点击蓝字 关注我们
Ymir勒索软件家族是一种新型的勒索软件,近期被网络安全研究人员发现,通常在系统被RustyStealer窃密软件感染后两天内部署。
RustyStealer是一种最早在2021年记录的已知恶意软件家族,其与勒索软件Ymir的组合再次展示了近期网络犯罪团伙相互合作的趋势。
(译者注:RustyStealer是一种恶意软件,专门用于从受感染设备中窃取敏感信息,如登录凭据、银行账户密码等。它通过记录键盘输入和提取浏览器数据(如Cookies、密码、信用卡信息),对用户隐私构成严重威胁。此外,RustyStealer还采用了混淆技术和虚拟机检测手段,以规避传统防病毒软件的检测。)
俄罗斯网络安全公司卡巴斯基表示:“Ymir勒索软件引入了一种独特的技术功能组合和战术,增强了其攻击效果。”
根据卡巴斯基的研究人员在一次事件响应中发现的Ymir勒索软件,这种新型勒索软件具有内存执行、代码注释中使用非洲Lingala语言、赎金说明以PDF文件形式呈现以及灵活的扩展名配置选项等特点。
虽然卡巴斯基找到了Ymir连接外部服务器的证据,这些服务器可能用于数据外泄,但Ymir勒索软件并没有数据外泄的功能。
BleepingComputer确认,Ymir勒索软件的攻击行动始于2024年7月,且此后在全球范围内开始对公司进行攻击。
RustyStealer感染后Ymir勒索软件的部署
卡巴斯基的分析显示,在Ymir部署之前,RustyStealer已经入侵了目标基础设施中的多个系统,时间在两天之前。
RustyStealer本质上是一种凭据窃取工具,通过破坏合法的高权限账户,攻击者可以未经授权地访问系统,从而实现横向移动。
在横向移动过程中,攻击者使用了Windows远程管理(WinRM)和PowerShell等工具进行远程控制。同时,攻击者还安装了Process Hacker和Advanced IP Scanner等工具。
接下来,攻击者执行了与SystemBC恶意软件相关的脚本,建立了隐蔽的通信通道,可能用于数据外泄或命令执行。
在稳固了入侵地位并可能通过RustyStealer窃取了数据之后,Ymir勒索软件被作为最终有效负载部署。
Ymir勒索软件的特点
Ymir是一种全新的Windows勒索软件变种,其完全在内存中运行,利用了一种非常规的内存管理函数组合——malloc、memmove和memcmp——直接在内存中执行恶意代码。这种方法不同于常见勒索软件的典型顺序执行方式,从而提高了隐蔽性。
启动后,Ymir会通过获取系统日期和时间、识别正在运行的进程以及检查系统运行时间等方式进行系统侦察,以确定其是否在沙箱中运行。
接着,Ymir基于一个硬编码的列表跳过某些文件扩展名,以避免导致系统无法启动。
Ymir使用了一种先进而快速的加密算法——ChaCha20流加密算法,来对受害者系统中的文件进行加密。
被加密的文件会被附加上一个随机生成的扩展名,例如“.6C5oy2dVr6”,并在所有包含加密文件的目录中生成名为“INCIDENT_REPORT.pdf”的赎金说明文件,该文件从Ymir二进制的“.data”节中提取。
Ymir勒索软件还会修改Windows注册表中的“legalnoticecaption”值,以在用户登录到被加密的设备之前显示勒索信息。
勒索说明声称从受害者系统中窃取了数据,卡巴斯基推测这可能是在Ymir部署之前使用的工具进行的。
最后,Ymir会扫描系统是否存在PowerShell,并利用其删除自身的可执行文件,以避免被识别和分析。
Ymir勒索软件的攻击过程中,攻击者使用了一些显著的工具和脚本,例如Advanced IP Scanner和Process Hacker。这些工具被广泛用于网络扫描和进程管理,以确保攻击者获得对目标系统的全面控制。此外,攻击者还使用了SystemBC恶意软件中的两个脚本,这些脚本用于设置隐蔽信道,将大于40 KB且在指定日期之后创建的文件外传到远程IP地址。
通过结合这些工具和脚本,Ymir勒索软件的威胁行为者实现了深度渗透网络并进行数据外泄的能力,使得防御方难以检测其活动。卡巴斯基指出:“Ymir勒索软件具备灵活性:通过使用--path命令,攻击者可以指定勒索软件应搜索文件的目录。如果文件在白名单上,勒索软件会跳过该文件,不进行加密。这一功能使攻击者对哪些文件加密或不加密有更大的控制权。”
