شناسایی خانواده جدیدی از باج‌افزارها: باج‌افزار Ymir

0
97
شناسایی خانواده جدیدی از باج‌افزارها: باج‌افزار Ymir

محققان امنیت سایبری به تازگی خانواده جدیدی از باج‌افزارها به نام باج‌افزار Ymir را شناسایی کرده‌اند که پس از دو روز از نفوذ به سیستم‌ها توسط یک بدافزار به نام “RustyStealer” به کار گرفته شده است.

شرکت امنیت سایبری کسپرسکی اعلام کرده است که “باج‌افزار Ymir ترکیبی از ویژگی‌ها و تاکتیک‌های فنی منحصر به فردی را است که اثربخشی آن را افزایش می‌دهد.” مهاجمان با استفاده از ترکیبی غیرمرسوم از توابع مدیریت حافظه مانند malloc، memmove و memcmp برای اجرای کدهای مخرب در حافظه عمل کرده‌اند. این روش متفاوت از جریان اجرای معمول در انواع رایج باج‌افزارهاست و باعث افزایش قابلیت‌های پنهان شدن آن می‌شود.

کسپرسکی اشاره کرده که این باج‌افزار در حمله‌ای علیه یک سازمان ناشناس در کلمبیا به کار رفته و مهاجمان ابتدا از بدافزار راستی‌استیلر برای جمع‌آوری اطلاعات ورود کارمندان به شبکه‌های شرکتی استفاده کرده‌اند. به نظر می‌رسد اطلاعات ورود سرقت‌شده به آنها اجازه داده است تا به شبکه دسترسی غیرمجاز پیدا کرده و سپس باج‌افزار را مستقر کنند.

اگرچه معمولاً یک “واسط دسترسی اولیه” با تیم باج‌افزار همکاری می‌کند، اما مشخص نیست که آیا در این مورد نیز چنین بوده یا خیر. محقق کریستین سوزا از کسپرسکی می‌گوید: “اگر همان افرادی که باج‌افزار را مستقر کرده‌اند همان واسط‌های اولیه باشند، این می‌تواند نشانه‌ای از یک روند جدید باشد که گزینه‌های بیشتری برای دستیابی به اهداف ایجاد می‌کند.”

این حمله به دلیل نصب ابزارهایی مانند Advanced IP Scanner و Process Hacker مورد توجه است. همچنین از اسکریپت‌هایی استفاده شده که بخشی از بدافزار SystemBC هستند و برای ایجاد یک کانال مخفی به آدرس IP راه دور و انتقال فایل‌هایی با حجم بالای ۴۰ کیلوبایت به کار می‌روند.

در یکی از حملات قبلی، مهاجمان از روش‌های ارسال انبوه ایمیل‌های مخرب (malspam) استفاده کردند و سپس با کارمندان تماس گرفتند و خود را به عنوان تیم پشتیبانی فناوری اطلاعات معرفی کردند تا به نظر برسد که می‌خواهند مشکل را حل کنند.

باج‌افزارهای دیگری همچون “آکیرا” و “Fog” نیز از طریق آسیب‌پذیری در VPN‌های سونیک‌وال با شناسه CVE-2024-40766 برای نفوذ به شبکه‌ها استفاده کرده‌اند. شرکت Arctic Wolf می‌گوید که از آگوست تا اواسط اکتبر ۲۰۲۴، حدود ۳۰ نفوذ جدید با این روش شناسایی شده است.

گزارش‌ها نشان می‌دهد که با وجود تلاش‌های قانونی برای سرکوب گروه‌های سایبری، تهدید باج‌افزارها همچنان در حال گسترش است. ماه گذشته، شرکت Secureworks اعلام کرد که تعداد گروه‌های فعال باج‌افزار نسبت به سال قبل ۳۰ درصد افزایش یافته و ۳۱ گروه جدید به این اکوسیستم اضافه شده‌اند. با وجود این افزایش، تعداد قربانیان با همان سرعت رشد نکرده و این نشان‌دهنده یک چشم‌انداز پراکنده‌تر است.

فایل‌های رمزگذاری شده توسط باج‌افزار Ymir با الگوریتم ChaCha20 رمزگذاری می‌شوند و پسوند “.6C5oy2dVr6” به آنها اضافه می‌شود. کسپرسکی می‌گوید: “ایمیر انعطاف‌پذیر است: مهاجمان می‌توانند با استفاده از دستور –path یک دایرکتوری مشخص را برای جستجوی فایل‌ها تعیین کنند. اگر فایلی در لیست سفید باشد، باج‌افزار آن را رمزگذاری نمی‌کند.”

در همین حال، گروه مهاجم ” Black Basta” با استفاده از پیام‌های چت Microsoft Teams به منظور فریب قربانیان و دعوت آنها به دانلود ابزارهای کنترل از راه دور و دسترسی اولیه به سیستم‌ها اقدام کرده است.

شرکت ReliaQuest نیز اعلام کرده است که مهاجمان در برخی موارد تلاش کرده‌اند تا با فریب قربانیان و جعل هویت تیم پشتیبانی IT، آنها را به استفاده از نرم‌افزارهایی همچون Quick Assist ترغیب کنند تا دسترسی از راه دور به سیستم‌ها را فراهم آورند. گزارشی از گروه NCC نشان می‌دهد که در ماه سپتامبر ۲۰۲۴ تعداد ۴۰۷ حمله باج‌افزار ثبت شده که نسبت به ماه آگوست ۱۰ درصد کاهش داشته است.

علاوه بر این، گروه‌های هکتیویست سیاسی مانند “CyberVolk” نیز از باج‌افزار به عنوان ابزاری برای انتقام‌جویی استفاده کرده‌اند.

مقامات آمریکایی به دنبال راه‌های جدیدی برای مقابله با باج‌افزار هستند، از جمله تشویق شرکت‌های بیمه به عدم پرداخت باج برای کاهش انگیزه قربانیان در پرداخت. آنی نیوبرگر، مشاور امنیت ملی آمریکا برای فناوری‌های نوظهور، در مقاله‌ای نوشت “برخی سیاست‌های بیمه‌ای، مانند پوشش هزینه‌های باج‌افزار، باعث تشویق پرداخت باج و تقویت چرخه جرم‌های سایبری می‌شود و این رویه‌ای نگران‌کننده است که باید متوقف شود”.

منبع: https://thehackernews.com/2024/11/new-ymir-ransomware-exploits-memory-for.html

مقاله قبلیچگونه یک استراتژی اعتماد صفر ایجاد کنیم
مقاله بعدیقبل از خرید دو بار فکر کنید: قربانی کلاه‌برداری در تبلیغات شبکه‌های اجتماعی نشویم

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.