Ένα νέο ransomware που είναι γνωστό ως «Ymir» έχει εντοπιστεί, κρυπτογραφώντας συστήματα που προηγουμένως είχαν παραβιαστεί από το RustyStealer infostealer.
Δείτε επίσης: Frag ransomware: Χρησιμοποιεί ευπάθεια Veeam σε επιθέσεις
Το RustyStealer είναι μια γνωστή οικογένεια malware που τεκμηριώθηκε για πρώτη φορά το 2021, αλλά η εμφάνισή του με ransomware καταδεικνύει ένα άλλο παράδειγμα της πρόσφατης τάσης των επιχειρήσεων εγκλήματος στον κυβερνοχώρο να συνεργάζονται.
Σύμφωνα με ερευνητές της Kaspersky που ανακάλυψαν το Ymir κατά τη διάρκεια μιας απόκρισης περιστατικού, το νέο στέλεχος ransomware είναι αξιοσημείωτο για την εκτέλεσή του στη μνήμη, τη χρήση της αφρικανικής γλώσσας Lingala σε ένα σχόλιο κώδικα, τη χρήση αρχείων PDF ως σημειώματα λύτρων και τις επιλογές διαμόρφωσης επέκτασης.
Ανακάλυψη Αρχαίου Αιγυπτιακού Ναού σε Γκρεμό
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
Αν και η Kaspersky έχει βρει στοιχεία ότι το Ymir συνδέεται με εξωτερικούς διακομιστές που θα μπορούσαν να διευκολύνουν την εξαγωγή δεδομένων, το ransomware δεν διαθέτει τέτοια δυνατότητα.
Η ανάλυση της Kaspersky αποκάλυψε ότι το RustyStealer είχε διεισδύσει σε πολλαπλά συστήματα εντός της στοχευμένης υποδομής, δύο ημέρες πριν από την ανάπτυξη του Ymir. Το RustyStealer, ένα εργαλείο συλλογής διαπιστευτηρίων, επέτρεψε στους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα συστήματα, θέτοντας σε κίνδυνο τους νόμιμους λογαριασμούς υψηλού προνομίου που ήταν χρήσιμοι στην πλευρική κίνηση.
Δείτε ακόμα: Επίθεση ransomware κόστισε στην Microchip Technology πάνω από 21 εκατ. δολάρια
Η πλευρική μετακίνηση στο δίκτυο διευκολύνθηκε με τη χρήση εργαλείων όπως η απομακρυσμένη διαχείριση των Windows (WinRM) και το PowerShell για απομακρυσμένο έλεγχο. Ταυτόχρονα, οι εισβολείς εγκατέστησαν επίσης εργαλεία όπως το Process Hacker και το Advanced IP Scanner.
Στη συνέχεια, εκτέλεσαν σενάρια που σχετίζονται με το κακόβουλο λογισμικό SystemBC και δημιούργησαν κρυφά κανάλια, πιθανώς για εξαγωγή δεδομένων ή εκτέλεση εντολών, με την υποδομή των εισβολέων. Μετά τη σταθεροποίηση της βάσης και πιθανώς την κλοπή δεδομένων χρησιμοποιώντας το RustyStealer, το Ymir ransomware απορρίφθηκε ως το τελικό ωφέλιμο φορτίο.
Το Ymir είναι ένα νέο στέλεχος ransomware των Windows που λειτουργεί εξ ολοκλήρου από τη μνήμη, αξιοποιώντας λειτουργίες όπως “malloc“, “memove” και “memcmp“, για να αποφύγει τον εντοπισμό.
Κατά την εκκίνηση, εκτελεί αναγνώριση συστήματος λαμβάνοντας την ημερομηνία και την ώρα του συστήματος, προσδιορίζοντας τις διεργασίες που εκτελούνται και ελέγχοντας το χρόνο λειτουργίας του συστήματος, κάτι που μπορεί να σας βοηθήσει να προσδιορίσετε εάν εκτελείται σε sandbox. Στη συνέχεια, παρακάμπτει τις επεκτάσεις αρχείων που βασίζονται σε μια λίστα hardcoded για να αποφύγει την μη εκκίνηση του συστήματος.
Το Ymir χρησιμοποιεί τον κρυπτογραφητή ροής ChaCha20, έναν προηγμένο και γρήγορο αλγόριθμο κρυπτογράφησης, για την κρυπτογράφηση αρχείων στο σύστημα του θύματος.
Δείτε επίσης: Interlock ransomware: Στοχεύει οργανισμούς υγείας, IT εταιρείες και κυβερνήσεις
Για την προστασία από ransomware όπως το Ymir, είναι σημαντικό να λαμβάνονται συγκεκριμένα μέτρα ασφάλειας. Καταρχάς, η δημιουργία τακτικών αντιγράφων ασφαλείας των δεδομένων σας είναι αναγκαία για να διασφαλίσετε ότι μπορείτε να επαναφέρετε πληροφορίες που ίσως κρυπτογραφηθούν. Επιπλέον, η χρήση ενημερωμένου λογισμικού προστασίας από ιούς και κακόβουλο λογισμικό είναι απαραίτητη για την ανίχνευση και την αποτροπή επιθέσεων. Οι τακτικές ενημερώσεις όλων των προγραμμάτων και συστημάτων εξασφαλίζουν ότι τυχόν ευπάθειες ασφαλείας αντιμετωπίζονται άμεσα. Σημαντική είναι και η εκπαίδευση των χρηστών, ώστε να αναγνωρίζουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και άλλες προσπάθειες phishing που μπορεί να οδηγήσουν σε επίθεση. Τέλος, η εφαρμογή πολιτικών αυξημένης ασφάλειας, όπως η χρήση ισχυρών κωδικών πρόσβασης και ο έλεγχος ταυτότητας δύο παραγόντων, προσφέρει επιπλέον προστασία.
Πηγή: bleepingcomputer