Новости Поймай меня, если сможешь: «Лаборатория Касперского» выявила программу-вымогатель с продвинутыми функциями сокрытия

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.043
Репутация
11.695
Реакции
61.865
RUB
50
«Лаборатории Касперского» (Kaspersky GERT) обнаружила новую программу-вымогатель, использующую продвинутые механизмы обхода обнаружения и шифрования данных организации-жертвы.

Зловред получил название Ymir.

Так называется нерегулярный спутник Сатурна. Он движется по орбите в направлении, противоположном вращению планеты. Название отражает нестандартное сочетание функций управления памятью, используемых зловредом.

Поймай меня, если сможешь: «Лаборатория Касперского» выявила программу-вымогатель с продвинутыми функциями сокрытия


Как обнаружили Ymir​

Эксперты «Лаборатории Касперского» обнаружили Ymir, анализируя атаку на организацию в Колумбии, которая происходила в несколько этапов. Сначала злоумышленники использовали стилер RustyStealer, чтобы похитить корпоративные учётные данные сотрудников. Это позволило им получить доступ к системе, а затем сохранять контроль над ней достаточно долго, чтобы успеть внедрить программу-вымогатель.

Такое поведение злоумышленников, когда они проникают в систему и остаются в ней какое-то время, характерно для так называемых брокеров первоначального доступа. Обычно затем они продают доступ к атакованной системе в даркнете другим злоумышленникам. Однако в этом случае атакующие, вероятно, делать этого не стали и запустили программу-вымогатель.

«Если так называемые „брокеры" и те, кто развернул программу-вымогатель, — одни и те же лица, то можно говорить об отклонении от основного тренда: у злоумышленников появились дополнительные возможности для взлома без опоры на традиционные группы, которые предлагают шифрование как услугу (RaaS)».

Злоумышленники использовали нестандартную комбинацию функций malloc, memmove и memcmp, чтобы выполнить вредоносный код непосредственно в памяти. Такой подход отличается от типичного последовательного потока выполнения, который обычно используется в распространённых шифровальщиках, и даёт возможность эффективнее избегать обнаружения.

Помимо этого, Ymir позволяет атакующим избирательно шифровать файлы, что даёт им больше контроля над ситуацией. Используя команду path, злоумышленники могут указать каталог, в котором программа-вымогатель должна искать данные. Если файл находится в «белом списке», зловред пропустит его и не будет шифровать.

Продвинутый алгоритм шифрования​

Программа-вымогатель использует ChaCha20 — современный потоковый шифр, отличающийся высокой скоростью и безопасностью. По характеристикам он превосходит алгоритм шифрования Advanced Encryption Standard (AES).

Хотя злоумышленники не сообщали публично о краже данных и не выдвигали никаких требований, эксперты будут внимательно следить за любой их новой активностью. «Пока мы не заметили появления новых групп, атакующих с помощью шифровальщиков. Обычно злоумышленники публикуют информацию об утечках данных на форумах или порталах в даркнете, чтобы потребовать от жертв выкуп. Но в случае с Ymir этого пока не произошло. Поэтому вопрос о том, кто стоит за новой программой-шифровальщиком, остаётся открытым. Мы полагаем, что это может быть новая кампания».
 
Сверху Снизу