(对于Ymir勒索软件的具体分析,见:【文章转载】深入解析Ymir勒索软件:内存攻击与信息窃取的双重威胁)
社会工程手段与初始访问策略的演变
除了技术工具之外,Ymir勒索软件的威胁行为者还积极使用各种社会工程手段,以获取初始访问权限或增强其攻击效果。
英国网络安全公司ReliaQuest指出,Ymir攻击者会利用Microsoft Teams聊天消息与潜在目标进行互动,并使用恶意二维码将目标引导至伪造的域名,从而获取初始访问权限。在vishing(语音网络钓鱼)攻击中,威胁行为者会指示受害者安装远程桌面软件(如AnyDesk)或启动Quick Assist,以获得对系统的远程访问权限。这些手段表明,攻击者在利用技术漏洞的同时,也非常擅长利用人类心理漏洞,以获得更深的入侵和控制。
ReliaQuest公司表示:“攻击者的潜在动机可能是为后续的社会工程攻击奠定基础,劝说用户下载远程监控和管理(RMM)工具,并获得目标环境的初始访问权限。最终,这些事件中的攻击者几乎可以确定是为了部署勒索软件。”
此外,ReliaQuest还指出,威胁行为者有时会冒充IT支持人员,通过Quick Assist骗取受害者的信任以获取远程访问。这一技法正是Microsoft在2024年5月发出警告的内容。值得一提的是,Ymir勒索软件的威胁行为者之前曾采用恶意垃圾邮件(malspam)战术,冒充公司IT帮助台,通过发送大量邮件获取受害者的信任。
勒索软件生态的进一步分裂
Ymir勒索软件家族的出现反映了勒索软件生态系统的进一步分裂和多样化。Akira和Fog勒索软件的攻击同样受益于使用未修补的SonicWall SSL VPN设备(CVE-2024-40766漏洞)来入侵受害者网络。根据Arctic Wolf的报告,从2024年8月到10月中旬,检测到多达30次利用此策略的新入侵事件。
(Akira勒索软件的简单介绍见:【文章转载】Veeam漏洞再度成为攻击焦点,Akira、Fog后,Frag勒索软件横空出世!
Fog勒索软件的简单介绍见:【新闻转载】突破最后一道安全防线:多个勒索家族盯上Veeam备份漏洞,大规模数据勒索来袭)
这些事件反映了勒索软件的不断演变及其对全球组织的持续威胁,尽管执法部门的打击已经导致网络犯罪组织的进一步分裂。上个月,即将于明年初被Sophos收购的Secureworks透露,活跃的勒索软件团伙数量同比增加了30%,这一增长由生态系统中31个新团伙的出现推动。然而,该网络安全公司指出:“尽管勒索软件团伙数量有所增加,但受害者数量并未按同样的速度上升,这表明勒索软件生态系统更加分裂,也对这些新团伙的成功程度提出了疑问。”
除了传统的金融动机外,勒索软件的使用最近还扩展到了具有政治动机的黑客组织,例如CyberVolk,他们将勒索软件用作报复工具。
与此同时,美国官员也在寻求应对勒索软件的新方法,包括敦促网络保险公司停止对勒索支付的赔偿,以劝阻受害者支付赎金。美国副国家安全顾问安妮·纽伯格(Anne Neuberger)在《金融时报》发表的文章中写道:“一些保险公司的政策,例如涵盖勒索支付的赔偿,鼓励了赎金的支付,进而助长了网络犯罪生态系统。这是一个令人担忧的做法,必须停止。”
原文链接
https://thehackernews.com/2024/11/new-ymir-ransomware-exploits-memory-for.html
https://www.bleepingcomputer.com/news/security/new-ymir-ransomware-partners-with-rustystealer-in-attacks/
以下是solar安全团队近期处理过的常见勒索病毒后缀:
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
原文始发于微信公众号(solar专业应急响应团队):【文章转载】Ymir勒索软件:RustyStealer后的隐蔽威胁与全新攻击手法解析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论