Специалисты «Лаборатории Касперского» обнаружили новую вымогательскую малварь Ymir, использующую продвинутые механизмы обхода обнаружения и шифрования данных организации-жертвы. Вредонос был назван в честь нерегулярного спутника Сатурна, который движется по орбите в направлении, противоположном вращению планеты. Это название отражает нестандартное сочетание функций управления памятью, используемых Ymir.
Исследователи обнаружили Ymir, анализируя атаку на неназванную организацию в Колумбии, которая происходила в несколько этапов. Сначала злоумышленники использовали стилер RustyStealer, чтобы похитить корпоративные учетные данные сотрудников. Это позволило им получить доступ к системе, а затем сохранять контроль над ней достаточно долго, чтобы успеть внедрить вымогателя.
Такое поведение обычно характерно для так называемых брокеров первоначального доступа. Обычно затем они продают доступ к атакованной системе в даркнете другим злоумышленникам. Однако в этом случае атакующие запустили программу-вымогатель.
«Если так называемые „брокеры” и те, кто развернул программу-вымогатель, — одни и те же лица, то можно говорить об отклонении от основного тренда: у злоумышленников появились дополнительные возможности для взлома без опоры на традиционные группы, которые предлагают шифрование как услугу (RaaS)», — комментирует Константин Сапронов, руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского».
Отмечается, что злоумышленники использовали нестандартную комбинацию функций malloc, memmove и memcmp, чтобы выполнить вредоносный код непосредственно в памяти. Такой подход отличается от типичного последовательного потока выполнения, который обычно используется в распространенных шифровальщиках, и дает преступникам возможность эффективнее избегать обнаружения.
Помимо этого, Ymir позволяет атакующим избирательно шифровать файлы, что дает им больше контроля над ситуацией. Используя команду path, злоумышленники могут указать каталог, в котором малварь должна искать данные. Если файл находится в «белом списке», Ymir пропустит его и не будет шифровать.
Вымогатель использует ChaCha20 — современный потоковый шифр, отличающийся высокой скоростью и безопасностью. По характеристикам он превосходит алгоритм шифрования Advanced Encryption Standard (AES).
Хотя пока злоумышленники не сообщали публично о краже данных и не выдвигали никаких требований, эксперты внимательно наблюдают за любой их новой активностью.
«Пока мы не заметили появления новых групп, атакующих с помощью шифровальщиков. Обычно злоумышленники публикуют информацию об утечках данных на форумах или порталах в даркнете, чтобы потребовать от жертв выкуп. Но в случае с Ymir этого пока не произошло. Поэтому вопрос о том, кто стоит за новой программой-шифровальщиком, остается открытым. Мы полагаем, что это может быть новая кампания», — уточняет Константин.