Ymir Ransomware: przerażające zagrożenie dla danych i sieci
Table of Contents
Czym jest Ymir Ransomware?
Ymir Ransomware to wyrafinowany typ ransomware, który szyfruje pliki w zainfekowanych systemach, wykorzystując algorytm kryptograficzny ChaCha20. Ta forma ransomware jest szczególnie zniechęcająca ze względu na unikalne podejście do zmiany nazw zainfekowanych plików, dodając rozszerzenie składające się z losowych znaków. Na przykład plik początkowo nazywany „document.pdf” można zmienić na „document.pdf.6C5oy2dVr6”, co oznacza, że jest on teraz niedostępny bez klucza deszyfrującego.
Po procesie szyfrowania ransomware Ymir pozostawia zauważalny ślad. Ofiary znajdują notatkę o okupie zatytułowaną „INCIDENT_REPORT.pdf” w każdym zainfekowanym folderze. Ponadto Ymir wyświetla komunikat ostrzegawczy na pełnym ekranie przed ekranem logowania, podkreślając, że sieć została naruszona, dane zostały zaszyfrowane, a poufne informacje zostały skradzione.
Oto pełna treść żądania okupu:
#? What happened?
Your network has been compromised and attacked by hackers.
All files have been modified.
Sensitive information has been stolen and handed over to our
experts for analysis.
#? Why did this happen?
Your security system was weak, it allowed your company to be
hacked.
#? What are the possible consequences?
You won't be able to use your data, so the company is frozen. You
will lose money every day.
If you refuse to make a deal, your data will be published on the
internet, sold on darknet forums, shared with journalists and your
competitors.
You will suffer reputational damage, your stock will drop in value,
clients and sponsors will lose trust in you.
Also, if the incident becomes public, you will be noticed by law
enforcement agencies and then a long investigation with freezing
of your company will begin.
You'll get multiple fines in excess of the deal.#? What do I get if I make a deal?
You get file recovery software. We'll remove the stolen data from our servers and provide proof.
You'll get an incident report and recommendations for protection.
You'll get a guarantee that our team will add you to our whitelist of
untouchable companies and we'll never come back to you again. We will not report the incident to anyone.
#? # Why are you doing this?
We're only interested in the money. We don't care about the rest. We also take pleasure in what we do.
#? How can I trust you?
You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every
action we take is discussed.
If we defraud even 1 company, we will never be able to make a
good deal. We will definitely recover your files and we will definitely keep
everything confidential.
We are specialists with years of experience and we respect
ourselves and our reputation.
You'll see that we're a bargain when you contact us.
#? How do I proceed if I don't believe a word you say?
You can go to the recovery or the enforcers, but it will definitely
cost you more than dealing with us.
Recovery will buy our software with your token and sell it to you at
a 300% markup.
The enforcers will trample your company, talk to the lawyers, they
will tell you the consequences.#? I'm the administrator of this network, what do I do?
Don't try to make a deal on your own, you won't have enough
salary for a few years.
Report the incident to your bosses. They'll find out anyway. We
have their contacts and we'll let them know in three days if no one
contacts us.
If you try to rebuild the network alone and hide the incident from
your bosses, you'll delay the inevitable. At some point, they'll hear
about it on the news and be furious that you denied them the
opportunity to save their company.
#? What do I do?
The first thing you should do is inform your bosses about the
incident.
You'll have to pay us to recover your files. Only we have the unique
token.
Don't try to use any third-party applications to recover your files,
they may be damaged irretrievably.
You need to contact us
You can send us 1-3 modified files and we will prove that we can
recover them. We will provide proof of the stolen data.RecoverySupport@onionmail.org
To contact us, install qTOX messenger.
hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe
Add our contact and we can make a deal.
Tox ID:
CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF
Zrozumienie działania oprogramowania Ymir Ransomware
Alert pełnoekranowy odgrywa kluczową rolę w strategii Ymir, podkreślając konsekwencje naruszenia i odstraszając ofiary od prób odszyfrowania za pomocą zewnętrznych środków. Atakujący podkreślają, że korzystanie z nieautoryzowanych metod odszyfrowania może prowadzić do nieodwracalnego uszkodzenia pliku. Ta zastraszająca wiadomość wzywa ofiary do poinformowania odpowiednich organów w swoich organizacjach, zwiększając presję na działanie zgodnie z żądaniami atakujących.
Towarzysząca notatka o okupie w formacie PDF wzmacnia tę pilność, wyjaśniając, że zapłacenie okupu przyniesie niezbędne narzędzia do odszyfrowania i zapewnienia, że skradzione dane zostaną usunięte z serwerów atakujących. Notatka ostrzega, że niedopełnienie obowiązku może skutkować wyciekiem danych online, sprzedażą na rynkach darknetu lub udostępnieniem ich konkurentom, co grozi znacznymi stratami finansowymi i reputacyjnymi.
