Специалисты по кибербезопасности из «Лаборатории Касперского» выявили новую угрозу в сфере программ-вымогателей — вредоносное ПО Ymir, демонстрирующее нестандартные подходы к обходу систем защиты и шифрованию данных. Название малвари, данное в честь спутника Сатурна с ретроградной орбитой, отражает её необычные технические особенности.
Многоэтапная атака с использованием стилера
Исследование показало, что атака с применением Ymir была зафиксирована в Колумбии и реализовывалась поэтапно. На начальном этапе злоумышленники применили инструмент RustyStealer для кражи корпоративных учетных данных, что обеспечило им длительный доступ к инфраструктуре жертвы. Такая тактика характерна для брокеров первоначального доступа, однако в данном случае атакующие не продали доступ, а сами развернули шифровальщик.
Инновационные техники противодействия обнаружению
Ymir использует уникальную комбинацию функций управления памятью (malloc, memmove и memcmp) для выполнения вредоносного кода. Этот подход существенно отличается от традиционных методов, применяемых типовыми шифровальщиками, что затрудняет обнаружение малвари средствами защиты.
Продвинутые возможности шифрования
Вредоносное ПО реализует селективное шифрование файлов с использованием современного алгоритма ChaCha20, превосходящего по характеристикам классический AES. Функционал позволяет операторам точно указывать директории для шифрования и создавать «белые списки» защищаемых файлов, что обеспечивает высокую гибкость при проведении атак.
Особенности распространения
На текущий момент операторы Ymir не демонстрируют типичного для программ-вымогателей поведения — отсутствуют публичные заявления о краже данных и требования выкупа. Эксперты предполагают, что может формироваться новая вымогательская группировка с нестандартными методами монетизации атак.
Появление Ymir демонстрирует эволюцию ландшафта киберугроз, где злоумышленники всё чаще отходят от использования готовых решений в пользу разработки собственных инструментов с продвинутыми механизмами противодействия обнаружению. Организациям рекомендуется усилить мониторинг сетевой активности и обновить политики резервного копирования для защиты от подобных угроз.
