Ymir ランサムウェア: データとネットワークへの恐ろしい脅威
Table of Contents
Ymir ランサムウェアとは何ですか?
Ymir ランサムウェアは、ChaCha20 暗号化アルゴリズムを使用して、侵害されたシステム上のファイルを暗号化する高度なタイプのランサムウェアです。この形式のランサムウェアは、影響を受けたファイルの名前を変更し、ランダムな文字を含む拡張子を追加する独自のアプローチにより、特に厄介です。たとえば、最初は「document.pdf」と呼ばれていたファイルが「document.pdf.6C5oy2dVr6」に名前変更され、復号キーなしではアクセスできなくなることが示されます。
暗号化プロセスの後、Ymir ランサムウェアは顕著な痕跡を残します。被害者は、侵害されたすべてのフォルダーに「INCIDENT_REPORT.pdf」というタイトルの身代金要求メモを見つけます。さらに、Ymir はログイン画面の前に全画面の警告メッセージを表示し、ネットワークが侵害され、データが暗号化され、機密情報が盗まれたことを強調します。
身代金要求書の全文は次のとおりです。
#? What happened?
Your network has been compromised and attacked by hackers.
All files have been modified.
Sensitive information has been stolen and handed over to our
experts for analysis.
#? Why did this happen?
Your security system was weak, it allowed your company to be
hacked.
#? What are the possible consequences?
You won't be able to use your data, so the company is frozen. You
will lose money every day.
If you refuse to make a deal, your data will be published on the
internet, sold on darknet forums, shared with journalists and your
competitors.
You will suffer reputational damage, your stock will drop in value,
clients and sponsors will lose trust in you.
Also, if the incident becomes public, you will be noticed by law
enforcement agencies and then a long investigation with freezing
of your company will begin.
You'll get multiple fines in excess of the deal.#? What do I get if I make a deal?
You get file recovery software. We'll remove the stolen data from our servers and provide proof.
You'll get an incident report and recommendations for protection.
You'll get a guarantee that our team will add you to our whitelist of
untouchable companies and we'll never come back to you again. We will not report the incident to anyone.
#? # Why are you doing this?
We're only interested in the money. We don't care about the rest. We also take pleasure in what we do.
#? How can I trust you?
You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every
action we take is discussed.
If we defraud even 1 company, we will never be able to make a
good deal. We will definitely recover your files and we will definitely keep
everything confidential.
We are specialists with years of experience and we respect
ourselves and our reputation.
You'll see that we're a bargain when you contact us.
#? How do I proceed if I don't believe a word you say?
You can go to the recovery or the enforcers, but it will definitely
cost you more than dealing with us.
Recovery will buy our software with your token and sell it to you at
a 300% markup.
The enforcers will trample your company, talk to the lawyers, they
will tell you the consequences.#? I'm the administrator of this network, what do I do?
Don't try to make a deal on your own, you won't have enough
salary for a few years.
Report the incident to your bosses. They'll find out anyway. We
have their contacts and we'll let them know in three days if no one
contacts us.
If you try to rebuild the network alone and hide the incident from
your bosses, you'll delay the inevitable. At some point, they'll hear
about it on the news and be furious that you denied them the
opportunity to save their company.
#? What do I do?
The first thing you should do is inform your bosses about the
incident.
You'll have to pay us to recover your files. Only we have the unique
token.
Don't try to use any third-party applications to recover your files,
they may be damaged irretrievably.
You need to contact us
You can send us 1-3 modified files and we will prove that we can
recover them. We will provide proof of the stolen data.RecoverySupport@onionmail.org
To contact us, install qTOX messenger.
hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe
Add our contact and we can make a deal.
