Ymir рансъмуер
Дигиталната ера доведе до огромно удобство, но също така проправи пътя за все по-сложни заплахи като ransomware. Защитата на лични и бизнес устройства срещу ransomware и други видове заплахи е от решаващо значение за защитата на данните, финансите и репутацията. Една такава сложна заплаха, предизвикваща вълни в кръговете за киберсигурност, е Ymir Ransomware.
Съдържание
Какво представлява Ymir Ransomware?
Ymir Ransomware е усъвършенствана заплаха, която използва усъвършенствано криптиране, за да заключва файловете на жертвите, като изисква плащане за тяхното възстановяване. Този ransomware използва криптографския алгоритъм ChaCha20, за да гарантира, че жертвите са изправени пред значителни предизвикателства при опит за независимо възстановяване на файлове. Когато Ymir криптира файл, той добавя уникално разширение, съставено от произволни знаци, променяйки значително имената на файловете – например „1.png“ може да стане „1.jpg.6C5oy2dVr6“.
Многослойната стратегия за атака на Ymir
След като процесът на криптиране приключи, Ymir предприема няколко стъпки, за да гарантира, че жертвата е наясно с атаката и условията за откуп. Рансъмуерът поставя бележки за откуп, озаглавени „INCIDENT_REPORT.pdf“ във всяка засегната директория. Освен това, по-тревожна мярка включва показване на съобщение на цял екран преди екрана за влизане на жертвата, което ефективно ги заключва извън тяхната система, докато не бъдат предприети действия.
Съобщението преди влизане информира жертвите, че мрежата им е била пробита, файловете им криптирани и чувствителните данни са ексфилтрирани. Той ги призовава да докладват за инцидента на началниците си и предупреждава, че всякакви опити за дешифриране на файлове с неоторизирани инструменти могат да доведат до необратими щети.
Условията на бележката за откупа на Имир
Бележката за откуп на Имир, капсулирана в „INCIDENT_REPORT.pdf“, повтаря основните точки на атаката и детайлизира исканията на нападателите. Бележката обещава, че ако откупът бъде платен, жертвата ще получи инструменти за дешифриране и всички събрани данни ще бъдат изтрити от сървърите на нападателите. От друга страна, ако плащането не бъде извършено, документът заплашва, че ексфилтрираните данни ще бъдат публично изложени - потенциално причинявайки значителни финансови и репутационни вреди. Тези заплахи се простират до продажбата на информация във форуми в тъмната мрежа или споделянето й с медии или конкуренти.
Нападателите позволяват на жертвите да дешифрират до три криптирани файла като доказателство, че възстановяването е възможно. Това, съчетано с доказателства за ексфилтриране на данни, подчертава тежкия характер на нарушението.
Сложна инфекциозна верига: Тактики и инструменти
Атаките на Ymir са сложни, включват първоначална фаза на кражба на данни, извършена с помощта на RustyStealer, преди самият ransomware да бъде внедрен – често дни по-късно. Киберпрестъпниците получават достъп до системи чрез команди за дистанционно управление на PowerShell, като използват различни инструменти за поддържане на контрол и изпълнение на своите планове.
Някои инструменти, наблюдавани в арсенала на Имир, включват:
- Процесен хакер и усъвършенстван IP скенер за системна диагностика и странично движение.
- Зловреден софтуер WinRM (отдалечено управление на Windows) и SystemBC за подпомагане на разпространението на инфекцията в локалните мрежи.
- Сложните техники за избягване на откриването включват операции с паметта, при които се правят стотици извиквания на функции за постепенно въвеждане на зловреден код.
Суровите реалности на плащанията на откуп
Един от най-критичните аспекти на атаките с ransomware е разбирането на безсмислието на плащането на откупи. Експертите по киберсигурност подчертават, че плащането на искания откуп не гарантира обещаните ключове за дешифриране или софтуер. В много случаи жертвите остават с празни ръце след плащането, като са финансирали по-нататъшна престъпна дейност без никаква полза.
Основни практики за сигурност за защита срещу рансъмуера Ymir
За да се предпазите от Ymir Ransomware и подобни заплахи, прилагането на цялостни мерки за киберсигурност е жизненоважно. Ето някои препоръчителни практики:
- Редовно архивиране на данни : Уверете се, че данните се архивират често на защитено, офлайн място. Тази стъпка е една от най-ефективните предпазни мерки срещу ransomware, тъй като предоставя опция за възстановяване, която не разчита на взаимодействие с нападатели.
