ジャカルタ - カスペルスキーのグローバル緊急対応チーム(カスペルスキーのグローバル緊急対応チーム)は、以前は目に見えず、積極的に使用されていた新しいタイプのランサムウェアを特定しました。
「Ymir」というニックネームで呼ばれるこのタイプのランサムウェアは、暗号化と高度な偽装方法を使用して従業員の資格情報を盗む攻撃に使用されます。
さらに、このランサムウェアは選択的にファイルをターゲットにし、検出を回避しようとします。Ymirランサムウェアは、その有効性を高める技術的および戦術的機能のユニークな組み合わせを導入しています。その中には次のようなものがあります。
偽装のための異常なメモリ操作手法。脅威アクターは、非従来型のメモリ管理機能(モロック、モブ、メモップ)の組み合わせを利用して、悪意のあるコードをメモリ内で直接実行します。
マルウェアデータスティーリング。コロンビアの組織で発生したカスペルスキーの専門家が観察した攻撃では、サイバー犯罪者は、情報を盗むマルウェアの一種であるR ーティースティーラーを使用して、従業員から会社の資格情報を取得しているのが見られました。
この情報は、組織システムにアクセスし、ランサムウェアを広めるのに十分な長さの制御を維持するために使用されます。
高度な暗号化アルゴリズム。ランサムウェアは、速度とセキュリティで知られる最新のストリームシッパーであるChaCha20を使用しており、高度な暗号化基準(AES)をさらに凌駕しています。
攻撃の背後にいる脅威アクターは、盗まれたデータを公に共有したり、さらなる告発をしたりしていませんが、研究者は新しい活動ごとにそれを注意深く監視しています。
「ダークウェブに新しいランサムウェアグループが登場するのを観察していません。これを考えると、ランサムウェアの背後にいるグループに関する質問はまだ見つかっておらず、これは新しいキャンペーンである可能性があると考えています」と、Kaspersky Global Emergency Response TeamのインシデントレスポンススペシャリストであるChristian Souza氏は説明します。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
