Phần mềm tống tiền Ymir
Kỷ nguyên số đã mang lại sự tiện lợi to lớn nhưng cũng mở đường cho các mối đe dọa ngày càng phức tạp như ransomware. Việc bảo vệ các thiết bị cá nhân và doanh nghiệp khỏi ransomware và các loại mối đe dọa khác là rất quan trọng để bảo vệ dữ liệu, tài chính và danh tiếng. Một trong những mối đe dọa tinh vi như vậy đang tạo nên làn sóng trong giới an ninh mạng là Ymir Ransomware.
Mục lục
Ymir Ransomware là gì?
Ymir Ransomware là một mối đe dọa tinh vi tận dụng mã hóa nâng cao để khóa các tệp của nạn nhân, yêu cầu thanh toán để khôi phục chúng. Ransomware này sử dụng thuật toán mã hóa ChaCha20 để đảm bảo rằng nạn nhân phải đối mặt với những thách thức đáng kể khi cố gắng khôi phục tệp độc lập. Khi Ymir mã hóa một tệp, nó sẽ thêm một phần mở rộng duy nhất được tạo thành từ các ký tự ngẫu nhiên, làm thay đổi đáng kể tên tệp—ví dụ, '1.png' có thể trở thành '1.jpg.6C5oy2dVr6'.
Chiến lược tấn công nhiều lớp của Ymir
Sau khi quá trình mã hóa hoàn tất, Ymir thực hiện nhiều bước để đảm bảo nạn nhân biết về cuộc tấn công và các điều kiện đòi tiền chuộc. Ransomware đặt các ghi chú đòi tiền chuộc có tiêu đề 'INCIDENT_REPORT.pdf' trong mỗi thư mục bị ảnh hưởng. Ngoài ra, một biện pháp đáng báo động hơn bao gồm hiển thị thông báo toàn màn hình trước màn hình đăng nhập của nạn nhân, về cơ bản là khóa họ khỏi hệ thống của họ cho đến khi có hành động.
Tin nhắn trước khi đăng nhập thông báo cho nạn nhân rằng mạng của họ đã bị xâm phạm, các tệp của họ đã bị mã hóa và dữ liệu nhạy cảm đã bị rò rỉ. Tin nhắn này thúc giục họ báo cáo sự cố với cấp trên và cảnh báo rằng bất kỳ nỗ lực nào để giải mã các tệp bằng các công cụ trái phép đều có thể dẫn đến thiệt hại không thể khắc phục.
Những điều khoản trong tờ giấy đòi tiền chuộc của Ymir
Ghi chú đòi tiền chuộc của Ymir, được đóng gói trong 'INCIDENT_REPORT.pdf', nhắc lại các điểm chính của cuộc tấn công và nêu chi tiết các yêu cầu của kẻ tấn công. Ghi chú hứa rằng nếu trả tiền chuộc, nạn nhân sẽ nhận được các công cụ giải mã và mọi dữ liệu thu thập được sẽ bị xóa khỏi máy chủ của kẻ tấn công. Mặt khác, nếu không trả tiền, tài liệu đe dọa rằng dữ liệu bị đánh cắp sẽ bị công khai—có khả năng gây ra thiệt hại đáng kể về tài chính và danh tiếng. Những mối đe dọa này mở rộng đến việc bán thông tin trên các diễn đàn darknet hoặc chia sẻ thông tin đó với các phương tiện truyền thông hoặc đối thủ cạnh tranh.
Những kẻ tấn công cho phép nạn nhân giải mã tối đa ba tệp được mã hóa làm bằng chứng cho thấy có thể khôi phục được. Điều này, cùng với bằng chứng về việc rò rỉ dữ liệu, nhấn mạnh bản chất nghiêm trọng của vụ vi phạm.
Chuỗi lây nhiễm phức tạp: Chiến thuật và công cụ
Các cuộc tấn công Ymir rất phức tạp, bao gồm giai đoạn đánh cắp dữ liệu ban đầu được thực hiện bằng RustyStealer trước khi ransomware được triển khai—thường là vài ngày sau đó. Tội phạm mạng có thể truy cập vào hệ thống thông qua lệnh điều khiển từ xa PowerShell, sử dụng nhiều công cụ khác nhau để duy trì quyền kiểm soát và thực hiện kế hoạch của chúng.
Một số công cụ được tìm thấy trong kho vũ khí của Ymir bao gồm:
- Một Process Hacker và một máy quét IP nâng cao để chẩn đoán hệ thống và di chuyển ngang.
- Phần mềm độc hại WinRM (Windows Remote Management) và SystemBC hỗ trợ phát tán virus trên các mạng cục bộ.
- Các kỹ thuật tinh vi để tránh bị phát hiện bao gồm các hoạt động bộ nhớ, trong đó hàng trăm lệnh gọi hàm được thực hiện để đưa mã độc vào dần dần.
Sự thật khắc nghiệt của việc trả tiền chuộc
Một trong những khía cạnh quan trọng nhất của các cuộc tấn công ransomware là hiểu được sự vô ích của việc trả tiền chuộc. Các chuyên gia an ninh mạng nhấn mạnh rằng việc trả tiền chuộc theo yêu cầu không đảm bảo các khóa giải mã hoặc phần mềm đã hứa. Trong nhiều trường hợp, nạn nhân trở nên trắng tay sau khi trả tiền, đã tài trợ cho các hoạt động tội phạm tiếp theo mà không có bất kỳ lợi ích nào.
