网络安全研究人员标记了一个名为 Ymir 的新勒索软件家族,该家族在系统被名为 RustyStealer 的窃取恶意软件入侵两天后被部署在攻击中。
“Ymir 勒索软件引入了技术功能和策略的独特组合,从而提高了其有效性,”俄罗斯网络安全供应商卡巴斯基表示。
“威胁行为者利用非常规的内存管理功能组合(malloc、memmove 和 memcmp)直接在内存中执行恶意代码。这种方法偏离了广泛勒索软件类型中的典型顺序执行流程,增强了其隐身能力。
卡巴斯基表示,它观察到针对哥伦比亚一家未具名组织的网络攻击中使用的勒索软件,威胁行为者之前提供了 RustyStealer 恶意软件来收集公司凭证。
据信,被盗的凭据被用于未经授权访问公司网络,以部署勒索软件。虽然初始访问代理和勒索软件团队之间通常存在交接,但目前尚不清楚这里是否是这种情况。
卡巴斯基研究员Cristian Souza表示:“如果经纪人确实是部署勒索软件的同一参与者,这可能预示着一种新趋势,在不依赖传统的勒索软件即服务(RaaS)组织的情况下创建额外的劫持选项。
该攻击以安装 Advanced IP Scanner 和 Process Hacker 等工具而著称。还使用了两个脚本,它们是 SystemBC 恶意软件的一部分,它们允许设置到远程 IP 地址的秘密通道,以泄露大小大于 40 KB 并在指定日期之后创建的文件。
勒索软件二进制文件则使用流密码 ChaCha20 算法来加密文件,并将扩展名“.6C5oy2dVr6”附加到每个加密文件。
“Ymir 很灵活:通过使用 --path 命令,攻击者可以指定勒索软件应该搜索文件的目录,”卡巴斯基说。如果文件在白名单中,勒索软件会跳过它并保持未加密状态。此功能使攻击者可以更好地控制加密或未加密的内容。
这一发展是在发现 Black Basta 勒索软件背后的攻击者使用 Microsoft Teams 聊天消息与潜在目标互动,并结合恶意二维码通过将他们重定向到欺诈域来促进初始访问。
ReliaQuest 说:“潜在的动机可能是为后续的社会工程技术奠定基础,说服用户下载远程监控和管理 (RMM) 工具,并获得对目标环境的初始访问权限。“最终,攻击者在这些事件中的最终目标几乎可以肯定是部署勒索软件。”
这家网络安全公司表示,它还发现了威胁行为者试图通过伪装成 IT 支持人员并诱骗他们使用快速助手来获得远程访问来欺骗用户的情况,Microsoft 在 2024 年 5 月警告了这种技术。
作为电话钓鱼攻击的一部分,威胁行为者指示受害者安装远程桌面软件(如 AnyDesk)或启动 Quick Assist 以获得对系统的远程访问。
这里值得一提的是,该攻击的前一次迭代采用了恶意垃圾邮件策略,用数千封电子邮件淹没员工的收件箱,然后通过冒充公司的 IT 服务台打电话给员工,据称可以帮助解决问题。
涉及 Akira 和 Fog 家族的勒索软件攻击也受益于运行 SonicWall SSL VPN 的系统,这些 VPN 未针对 CVE-2024-40766 进行修补,以破坏受害者网络。根据 Arctic Wolf 的数据,在 2024 年 8 月至 10 月中旬期间,已检测到多达 30 起利用这种策略的新入侵。
这些事件反映了勒索软件的持续演变及其对全球组织构成的持续威胁,尽管执法部门为瓦解网络犯罪集团所做的努力导致了进一步的碎片化。
上个月,将于明年初被 Sophos 收购的 Secureworks 透露,在生态系统中出现 31 个新组织的推动下,活跃的勒索软件组织数量同比增长了 30%。
“尽管勒索软件团伙有所增长,但受害者人数并没有以相同的速度增长,这表明明显更加分散的格局提出了这些新团伙可能有多成功的问题,”这家网络安全公司表示。
NCC Group 分享的数据显示,2024 年 9 月共记录了 407 起勒索软件案件,低于 8 月份的 450 起,环比下降 10%。相比之下,2023 年 9 月记录了 514 次勒索软件攻击。在此期间,一些主要目标行业包括工业、非必需消费品和信息技术。
这还不是全部。近几个月来,勒索软件的使用已经扩展到 CyberVolk 等出于政治动机的黑客组织,这些组织将“勒索软件作为报复工具”。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
原文始发于微信公众号(信息安全大事件):新的 Ymir 勒索软件利用内存进行隐蔽攻击;以企业网络为目标
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论