Tox ID:
CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF
Ymir ランサムウェアの仕組みを理解する
全画面アラートは、Ymir の戦略において極めて重要な役割を果たしており、侵害の結果を強調し、被害者が外部手段で復号化を試みることを阻止します。攻撃者は、許可されていない復号化方法を使用すると、修復不可能なファイル損傷につながる可能性があることを強調します。この威圧的なメッセージは、被害者に組織内の関連当局に通知するよう促し、攻撃者の要求に応じるよう圧力を高めます。
添付の PDF 身代金要求書には、身代金を支払えば必要な復号ツールが手に入り、盗まれたデータは攻撃者のサーバーから消去されることが保証されると説明されており、この緊急性が強調されています。この要求に従わなかった場合、データがオンラインで漏洩したり、ダークネット市場で販売されたり、競合他社に提供されたりして、多大な経済的損失や評判の損失を招く恐れがあると警告されています。
Ymirランサムウェアが望むもの
Ymir ランサムウェアは、金銭的利益という明確な動機で動作します。攻撃者は、復号ツールと引き換えに、また盗んだデータの流出を防ぐことと引き換えに、金銭の支払いを要求します。この二重の脅威戦略は、被害者にファイルへのアクセスを回復するために金銭を支払うよう圧力をかけるだけでなく、公開データ漏洩の恐怖を利用し、影響を受ける組織に深刻な影響を及ぼす可能性があります。
ランサムウェアの運営者は、被害者に自分たちの信頼性を納得させるために、証拠として最大 3 つのファイルを復号化し、データ盗難の証拠を提示することを提案します。この戦術により、攻撃者の主張に対する信頼が高まり、被害者が従うように促されます。
ユミルの侵入の背後にある仕組み
Ymir 攻撃の特徴は、多面的で協調的な操作です。初期のネットワーク侵入は、多くの場合、リモート制御用の PowerShell コマンドを介して行われます。データの盗難は通常、暗号化フェーズに先行し、多くの場合、RustyStealer マルウェアを使用して実行されます。Process Hacker や Advanced IP Scanner などの追加ツールは、Ymir のネットワーク トラバーサルとシステム アクセスをサポートし、高度なメモリ操作は検出の回避を容易にします。
これらのメモリベースの操作では、アラームのトリガーを回避するためにコードを段階的に実行します。数百の関数呼び出しによって悪意のある命令がメモリに挿入され、Ymir のステルス性が強化され、従来のセキュリティ対策を回避できるようになります。
ユミルの自己増殖能力
Ymir はローカル ネットワーク全体に拡散する機能があるため、複雑さがさらに増します。この自己増殖は、WinRM (Windows リモート管理) と SystemBC マルウェアによって実現され、PowerShell コマンドを利用してシームレスに実行されます。このような方法により、被害の可能性が高まり、侵害された単一のシステムから接続されたデバイスのネットワーク全体にまで影響が拡大します。
暗号解読とデータ復旧の課題
攻撃者の協力なしに Ymir によって暗号化されたファイルを復号することは、多くの場合不可能です。この事実は、システムが侵害されるとランサムウェア攻撃者が持つ力を強調しています。被害者が要求に従って身代金を支払うことに決めたとしても、約束された復号ツールが提供されたり、盗まれたデータが安全に削除される保証はありません。したがって、サイバーセキュリティの専門家は、身代金を支払うことは犯罪行為を永続させ、ランサムウェアのさらなる開発に資金を提供することになるため、身代金を支払わないことを強く勧めています。
侵害されたファイルを回復する唯一の確実な方法は、既存の影響を受けていないバックアップを使用することです。これらのバックアップがオフライン デバイスやリモート サーバーなどに別々に保存されていることを確認することは、ランサムウェア インシデントからの回復を目指す組織にとって非常に重要です。
予防策とベストプラクティス
Ymir のアプローチが複雑なため、ランサムウェア感染の防止が重要です。Ymir を含むほとんどのランサムウェアは、フィッシング メール、マルバタイジング、正規のソフトウェアを装った悪意のあるダウンロードを通じて拡散します。ユーザーは、不明なソースからのメールを扱う際には注意し、疑わしいリンクや添付ファイルをクリックしないようにする必要があります。検証済みのソースからのみソフトウェアをダウンロードし、公式チャネルを通じてプログラムを最新の状態に維持することで、ランサムウェアに感染するリスクを軽減できます。
バックアップは複数の安全な場所に保管することをお勧めします。リモート サーバーまたはオフライン ストレージ デバイスにクリーンなデータのコピーを保存しておくことで、被害者は身代金の支払いを回避し、独自にファイルを回復できます。
最後に
Ymir ランサムウェアは、サイバー脅威の進化を如実に物語っています。高度な暗号化技術、データ流出、多段階攻撃戦略の組み合わせは、組織にとって大きな課題となります。サイバーセキュリティのベスト プラクティスを常に遵守し、警戒を怠らないことが、貴重なデータを保護し、ネットワークの整合性を維持するための最前線の防御策です。