- Силна защита на крайната точка : Използвайте стабилни решения за защита на крайната точка, способни да откриват и блокират подозрителна дейност. Това включва базирано на поведение откриване, което идентифицира ransomware по неговите действия, а не само по известни сигнатури.
- Многофакторно удостоверяване (MFA) : Активирайте MFA, когато е възможно, защото добавя повече сигурност към потребителските акаунти. Това може да попречи на неоторизиран достъп, дори ако идентификационните данни за вход са компрометирани.
- Управление на корекции : Поддържайте целия софтуер, особено операционните системи и често използваните приложения, актуален. Уязвимостите в остарелия софтуер често се използват от операторите на ransomware.
- Мрежово сегментиране : Изолирайте критичните мрежови ресурси, така че в случай на пробив нападателите да не могат лесно да получат достъп до цяла система или мрежа.
Изпреварване на заплахите
Заплахите за рансъмуер като Ymir подчертават необходимостта от проактивни стратегии за защита. Въпреки че дешифрирането може да не е осъществимо без съдействието на нападателите, стабилните превантивни мерки могат да намалят до минимум въздействието и вероятността от атака. Инвестирането в солидна инфраструктура за киберсигурност и насърчаването на култура на бдителност са основни стъпки за поддържане на устойчивост срещу развиващи се заплахи от ransomware.
Ymir рансъмуер видео
Съвет: Вклучите звука игледайте видеото в режим на цял екран.
Съобщения
Открити са следните съобщения, свързани с Ymir рансъмуер:
|
#? What happened? Your network has been compromised and attacked by hackers. All files have been modified. Sensitive information has been stolen and handed over to our experts for analysis. #? Why did this happen? Your security system was weak, it allowed your company to be hacked. #? What are the possible consequences? You won't be able to use your data, so the company is frozen. You will lose money every day. If you refuse to make a deal, your data will be published on the internet, sold on darknet forums, shared with journalists and your competitors. You will suffer reputational damage, your stock will drop in value, clients and sponsors will lose trust in you. Also, if the incident becomes public, you will be noticed by law enforcement agencies and then a long investigation with freezing of your company will begin. You'll get multiple fines in excess of the deal. #? What do I get if I make a deal? You get file recovery software. We'll remove the stolen data from our servers and provide proof. You'll get an incident report and recommendations for protection. You'll get a guarantee that our team will add you to our whitelist of untouchable companies and we'll never come back to you again. We will not report the incident to anyone. #? # Why are you doing this? We're only interested in the money. We don't care about the rest. We also take pleasure in what we do. #? How can I trust you? You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every action we take is discussed. If we defraud even 1 company, we will never be able to make a good deal. We will definitely recover your files and we will definitely keep everything confidential. We are specialists with years of experience and we respect ourselves and our reputation. You'll see that we're a bargain when you contact us. #? How do I proceed if I don't believe a word you say? You can go to the recovery or the enforcers, but it will definitely cost you more than dealing with us. Recovery will buy our software with your token and sell it to you at a 300% markup. The enforcers will trample your company, talk to the lawyers, they will tell you the consequences. #? I'm the administrator of this network, what do I do? Don't try to make a deal on your own, you won't have enough salary for a few years. Report the incident to your bosses. They'll find out anyway. We have their contacts and we'll let them know in three days if no one contacts us. If you try to rebuild the network alone and hide the incident from your bosses, you'll delay the inevitable. At some point, they'll hear about it on the news and be furious that you denied them the opportunity to save their company. #? What do I do? The first thing you should do is inform your bosses about the incident. You'll have to pay us to recover your files. Only we have the unique token. Don't try to use any third-party applications to recover your files, they may be damaged irretrievably. You need to contact us You can send us 1-3 modified files and we will prove that we can recover them. We will provide proof of the stolen data. RecoverySupport@onionmail.org To contact us, install qTOX messenger. hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe Add our contact and we can make a deal. Tox ID: CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF |
|
IMPORTANT What happened? Your network has been compromised and attacked by hackers. All files have been modified. Sensitive information has been stolen and handed over to our experts for analysis. What do I do? The first thing you should do is inform your bosses about the incident. You'll have to pay us to recover your files. Only we have the unique token. Don't try to use any third-party applications to recover your files they may be damaged irretrievably. To contact us read the INCIDENT REPORT file carefully |
