详细内容或原文请订阅后点击阅览
Ymir 勒索软件,一种新型隐秘勒索软件正在野外滋生
卡巴斯基警告称,在系统被 RustyStealer 恶意软件入侵后不久,新的 Ymir 勒索软件就被部署在攻击中。卡巴斯基研究人员发现了一个名为 Ymir 勒索软件的新勒索软件家族,攻击者在通过 PowerShell 命令入侵系统后部署了该勒索软件。Ymir 包括检测规避功能,使用 malloc、memmove 和 memcmp 等函数在内存中执行任务。攻击者最初访问系统 […]
来源:Security Affairs _恶意软件Ymir 勒索软件,一种在野外滋生的新型隐秘勒索软件
Ymir 勒索软件,一种在野外滋生的新型隐秘勒索软件
Pierluigi Paganini Pierluigi Paganini 2024 年 11 月 12 日卡巴斯基警告称,在系统被 RustyStealer 恶意软件入侵后不久,新的 Ymir 勒索软件就被部署在攻击中。
卡巴斯基研究人员发现了一个新的勒索软件家族,称为 Ymir 勒索软件,攻击者在通过 PowerShell 命令入侵系统后部署了该勒索软件。 Ymir 包括检测规避功能,使用 malloc、memmove 和 memcmp 等函数在内存中执行任务。 攻击者最初远程访问系统,安装了 Process Hacker 和 Advanced IP Scanner 等工具,然后在启动勒索软件之前削弱了安全性。
Ymir 勒索软件 Ymirmalloc
memmove
memcmp
勒索软件使用流密码 ChaCha20 算法加密文件,然后将扩展名“.6C5oy2dVr6”附加到加密文件的文件名中。
对哥伦比亚事件的分析表明,在部署 Ymir 勒索软件的两天前,威胁行为者使用 RustyStealer 来控制系统并收集信息。证据表明,RustyStealer 是一个伪装成 AudioDriver2.0.exe 的 Rust 编译可执行文件,它已经破坏了多个系统,包括一个具有特权用户访问权限的域控制器。尽管攻击者试图抹去痕迹,但这一活动表明在启动 Ymir 勒索软件之前,攻击者曾协同努力削弱防御。
Ymir RustyStealer RustyStealer AudioDriver2.0.exe Ymir一旦获得被盗凭证,威胁行为者可能会利用它们获取未经授权的网络访问权限来部署勒索软件。专家认为,如果最初的访问代理也部署了勒索软件,这可能标志着人们不再依赖传统的勒索软件即服务 (RaaS) 团体。
报告 SystemBC报告包括此威胁的入侵指标 (IoC)。
在 Twitter 上关注我:@securityaffairs、Facebook 和 Mastodon
@securityaffairs @securityaffairs Facebook Facebook Mastodon (