Ymir Ransomware: stulbinanti grėsmė duomenims ir tinklams
Table of Contents
Kas yra Ymir Ransomware?
Ymir Ransomware yra sudėtingas išpirkos reikalaujančių programų tipas, kuris šifruoja failus pažeistose sistemose, naudodamas ChaCha20 kriptografinį algoritmą. Ši išpirkos reikalaujančių programų forma yra ypač bauginanti dėl savo unikalaus požiūrio į paveiktų failų pervadinimą, pridedant plėtinį, kurį sudaro atsitiktiniai simboliai. Pavyzdžiui, failas, iš pradžių vadinamas „document.pdf“, gali būti pervadintas į „document.pdf.6C5oy2dVr6“, o tai reiškia, kad dabar jis nepasiekiamas be iššifravimo rakto.
Po šifravimo proceso Ymir ransomware palieka didelį pėdsaką. Kiekviename pažeistame aplanke aukos randa išpirkos raštelį pavadinimu „INCIDENT_REPORT.pdf“. Be to, „Ymir“ per visą ekraną rodo įspėjamąjį pranešimą prieš prisijungimo ekraną, pabrėždamas, kad tinklas buvo pažeistas, duomenys buvo užšifruoti ir neskelbtina informacija buvo pavogta.
Štai visas išpirkos raštas:
#? What happened?
Your network has been compromised and attacked by hackers.
All files have been modified.
Sensitive information has been stolen and handed over to our
experts for analysis.
#? Why did this happen?
Your security system was weak, it allowed your company to be
hacked.
#? What are the possible consequences?
You won't be able to use your data, so the company is frozen. You
will lose money every day.
If you refuse to make a deal, your data will be published on the
internet, sold on darknet forums, shared with journalists and your
competitors.
You will suffer reputational damage, your stock will drop in value,
clients and sponsors will lose trust in you.
Also, if the incident becomes public, you will be noticed by law
enforcement agencies and then a long investigation with freezing
of your company will begin.
You'll get multiple fines in excess of the deal.#? What do I get if I make a deal?
You get file recovery software. We'll remove the stolen data from our servers and provide proof.
You'll get an incident report and recommendations for protection.
You'll get a guarantee that our team will add you to our whitelist of
untouchable companies and we'll never come back to you again. We will not report the incident to anyone.
#? # Why are you doing this?
We're only interested in the money. We don't care about the rest. We also take pleasure in what we do.
#? How can I trust you?
You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every
action we take is discussed.
If we defraud even 1 company, we will never be able to make a
good deal. We will definitely recover your files and we will definitely keep
everything confidential.
We are specialists with years of experience and we respect
ourselves and our reputation.
You'll see that we're a bargain when you contact us.
#? How do I proceed if I don't believe a word you say?
You can go to the recovery or the enforcers, but it will definitely
cost you more than dealing with us.
Recovery will buy our software with your token and sell it to you at
a 300% markup.
The enforcers will trample your company, talk to the lawyers, they
will tell you the consequences.#? I'm the administrator of this network, what do I do?
Don't try to make a deal on your own, you won't have enough
salary for a few years.
Report the incident to your bosses. They'll find out anyway. We
have their contacts and we'll let them know in three days if no one
contacts us.
If you try to rebuild the network alone and hide the incident from
your bosses, you'll delay the inevitable. At some point, they'll hear
about it on the news and be furious that you denied them the
opportunity to save their company.
#? What do I do?
The first thing you should do is inform your bosses about the
incident.
You'll have to pay us to recover your files. Only we have the unique
token.
Don't try to use any third-party applications to recover your files,
they may be damaged irretrievably.
You need to contact us
You can send us 1-3 modified files and we will prove that we can
recover them. We will provide proof of the stolen data.RecoverySupport@onionmail.org
To contact us, install qTOX messenger.
hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe
Add our contact and we can make a deal.
Tox ID:
CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF
Supratimas, kaip veikia Ymir Ransomware
Viso ekrano įspėjimas atlieka pagrindinį vaidmenį Ymir strategijoje, pabrėžiant pažeidimo pasekmes ir atgrasant aukas nuo bandymo iššifruoti išorinėmis priemonėmis. Užpuolikai pabrėžia, kad naudojant neleistinus iššifravimo metodus, failai gali būti sugadinti nepataisomai. Šia bauginančia žinute aukos raginamos informuoti atitinkamas savo organizacijų institucijas, didinant spaudimą imtis veiksmų pagal užpuolikų reikalavimus.
Pridedamas PDF išpirkos raštas sustiprina šią skubą, paaiškindamas, kad sumokėjus išpirką gausite reikiamus iššifravimo įrankius ir užtikrinsite, kad pavogti duomenys bus ištrinti iš užpuolikų serverių. Pastaboje įspėjama, kad nesilaikant reikalavimų, duomenys gali būti nutekinti internete, parduoti „darknet“ rinkose arba pateikti konkurentams, o tai gali sukelti didelių finansinių ir reputacijos praradimų.
