卡巴斯基发现了一种名为“Ymir”的新型勒索软件

雅加达 - 卡巴斯基全球应急响应小组(卡巴斯基全球应急响应小组)已经确定了一种新的勒索软件类型,该勒索软件以前是看不见和活跃的。

被称为“Ymir”,这种类型的勒索软件用于使用高级加密和伪装方法的员工凭据盗窃攻击。

此外,勒索软件还可选择地针对文件,并试图避免检测。Ymir勒索软件引入了一种独特的技术和战术功能的组合,可以提高其有效性。其中包括:

不常的存储操纵技术用于伪装。威胁行为者利用不寻常的存储管理功能( malloc,move和memcmp)的混合物直接在存储中执行恶意码。

恶意软件窃取数据(恶意数据窃取)的使用。在卡巴斯基专家观察到的攻击中,发生在哥伦比亚的一个组织,网络犯罪分子被看到使用RustyStealer(一种窃取信息的恶意软件)从员工那里获得公司凭据。

然后,此信息用于访问组织的系统,并保持足够长的控制时间以传播勒索软件。

高级加密算法。勒索软件使用ChaCha20,一种以其速度和安全性而闻名的现代芯片流,甚至超越高级加密标准(AES)。

虽然这次袭击背后的威胁者没有公开共享任何被盗数据或提出进一步指控,但研究人员对其进行每项新活动都密切监控。

“我们没有观察到暗网中出现的任何新勒索软件组。考虑到这一点,有关勒索软件背后的哪个组的问题仍然未找到,我们怀疑这可能是一项新活动,“卡巴斯基全球紧急响应团队事件响应专家Cristian Souza解释说。