Ymir Ransomware
Digitalna doba je prinesla ogromno udobja, vendar je tudi utrla pot vse bolj zapletenim grožnjam, kot je izsiljevalska programska oprema. Zaščita osebnih in poslovnih naprav pred izsiljevalsko programsko opremo in drugimi vrstami groženj je ključnega pomena za zaščito podatkov, financ in ugleda. Ena takšnih sofisticiranih groženj, ki povzroča valove v krogih kibernetske varnosti, je izsiljevalska programska oprema Ymir.
Kazalo
Kaj je izsiljevalska programska oprema Ymir?
Izsiljevalska programska oprema Ymir je prefinjena grožnja, ki uporablja napredno šifriranje za zaklepanje datotek žrtev in zahteva plačilo za njihovo obnovitev. Ta izsiljevalska programska oprema uporablja kriptografski algoritem ChaCha20, da zagotovi, da se žrtve soočajo s precejšnjimi izzivi pri poskusu neodvisne obnovitve datotek. Ko Ymir šifrira datoteko, ji doda edinstveno pripono, sestavljeno iz naključnih znakov, s čimer znatno spremeni imena datotek – na primer, »1.png« lahko postane »1.jpg.6C5oy2dVr6«.
Večplastna strategija napada Ymirja
Ko je postopek šifriranja končan, Ymir naredi več korakov, da zagotovi, da je žrtev seznanjena z napadom in pogoji odkupnine. Izsiljevalska programska oprema postavi opombe o odkupnini z naslovom 'INCIDENT_REPORT.pdf' v vsak prizadeti imenik. Poleg tega bolj zaskrbljujoč ukrep vključuje prikaz celozaslonskega sporočila pred prijavnim zaslonom žrtve, s čimer se žrtva dejansko zaklene iz svojega sistema, dokler ne ukrepa.
Sporočilo pred prijavo obvesti žrtve, da je prišlo do vdora v njihovo omrežje, da so njihove datoteke šifrirane in da so občutljivi podatki ekstrahirani. Poziva jih, naj dogodek prijavijo svojim nadrejenim, in opozarja, da lahko morebitni poskusi dešifriranja datotek z nepooblaščenimi orodji povzročijo nepopravljivo škodo.
Določbe Ymirjeve odkupnine
Ymirjevo sporočilo o odkupnini, zajeto v 'INCIDENT_REPORT.pdf', ponavlja glavne točke napada in podrobnosti o zahtevah napadalcev. Opomba obljublja, da bo žrtev, če bo odkupnina plačana, prejela orodja za dešifriranje, vsi zbrani podatki pa bodo izbrisani iz strežnikov napadalcev. Po drugi strani pa dokument grozi, da bodo eksfiltrirani podatki javno izpostavljeni, če plačilo ne bo izvedeno, kar bi lahko povzročilo veliko finančno škodo in škodo ugledu. Te grožnje obsegajo prodajo informacij na temnih forumih ali njihovo deljenje z mediji ali konkurenti.
Napadalci dovolijo žrtvam dešifriranje do treh šifriranih datotek kot dokaz, da je obnovitev mogoča. To, skupaj z dokazi o izločanju podatkov, poudarja resno naravo kršitve.
Zapletena veriga okužb: taktike in orodja
Napadi Ymir so zapleteni in vključujejo začetno fazo kraje podatkov, ki se izvaja z RustyStealerjem, preden se namesti sama izsiljevalska programska oprema – pogosto dni kasneje. Kibernetski kriminalci dobijo dostop do sistemov prek ukazov PowerShell za daljinsko upravljanje, pri čemer uporabljajo različna orodja za ohranjanje nadzora in izvajanje svojih načrtov.
Nekatera orodja, opažena v Ymirjevem arzenalu, vključujejo:
- Process Hacker in Advanced IP Scanner za sistemsko diagnostiko in bočno premikanje.
- Zlonamerna programska oprema WinRM (Windows Remote Management) in SystemBC za pomoč pri širjenju okužbe po lokalnih omrežjih.
- Sofisticirane tehnike za izogibanje odkrivanju vključujejo pomnilniške operacije, kjer se izvede na stotine funkcijskih klicev za postopno vnašanje zlonamerne kode.
Huda resničnost plačil odkupnine
Eden najbolj kritičnih vidikov napadov z izsiljevalsko programsko opremo je razumevanje nesmiselnosti plačevanja odkupnin. Strokovnjaki za kibernetsko varnost poudarjajo, da plačilo zahtevane odkupnine ne zagotavlja obljubljenih ključev za dešifriranje ali programske opreme. V mnogih primerih žrtve po plačilu ostanejo praznih rok, saj so financirale nadaljnje kriminalne dejavnosti brez kakršne koli koristi.