Các biện pháp bảo mật thiết yếu để phòng chống lại Ymir Ransomware
Để bảo vệ chống lại Ymir Ransomware và các mối đe dọa tương tự, việc triển khai các biện pháp an ninh mạng toàn diện là rất quan trọng. Sau đây là một số biện pháp được khuyến nghị:
- Sao lưu dữ liệu thường xuyên : Đảm bảo dữ liệu được sao lưu thường xuyên đến một vị trí ngoại tuyến an toàn. Bước này là một trong những biện pháp bảo vệ hiệu quả nhất chống lại ransomware vì nó cung cấp tùy chọn khôi phục không phụ thuộc vào việc tương tác với kẻ tấn công.
- Bảo mật điểm cuối mạnh mẽ : Sử dụng các giải pháp bảo vệ điểm cuối mạnh mẽ có khả năng phát hiện và chặn hoạt động đáng ngờ. Điều này bao gồm phát hiện dựa trên hành vi xác định phần mềm tống tiền bằng hành động của nó, không chỉ các chữ ký đã biết.
- Xác thực đa yếu tố (MFA) : Bật MFA bất cứ khi nào có thể vì nó tăng thêm tính bảo mật cho tài khoản người dùng. Điều này có thể chặn truy cập trái phép ngay cả khi thông tin đăng nhập bị xâm phạm.
- Quản lý bản vá : Giữ tất cả phần mềm, đặc biệt là hệ điều hành và các ứng dụng thường dùng, được cập nhật. Các lỗ hổng trong phần mềm lỗi thời thường bị khai thác bởi các nhà điều hành ransomware.
- Phân đoạn mạng : Cô lập các tài nguyên mạng quan trọng để trong trường hợp bị vi phạm, kẻ tấn công không thể dễ dàng truy cập vào toàn bộ hệ thống hoặc mạng.
Đứng trước các mối đe dọa
Các mối đe dọa ransomware như Ymir nhấn mạnh nhu cầu về các chiến lược phòng thủ chủ động. Mặc dù giải mã có thể không khả thi nếu không có sự hợp tác của kẻ tấn công, các biện pháp phòng ngừa mạnh mẽ có thể giảm thiểu tác động và khả năng xảy ra một cuộc tấn công. Đầu tư vào cơ sở hạ tầng an ninh mạng vững chắc và thúc đẩy văn hóa cảnh giác là những bước thiết yếu để duy trì khả năng phục hồi trước các mối đe dọa ransomware đang phát triển.
Phần mềm tống tiền Ymir Video
Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .
tin nhắn
Các thông báo sau được liên kết với Phần mềm tống tiền Ymir đã được tìm thấy:
|
#? What happened? Your network has been compromised and attacked by hackers. All files have been modified. Sensitive information has been stolen and handed over to our experts for analysis. #? Why did this happen? Your security system was weak, it allowed your company to be hacked. #? What are the possible consequences? You won't be able to use your data, so the company is frozen. You will lose money every day. If you refuse to make a deal, your data will be published on the internet, sold on darknet forums, shared with journalists and your competitors. You will suffer reputational damage, your stock will drop in value, clients and sponsors will lose trust in you. Also, if the incident becomes public, you will be noticed by law enforcement agencies and then a long investigation with freezing of your company will begin. You'll get multiple fines in excess of the deal. #? What do I get if I make a deal? You get file recovery software. We'll remove the stolen data from our servers and provide proof. You'll get an incident report and recommendations for protection. You'll get a guarantee that our team will add you to our whitelist of untouchable companies and we'll never come back to you again. We will not report the incident to anyone. #? # Why are you doing this? We're only interested in the money. We don't care about the rest. We also take pleasure in what we do. #? How can I trust you? You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every action we take is discussed. If we defraud even 1 company, we will never be able to make a good deal. We will definitely recover your files and we will definitely keep everything confidential. We are specialists with years of experience and we respect ourselves and our reputation. You'll see that we're a bargain when you contact us. #? How do I proceed if I don't believe a word you say? You can go to the recovery or the enforcers, but it will definitely cost you more than dealing with us. Recovery will buy our software with your token and sell it to you at a 300% markup. The enforcers will trample your company, talk to the lawyers, they will tell you the consequences. #? I'm the administrator of this network, what do I do? Don't try to make a deal on your own, you won't have enough salary for a few years. Report the incident to your bosses. They'll find out anyway. We have their contacts and we'll let them know in three days if no one contacts us. If you try to rebuild the network alone and hide the incident from your bosses, you'll delay the inevitable. At some point, they'll hear about it on the news and be furious that you denied them the opportunity to save their company. #? What do I do? The first thing you should do is inform your bosses about the incident. You'll have to pay us to recover your files. Only we have the unique token. Don't try to use any third-party applications to recover your files, they may be damaged irretrievably. You need to contact us You can send us 1-3 modified files and we will prove that we can recover them. We will provide proof of the stolen data. RecoverySupport@onionmail.org To contact us, install qTOX messenger. hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe Add our contact and we can make a deal. Tox ID: CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF |
|
IMPORTANT What happened? Your network has been compromised and attacked by hackers. All files have been modified. Sensitive information has been stolen and handed over to our experts for analysis. What do I do? The first thing you should do is inform your bosses about the incident. You'll have to pay us to recover your files. Only we have the unique token. Don't try to use any third-party applications to recover your files they may be damaged irretrievably. To contact us read the INCIDENT REPORT file carefully |
