Африканский шифровальщик Ymir выходит на мировой рынок
Организации сталкиваются с утерей доступа к своим системам за считанные минуты.
Недавний анализ, проведенный экспертами «Лаборатории Касперского», выявил новую разновидность шифровальщика Ymir, интенсивно используемого интернет-преступниками. Этот вредоносный софт применяет сложные технологии для обхода обнаружения, выполняя операции в оперативной памяти с использованием функций, таких как malloc и memmove.
В процессе изучения угрозы эксперты обнаружили, что первоначальный доступ был обеспечен через инструмент PowerShell. Затем злоумышленники задействовали программы Process Hacker и Advanced IP Scanner перед запуском Ymir. Шифровальщик применяет шифрование ChaCha20, добавляя к файлам суффикс .6C5oy2dVr6, а также создает PDF с требованиями выкупа.
Анализ кода показал, что Ymir задействует функции CryptAcquireContext и CryptGenRandom для криптографических задач. Программа также включает команды самоуничтожения через PowerShell, что затрудняет её обнаружение, поскольку необходимые библиотеки загружаются прямо в память.
Во время динамической оценки обнаружилось, что Ymir активно использует функцию memmove для перебора и шифрования файлов. Инструменты MinGW, применяемые в процессе, свидетельствуют о разработчиках с глубоким пониманием системы Windows.
Интригующе, но Ymir не имеет прямых сетевых функций для передачи данных, хотя сообщение с выкупом утверждает обратное. Вероятно, данные предварительно передавались другим способом, к примеру, через FTP или облачные ресурсы, либо это всего лишь запугивание.
Во время расследования, проведенного «Лабораторией Касперского», была обнаружена взаимосвязь Ymir с другим вредоносом — RustyStealer. Последний использовал PowerShell-скрипты для сокрытия своих каналов, что дало хакерам возможность несанкционированного проникновения в скомпрометированные сети.
С помощью YARA-правил было найдено аналогичное ПО в Пакистане, что может говорить о глобальной тестировке на уязвимых системах, используя VPN и Tor для сокрытия следов.
Интересным нахождением стал комментарий на языке лингала, применяемом в некоторых странах Африки, что может намекать на африканские корни разработчиков. Однако, точная идентификация группы, стоящей за этими атаками, пока неизвестна.
Эксперты подчеркивают, что этот шифровальщик представляет серьёзную опасность для корпораций, в особенности, если у них нет надлежащего механизма реагирования. Благодаря способности скрываться и быстро утилизировать свои следы, обнаружение данного ПО представляет определённые сложности.
