محققان امنیت سایبری به تازگی خانواده جدیدی از باجافزارها به نام باجافزار Ymir را شناسایی کردهاند که پس از دو روز از نفوذ به سیستمها توسط یک بدافزار به نام “RustyStealer” به کار گرفته شده است.
شرکت امنیت سایبری کسپرسکی اعلام کرده است که “باجافزار Ymir ترکیبی از ویژگیها و تاکتیکهای فنی منحصر به فردی را است که اثربخشی آن را افزایش میدهد.” مهاجمان با استفاده از ترکیبی غیرمرسوم از توابع مدیریت حافظه مانند malloc، memmove و memcmp برای اجرای کدهای مخرب در حافظه عمل کردهاند. این روش متفاوت از جریان اجرای معمول در انواع رایج باجافزارهاست و باعث افزایش قابلیتهای پنهان شدن آن میشود.
کسپرسکی اشاره کرده که این باجافزار در حملهای علیه یک سازمان ناشناس در کلمبیا به کار رفته و مهاجمان ابتدا از بدافزار راستیاستیلر برای جمعآوری اطلاعات ورود کارمندان به شبکههای شرکتی استفاده کردهاند. به نظر میرسد اطلاعات ورود سرقتشده به آنها اجازه داده است تا به شبکه دسترسی غیرمجاز پیدا کرده و سپس باجافزار را مستقر کنند.
اگرچه معمولاً یک “واسط دسترسی اولیه” با تیم باجافزار همکاری میکند، اما مشخص نیست که آیا در این مورد نیز چنین بوده یا خیر. محقق کریستین سوزا از کسپرسکی میگوید: “اگر همان افرادی که باجافزار را مستقر کردهاند همان واسطهای اولیه باشند، این میتواند نشانهای از یک روند جدید باشد که گزینههای بیشتری برای دستیابی به اهداف ایجاد میکند.”
این حمله به دلیل نصب ابزارهایی مانند Advanced IP Scanner و Process Hacker مورد توجه است. همچنین از اسکریپتهایی استفاده شده که بخشی از بدافزار SystemBC هستند و برای ایجاد یک کانال مخفی به آدرس IP راه دور و انتقال فایلهایی با حجم بالای ۴۰ کیلوبایت به کار میروند.
در یکی از حملات قبلی، مهاجمان از روشهای ارسال انبوه ایمیلهای مخرب (malspam) استفاده کردند و سپس با کارمندان تماس گرفتند و خود را به عنوان تیم پشتیبانی فناوری اطلاعات معرفی کردند تا به نظر برسد که میخواهند مشکل را حل کنند.
باجافزارهای دیگری همچون “آکیرا” و “Fog” نیز از طریق آسیبپذیری در VPNهای سونیکوال با شناسه CVE-2024-40766 برای نفوذ به شبکهها استفاده کردهاند. شرکت Arctic Wolf میگوید که از آگوست تا اواسط اکتبر ۲۰۲۴، حدود ۳۰ نفوذ جدید با این روش شناسایی شده است.
گزارشها نشان میدهد که با وجود تلاشهای قانونی برای سرکوب گروههای سایبری، تهدید باجافزارها همچنان در حال گسترش است. ماه گذشته، شرکت Secureworks اعلام کرد که تعداد گروههای فعال باجافزار نسبت به سال قبل ۳۰ درصد افزایش یافته و ۳۱ گروه جدید به این اکوسیستم اضافه شدهاند. با وجود این افزایش، تعداد قربانیان با همان سرعت رشد نکرده و این نشاندهنده یک چشمانداز پراکندهتر است.
فایلهای رمزگذاری شده توسط باجافزار Ymir با الگوریتم ChaCha20 رمزگذاری میشوند و پسوند “.6C5oy2dVr6” به آنها اضافه میشود. کسپرسکی میگوید: “ایمیر انعطافپذیر است: مهاجمان میتوانند با استفاده از دستور –path یک دایرکتوری مشخص را برای جستجوی فایلها تعیین کنند. اگر فایلی در لیست سفید باشد، باجافزار آن را رمزگذاری نمیکند.”
در همین حال، گروه مهاجم ” Black Basta” با استفاده از پیامهای چت Microsoft Teams به منظور فریب قربانیان و دعوت آنها به دانلود ابزارهای کنترل از راه دور و دسترسی اولیه به سیستمها اقدام کرده است.
شرکت ReliaQuest نیز اعلام کرده است که مهاجمان در برخی موارد تلاش کردهاند تا با فریب قربانیان و جعل هویت تیم پشتیبانی IT، آنها را به استفاده از نرمافزارهایی همچون Quick Assist ترغیب کنند تا دسترسی از راه دور به سیستمها را فراهم آورند. گزارشی از گروه NCC نشان میدهد که در ماه سپتامبر ۲۰۲۴ تعداد ۴۰۷ حمله باجافزار ثبت شده که نسبت به ماه آگوست ۱۰ درصد کاهش داشته است.
علاوه بر این، گروههای هکتیویست سیاسی مانند “CyberVolk” نیز از باجافزار به عنوان ابزاری برای انتقامجویی استفاده کردهاند.
مقامات آمریکایی به دنبال راههای جدیدی برای مقابله با باجافزار هستند، از جمله تشویق شرکتهای بیمه به عدم پرداخت باج برای کاهش انگیزه قربانیان در پرداخت. آنی نیوبرگر، مشاور امنیت ملی آمریکا برای فناوریهای نوظهور، در مقالهای نوشت “برخی سیاستهای بیمهای، مانند پوشش هزینههای باجافزار، باعث تشویق پرداخت باج و تقویت چرخه جرمهای سایبری میشود و این رویهای نگرانکننده است که باید متوقف شود”.
منبع: https://thehackernews.com/2024/11/new-ymir-ransomware-exploits-memory-for.html
