Ymir: új lopakodó ransomware
Kiberbiztonsági kutatók egy új, Ymir nevű ransomware családot azonosítottak, amelyet két nappal azután vetettek be egy támadásban, hogy a rendszereket a RustyStealer nevű stealer kártevő kompromittálta. „Az Ymir ransomware a technikai jellemzők és taktikák egyedülálló kombinációját vezeti be, amely növeli a hatékonyságát” – mondta az orosz Kaspersky kiberbiztonsági cég. „A kiberszereplők a memóriakezelő funkciók – malloc, memmove és memcmp – szokatlan keverékét használták, hogy rosszindulatú kódot hajtsanak végre közvetlenül a memóriában. Ez a megközelítés eltér a széles körben elterjedt ransomware típusoknál megfigyelhető tipikus szekvenciális végrehajtási folyamattól, ami fokozza a lopakodási képességeit.
A Kaspersky szerint a ransomware-t egy meg nem nevezett kolumbiai szervezetet célzó kibertámadásban azonosították, ahol a kiberszereplők először a RustyStealer kártevővel vállalati hitelesítő adatokat gyűjtöttek. A kutatók úgy vélik, hogy az ellopott hitelesítő adatokat arra használták, hogy jogosulatlanul hozzáférjenek a vállalat hálózatához a ransomware telepítéséhez. „Ha a brókerek valóban ugyanazok a szereplők, akik a ransomware-t telepítették, ez egy új tendenciát jelezhet, amely további eltérítési lehetőségeket teremt anélkül, hogy a hagyományos Ransomware-as-a-Service (RaaS) csoportokra támaszkodnának a kiberszereplők” – mondta Cristian Souza, a Kaspersky kutatója.
A támadás olyan eszközök telepítésével tűnik ki, mint az Advanced IP Scanner és a Process Hacker. Emellett két olyan szkriptet is felhasználnak, amelyek a SystemBC malware részét képezik, és amelyek lehetővé teszik egy távoli IP-címre irányuló titkos csatorna létrehozását a 40 KB-nál nagyobb méretű és egy megadott dátum után létrehozott fájlok szivárogtatásához. A ransomware bináris állománya a ChaCha20 stream cipher algoritmust használja a fájlok titkosítására, és minden titkosított fájlhoz a „.6C5oy2dVr6” kiterjesztést csatolja. Az Ymir rugalmas: a –path parancs használatával a támadók megadhatnak egy könyvtárat, ahol a zsarolóprogramnak fájlokat kell keresnie. Ha egy fájl szerepel a whitelist-en, a ransomware kihagyja, és titkosítatlanul hagyja.
