Фахівці “Лабораторії Касперського” виявили нову серйозну кіберзагрозу – шкідливе програмне забезпечення Ymir, що демонструє революційний підхід до обходу систем захисту та шифрування корпоративних даних. Назва шкідливої програми, що походить від супутника Сатурна з ретроградною орбітою, відображає її нестандартну технічну реалізацію та методи роботи.
Комплексна багатоетапна атака з використанням крадіжки облікових даних
Перший зафіксований випадок застосування Ymir стався в Колумбії, де кіберзлочинці реалізували складну багатоетапну атаку. На першому етапі було застосовано спеціалізований інструмент RustyStealer для викрадення корпоративних облікових даних. Замість типового для таких випадків продажу доступу іншим зловмисникам, оператори Ymir самостійно розгорнули програму-шифрувальник у скомпрометованій мережі.
Передові технології протидії виявленню
Технічний аналіз показав, що Ymir використовує нестандартну комбінацію функцій керування пам’яттю (malloc, memmove та memcmp) для виконання шкідливого коду. Такий інноваційний підхід суттєво ускладнює виявлення шкідливої активності традиційними засобами захисту, що робить Ymir особливо небезпечним для корпоративних мереж.
Вдосконалені механізми шифрування даних
Шкідливе ПЗ реалізує вибіркове шифрування файлів із застосуванням сучасного криптографічного алгоритму ChaCha20, який має ряд переваг порівняно з традиційним AES. Оператори можуть точно визначати директорії для шифрування та створювати списки виключень, що забезпечує безпрецедентну гнучкість при проведенні цільових атак.
Нетипова модель монетизації
На відміну від традиційних програм-вимагачів, оператори Ymir поки що не публікують викрадені дані та не висувають вимог щодо викупу. Експерти припускають формування нової кіберзлочинної групи з альтернативними методами монетизації кібератак, що може свідчити про появу нових загроз для бізнесу.
Поява Ymir свідчить про стрімку еволюцію ландшафту кіберзагроз, де зловмисники відмовляються від стандартних інструментів на користь власних розробок з просунутими механізмами приховування. Організаціям рекомендується посилити моніторинг мережевої активності, впровадити багаторівневий захист та регулярно оновлювати системи резервного копіювання для протидії подібним загрозам.