Bistvene varnostne prakse za obrambo pred izsiljevalsko programsko opremo Ymir
Za zaščito pred izsiljevalsko programsko opremo Ymir in podobnimi grožnjami je izvajanje celovitih ukrepov kibernetske varnosti bistvenega pomena. Tukaj je nekaj priporočenih praks:
- Redne varnostne kopije podatkov : Zagotovite, da se podatki pogosto varnostno kopirajo na varno lokacijo brez povezave. Ta korak je eden najučinkovitejših zaščit pred izsiljevalsko programsko opremo, saj zagotavlja možnost obnovitve, ki ni odvisna od sodelovanja z napadalci.
- Močna varnost končne točke : uporabite robustne rešitve za zaščito končne točke, ki lahko zaznajo in blokirajo sumljivo dejavnost. To vključuje zaznavanje na podlagi vedenja, ki prepozna izsiljevalsko programsko opremo po njenih dejanjih, ne le po znanih podpisih.
- Večfaktorsko preverjanje pristnosti (MFA) : Omogočite MFA, kjer koli je to mogoče, ker doda več varnosti uporabniškim računom. To lahko prestreže nepooblaščen dostop, tudi če so poverilnice za prijavo ogrožene.
- Upravljanje popravkov : Posodabljajte vso programsko opremo, zlasti operacijske sisteme in pogosto uporabljene aplikacije. Operaterji izsiljevalske programske opreme pogosto izkoriščajo ranljivosti v zastareli programski opremi.
- Segmentacija omrežja : Izolirajte kritične omrežne vire, tako da v primeru vdora napadalci ne morejo preprosto dostopati do celotnega sistema ali omrežja.
Bodite pred grožnjami
Grožnje z izsiljevalsko programsko opremo, kot je Ymir, poudarjajo potrebo po proaktivnih obrambnih strategijah. Čeprav dešifriranje morda ne bo izvedljivo brez sodelovanja napadalcev, lahko robustni preventivni ukrepi zmanjšajo vpliv in verjetnost napada. Vlaganje v trdno infrastrukturo kibernetske varnosti in spodbujanje kulture budnosti sta bistvena koraka pri ohranjanju odpornosti proti razvijajočim se grožnjam izsiljevalske programske opreme.
Ymir Ransomware Video
Nasvet: Obrnite zvok ON in si ogledate video v Full Screen načinu.
Sporočila
Najdena so bila naslednja sporočila, povezana z Ymir Ransomware:
|
#? What happened? Your network has been compromised and attacked by hackers. All files have been modified. Sensitive information has been stolen and handed over to our experts for analysis. #? Why did this happen? Your security system was weak, it allowed your company to be hacked. #? What are the possible consequences? You won't be able to use your data, so the company is frozen. You will lose money every day. If you refuse to make a deal, your data will be published on the internet, sold on darknet forums, shared with journalists and your competitors. You will suffer reputational damage, your stock will drop in value, clients and sponsors will lose trust in you. Also, if the incident becomes public, you will be noticed by law enforcement agencies and then a long investigation with freezing of your company will begin. You'll get multiple fines in excess of the deal. #? What do I get if I make a deal? You get file recovery software. We'll remove the stolen data from our servers and provide proof. You'll get an incident report and recommendations for protection. You'll get a guarantee that our team will add you to our whitelist of untouchable companies and we'll never come back to you again. We will not report the incident to anyone. #? # Why are you doing this? We're only interested in the money. We don't care about the rest. We also take pleasure in what we do. #? How can I trust you? You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every action we take is discussed. If we defraud even 1 company, we will never be able to make a good deal. We will definitely recover your files and we will definitely keep everything confidential. We are specialists with years of experience and we respect ourselves and our reputation. You'll see that we're a bargain when you contact us. #? How do I proceed if I don't believe a word you say? You can go to the recovery or the enforcers, but it will definitely cost you more than dealing with us. Recovery will buy our software with your token and sell it to you at a 300% markup. The enforcers will trample your company, talk to the lawyers, they will tell you the consequences. #? I'm the administrator of this network, what do I do? Don't try to make a deal on your own, you won't have enough salary for a few years. Report the incident to your bosses. They'll find out anyway. We have their contacts and we'll let them know in three days if no one contacts us. If you try to rebuild the network alone and hide the incident from your bosses, you'll delay the inevitable. At some point, they'll hear about it on the news and be furious that you denied them the opportunity to save their company. #? What do I do? The first thing you should do is inform your bosses about the incident. You'll have to pay us to recover your files. Only we have the unique token. Don't try to use any third-party applications to recover your files, they may be damaged irretrievably. You need to contact us You can send us 1-3 modified files and we will prove that we can recover them. We will provide proof of the stolen data. RecoverySupport@onionmail.org To contact us, install qTOX messenger. hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe Add our contact and we can make a deal. Tox ID: CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF |
|
IMPORTANT What happened? Your network has been compromised and attacked by hackers. All files have been modified. Sensitive information has been stolen and handed over to our experts for analysis. What do I do? The first thing you should do is inform your bosses about the incident. You'll have to pay us to recover your files. Only we have the unique token. Don't try to use any third-party applications to recover your files they may be damaged irretrievably. To contact us read the INCIDENT REPORT file carefully |
