şifrəsi olan “ChaCha20”dən istifadə edir. Onun performansı “Advanced
Encryption Standard” (AES) şifrələmə alqoritmindən üstündür.

Təcavüzkarlar məlumat oğurluğu barədə ictimaiyyətə məlumat verməsələr də və ya hər
hansı tələb irəli sürməsələr də, ekspertlər hər hansı yeni fəaliyyəti yaxından izləməyə
davam edirlər. “İndiyə qədər biz fidyə proqramı ilə hücum edən yeni qrupların meydana
çıxdığını görməmişik. Tipik olaraq, təcavüzkarlar qurbanlardan fidyə tələb etmək üçün
qaranlıq internetdə forumlarda və ya portallarda məlumat sızması haqqında məlumat
dərc edirlər. Lakin “Ymir” məsələsində bu hələ baş verməyib. Buna görə də yeni fidyə proqramının arxasında kimin dayandığı sualı açıq qalır. İnanırıq ki, bu, yeni kampaniya
ola bilər”, – deyə Konstantin izah edib.
Kaspersky-nin həlləri yeni proqramı “Trojan-Ransom.Win64.Ymir.gen” olaraq aşkar edir.
Təfərrüatlar üçün Securelist xülasəsinə baxa bilərsiniz.
Riskləri azaltmaq üçün Kaspersky mütəxəssisləri tövsiyə edirlər:

• məlumatların ehtiyat nüsxəsini müntəzəm surətdə çıxarın və lazım olduqda onlara sürətli girişi təmin etmək üçün müntəzəm yoxlamalar aparın;
• işçilərə kibertəhdidlərlə bağlı məlumatlılığın artırılması və kibergigiyenanın öyrədilməsi üçün təlimlər keçin;
• cihazdakı məlumat şifrələnibsə və onun üçün hələ ki, deşifrəçi yoxdursa, vacib şifrələnmiş faylları saxlamalısınız. Daha sonra təhdid araşdırması zamanı şifrənin açılması üçün açar yaradıla bilər;
• fidyə ödəməyin, çünki bu, zərərli proqramın yaradıcılarını hücumlarını davam etdirməyə təşviq edir. Ödəsəniz belə, məlumatların bərpası üçün heç bir zəmanət yoxdur;
• effektivliyi mütəmadi olaraq müstəqil sınaqlarla təsdiqlənən etibarlı təhlükəsizlik həllərindən istifadə edin;
• şirkətlər üçün kibertəhdidlərə qarşı hərtərəfli müdafiədən istifadə edin. Bu hərtərəfli təhlükənin görünməsini və real vaxt rejimində müdafiəni təmin edir.
• idarə olunan müdafiə üçün insidentlərin aşkarlanmsından tutmuş aradan qaldırılmasına qədər bütöv cavab dövrünü əhatə edən həllərdən istifadə edin. Onlar gizli kiberhücumlara müqavimət göstərməyə, insidentləri təhlil etməyə və ekspert dəstəyi almağa kömək edəcək.