Ko nori Ymir Ransomware
Ymir Ransomware veikia turėdamas aiškų motyvą: finansinės naudos. Užpuolikai reikalauja sumokėti mainais už iššifravimo įrankį ir užkirsti kelią pavogtų duomenų išleidimui. Ši dvigubos grėsmės strategija ne tik verčia aukas susimokėti už prieigos prie failų atkūrimą, bet ir padidina baimę, kad bus atskleisti viešieji duomenys, o tai gali turėti rimtų pasekmių nukentėjusioms organizacijoms.
Siekdami įtikinti aukas savo patikimumu, išpirkos reikalaujančių programų operatoriai siūlo iššifruoti iki trijų failų kaip įrodymą ir pateikti duomenų vagystės įrodymus. Ši taktika didina pasitikėjimą užpuolikų pretenzijomis ir skatina aukas laikytis reikalavimų.
Ymiro įsiskverbimo mechanika
Ymir atakoms būdingos daugialypės, koordinuotos operacijos. Pradinis įsiskverbimas į tinklą dažnai įvyksta naudojant nuotolinio valdymo „PowerShell“ komandas. Duomenų vagystė paprastai vyksta prieš šifravimo etapą, dažnai atliekama naudojant RustyStealer kenkėjišką programą. Papildomi įrankiai, tokie kaip Process Hacker ir Advanced IP Scanner, palaiko Ymir tinklo perėjimą ir prieigą prie sistemos, o pažangios atminties operacijos palengvina aptikimo išvengimą.
Šios atmintimi pagrįstos operacijos apima laipsnišką kodo vykdymą, kad būtų išvengta pavojaus signalų. Šimtai funkcijų iškvietimų į atmintį įterpia kenkėjiškas instrukcijas, sustiprina Ymiro slaptumą ir leidžia apeiti įprastas saugos priemones.
Ymiro savaiminio dauginimosi gebėjimai
„Ymir“ galimybė plisti vietiniuose tinkluose suteikia dar vieną sudėtingumą. Šis savaiminis platinimas įgalintas naudojant „WinRM“ („Windows Remote Management“) ir „SystemBC“ kenkėjiškas programas, naudojant „PowerShell“ komandas sklandžiam vykdymui. Tokie metodai padidina galimą žalą, išplečiant pasiekiamumą nuo vienos pažeistos sistemos iki viso prijungtų įrenginių tinklo.
Iššifravimo ir duomenų atkūrimo iššūkiai
Iššifruoti Ymir užšifruotus failus be užpuolikų bendradarbiavimo dažnai neįmanoma. Ši realybė pabrėžia galią, kurią turi išpirkos reikalaujančių programų užpuolikai, kai sistema yra pažeista. Netgi tada, kai aukos nusprendžia paklusti ir sumokėti išpirką, nėra tikrumo, kad pažadėti iššifravimo įrankiai bus pateikti ar pavogti duomenys bus saugiai ištrinti. Todėl kibernetinio saugumo ekspertai primygtinai pataria nemokėti, nes tai tęsia nusikalstamą veiklą ir finansuoja tolesnį išpirkos reikalaujančių programų kūrimą.
Vienintelis patikimas būdas atkurti pažeistus failus yra sukurti jau esamas nepaveiktas atsargines kopijas. Užtikrinti, kad šios atsarginės kopijos būtų saugomos atskirai, pvz., neprisijungus naudojamuose įrenginiuose arba nuotoliniuose serveriuose, labai svarbu organizacijoms, siekiančioms atsigauti po išpirkos reikalaujančių incidentų.
Prevencinės priemonės ir geriausia praktika
Atsižvelgiant į Ymir sudėtingą požiūrį, labai svarbu užkirsti kelią išpirkos reikalaujančioms programoms. Dauguma išpirkos reikalaujančių programų, įskaitant Ymir, plinta per sukčiavimo el. laiškus, kenkėjišką reklamą ir kenkėjiškus atsisiuntimus, paslėptus kaip teisėta programinė įranga. Naudotojai turėtų būti atsargūs tvarkydami el. laiškus iš nežinomų šaltinių ir nespausti įtartinų nuorodų ar priedų. Atsisiunčiant programinę įrangą tik iš patikrintų šaltinių ir užtikrinant, kad programos būtų nuolat atnaujinamos oficialiais kanalais, gali sumažėti išpirkos reikalaujančių programų rizika.
Rekomenduojama atsargines kopijas laikyti keliose saugiose vietose. Turėdami švarias duomenų kopijas, saugomas nuotoliniuose serveriuose arba neprisijungus pasiekiamuose saugojimo įrenginiuose, aukos gali apeiti išpirkos mokėjimus ir savarankiškai atkurti savo failus.
Paskutinės mintys
Ymir Ransomware yra ryškus priminimas apie besikeičiančią kibernetinių grėsmių aplinką. Jo pažangių šifravimo metodų, duomenų išfiltravimo ir kelių etapų atakų strategijų derinys kelia didelių iššūkių organizacijoms. Budrumas ir geriausios kibernetinio saugumo praktikos laikymasis išlieka pagrindine gynybos priemone saugant vertingus duomenis ir palaikant tinklo vientisumą.