Czego chce Ymir Ransomware
Ymir Ransomware działa z jasnym motywem: zyskiem finansowym. Atakujący żądają zapłaty w zamian za narzędzie do odszyfrowywania i zapobieżenia ujawnieniu skradzionych danych. Ta strategia podwójnego zagrożenia nie tylko wywiera presję na ofiary, aby zapłaciły za przywrócenie dostępu do swoich plików, ale także wykorzystuje strach przed ujawnieniem danych publicznych, co może prowadzić do poważnych reperkusji dla dotkniętych organizacji.
Aby przekonać ofiary o swojej wiarygodności, operatorzy ransomware oferują odszyfrowanie do trzech plików jako dowód i dostarczenie dowodów kradzieży danych. Ta taktyka buduje zaufanie do twierdzeń atakujących i skłania ofiary do podporządkowania się.
Mechanika stojąca za infiltracją Ymira
Wieloaspektowe, skoordynowane operacje charakteryzują ataki Ymir. Początkowa infiltracja sieci często następuje za pośrednictwem poleceń PowerShell do zdalnego sterowania. Kradzież danych zwykle poprzedza fazę szyfrowania, często przeprowadzaną przy użyciu złośliwego oprogramowania RustyStealer. Dodatkowe narzędzia, takie jak Process Hacker i Advanced IP Scanner, obsługują przemierzanie sieci i dostęp do systemu Ymir, podczas gdy zaawansowane operacje pamięci ułatwiają unikanie wykrycia.
Te oparte na pamięci operacje obejmują wykonywanie kodu przyrostowo, aby uniknąć wywoływania alarmów. Setki wywołań funkcji wstawiają złośliwe instrukcje do pamięci, zwiększając ukrycie Ymira i umożliwiając mu ominięcie konwencjonalnych środków bezpieczeństwa.
Zdolności Ymira do samorozprzestrzeniania się
Możliwość rozprzestrzeniania się Ymira w sieciach lokalnych dodaje kolejną warstwę złożoności. Ta samorozprzestrzenianie się jest możliwe za pośrednictwem WinRM (Windows Remote Management) i złośliwego oprogramowania SystemBC, wykorzystującego polecenia PowerShell do bezproblemowego wykonywania. Takie metody zwiększają potencjalne szkody, rozszerzając zasięg z pojedynczego skompromitowanego systemu na całą sieć podłączonych urządzeń.
Wyzwania związane z deszyfrowaniem i odzyskiwaniem danych
Odszyfrowanie plików zaszyfrowanych przez Ymir bez współpracy atakujących jest często niemożliwe. Ta rzeczywistość podkreśla siłę, jaką mają atakujący ransomware, gdy system zostanie naruszony. Nawet gdy ofiary zdecydują się podporządkować i zapłacić okup, nie ma pewności, że obiecane narzędzia deszyfrujące zostaną dostarczone lub że skradzione dane zostaną bezpiecznie usunięte. Eksperci ds. cyberbezpieczeństwa stanowczo odradzają zatem płacenie, ponieważ utrwala to działalność przestępczą i finansuje dalszy rozwój ransomware.
Jedynym pewnym sposobem na odzyskanie zagrożonych plików są istniejące, nienaruszone kopie zapasowe. Upewnienie się, że te kopie zapasowe są przechowywane oddzielnie — np. na urządzeniach offline lub serwerach zdalnych — jest kluczowe dla organizacji, które chcą odzyskać dane po incydentach ransomware.
Środki zapobiegawcze i najlepsze praktyki
Biorąc pod uwagę złożone podejście Ymir, zapobieganie infekcjom ransomware jest kluczowe. Większość ransomware, w tym Ymir, rozprzestrzenia się za pośrednictwem wiadomości phishingowych, malvertisingu i złośliwych pobrań podszywających się pod legalne oprogramowanie. Użytkownicy powinni zachować ostrożność podczas obsługi wiadomości e-mail z nieznanych źródeł i unikać klikania podejrzanych linków lub załączników. Pobieranie oprogramowania wyłącznie ze zweryfikowanych źródeł i dbanie o aktualność programów za pośrednictwem oficjalnych kanałów może zmniejszyć ryzyko narażenia na ransomware.
Zaleca się przechowywanie kopii zapasowych w wielu bezpiecznych lokalizacjach. Dzięki przechowywaniu czystych kopii danych na zdalnych serwerach lub urządzeniach pamięci masowej offline ofiary mogą ominąć płatności okupu i odzyskać swoje pliki niezależnie.
Ostatnie myśli
Ymir Ransomware służy jako surowe przypomnienie ewoluującego krajobrazu cyberzagrożeń. Jego połączenie zaawansowanych technik szyfrowania, eksfiltracji danych i wieloetapowych strategii ataków stawia organizacjom poważne wyzwania. Czujność i przestrzeganie najlepszych praktyk cyberbezpieczeństwa pozostają pierwszą linią obrony w ochronie cennych danych i utrzymaniu integralności sieci.
