Компании теряют контроль над своими системами всего за несколько минут.
Недавнее расследование «Лаборатории Касперского» выявило новое семейство шифровальщиков Ymir, активно применяемое киберпреступниками. Этот вредонос использует продвинутые методы обхода обнаружения, выполняя операции в памяти с использованием функций, таких как malloc и memmove.
В рассмотренной специалистами цепочке атак злоумышленники проникли в систему жертвы через PowerShell, установили утилиты Process Hacker и Advanced IP Scanner, а затем запустили шифровальщик Ymir. Вредонос шифрует файлы с помощью алгоритма ChaCha20, добавляя расширение «.6C5oy2dVr6» и оставляя PDF-файлы с требованием выкупа.
Статический анализ показал, что Ymir использует функции CryptAcquireContext и CryptGenRandom для криптографических операций. Зловред также включает команды для автоматического удаления через PowerShell. Кроме того, критически важные библиотеки загружаются в память, что делает его обнаружение весьма сложным.
В ходе динамического анализа выяснилось, что Ymir активно использует функцию memmove для перечисления и шифрования файлов. А использование компилятора MinGW указывает на опытных разработчиков, хорошо знакомых с Windows.
Интересно, что шифровальщик Ymir не имеет встроенных сетевых возможностей для эксфильтрации данных, хотя в сообщении о выкупе и указывается на их кражу. Это наводит на мысль, что злоумышленники предварительно загрузили данные другим способом, например, через FTP или облачные сервисы. Или же попросту сблефовали.
Во время расследования Ymir экспертами «Лаборатории Касперского» была обнаружена его связь с другим вредоносной программой — RustyStealer, который применялся для сбора данных и обеспечения доступа к скомпрометированным системам. RustyStealer использовал PowerShell-скрипты для создания скрытых каналов связи, что позволило злоумышленникам незаметно перемещаться по заражённой инфраструктуре.
Благодаря правилу YARA, созданному на основе анализа Ymir, удалось выявить аналогичный образец в Пакистане. Это говорит о том, что злоумышленники активно тестируют свои разработки на уязвимых системах, скрывая своё местоположение через VPN и Tor.
Среди обнаруженных данных также был комментарий на языке лингала, используемом в Африке, что может указывать на возможное происхождение разработчиков вредоносного ПО. Однако точных данных о группе, стоящей за атаками, пока нет.
Специалисты предупреждают, что новый шифровальщик представляет серьёзную угрозу для компаний, особенно если у них отсутствуют комплексные меры реагирования. Обнаружение этой угрозы затруднено из-за её способности скрываться и быстро уничтожать следы своего присутствия в системе.
Одно найти легче, чем другое. Спойлер: это не темная материя