一种名为“Ymir”的新勒索软件家族在野外被发现,它对之前受到RustyStealer infostealer 恶意软件危害的系统进行加密。
RustyStealer 是一个知名恶意软件家族,首次记录于 2021 年。据在事件响应期间发现 Ymir 的卡巴斯基研究人员称,这种新型勒索软件以其内存中执行、在代码注释中使用非洲林加拉语、使用 PDF 文件作为勒索信息及其扩展配置选项而闻名。
尽管卡巴斯基发现证据表明 Ymir 连接到可能促进数据泄露的外部服务器,但勒索软件并不具备这种功能。
目前已确认勒索软件操作于 2024 年 7 月启动,当时它便开始攻击世界各地的公司。
卡巴斯基的分析显示,Rusty 窃取者在 Ymir 部署前两天已渗透到目标基础设施内的多个系统。RustyStealer 本质上是一种凭证收集工具,它使攻击者能够通过破坏可用于横向移动的合法高权限帐户来获得对系统的未经授权的访问。
使用 Windows 远程管理 (WinRM) 和用于远程控制的 PowerShell 等工具可以促进跨网络的横向移动。同时,攻击者还安装了Process Hacker和Advanced IP Scanner等工具。
接下来,他们执行与 SystemBC 恶意软件相关的脚本,并与攻击者的基础设施建立秘密通道,可能用于数据泄露或命令执行。
在巩固立足点并可能使用 RustyStealer 窃取数据后,Ymir 勒索软件作为最终有效负载被丢弃。
Ymir 是一种新型 Windows 勒索软件,完全从内存运行,利用“malloc”、“memove”和“memcmp”等功能来逃避检测。
启动后,它通过获取系统日期和时间、识别正在运行的进程以及检查系统正常运行时间来执行系统侦察,这可以帮助确定它是否在沙箱上运行。接下来,它根据硬编码列表跳过文件扩展名,以避免导致系统无法启动。
Ymir 使用 ChaCha20 流密码(一种先进且快速的加密算法)来加密受害者系统上的文件。加密文件会附加一个随机扩展名,例如“.6C5oy2dVr6”,并且从包含加密文件的所有目录中 Ymir 二进制文件的“.data”部分生成名为“INCIDENT_REPORT.pdf”的勒索字条。
Ymir 勒索信
该勒索软件还会修改 Windows 注册表“legalnoticecaption”值,以在用户登录加密设备之前显示勒索要求。
勒索信声称受害者系统中的数据被盗,卡巴斯基推测这可能是使用 Ymir 之前部署的工具发生的。
最后,Ymir 扫描系统中是否存在 PowerShell,并利用它删除其可执行文件以逃避识别和分析。
Ymir 的执行过程
Ymir 尚未建立数据泄露站点,但恶意分子可能刚刚开始积累受害者数据。卡巴斯基认为,Ymir 使用信息窃取程序作为访问代理可能很快使这个新的勒索软件家族成为广泛威胁。
参考及来源:https://www.bleepingcomputer.com/news/security/new-ymir-ransomware-partners-with-rustystealer-in-attacks/