Ymir」と呼ばれる新たなランサムウェア・ファミリーが野生の状態で発見され、以前にRustyStealerインフォステア・マルウェアによって侵害されたシステムを暗号化している。
RustyStealerは2021年に初めて記録された既知のマルウェアファミリーだが、ランサムウェアと一緒に登場したことは、サイバー犯罪のオペレーションが連携する最近の傾向の別の例を示している。
インシデント対応中に Ymir を発見したカスペルスキーの研究者によると、この新種のランサムウェアは、メモリ内で実行されること、コードコメントにアフリカのリンガラ語が使用されていること、PDF ファイルをランサムノートとして使用すること、拡張子の設定オプションがあることなどが特徴です。
カスペルスキーは、Ymir がデータの流出を容易にする外部サーバに接続する証拠を発見しましたが、このランサムウェアにはそのような機能はありません。
は、このランサムウェアが2024年7月に活動を開始し、世界中の企業を攻撃し始めたことを確認しています。
YmirはRustyStealerに続いて感染
カスペルスキーの分析によると、Rusty stealerはYmirが展開される2日前に、標的とされたインフラ内の複数のシステムに侵入していたことが判明した。
RustyStealerは、基本的にクレデンシャルハーベスティングツールであり、攻撃者は、横方向の移動に有用な正規の高特権アカウントを侵害することで、システムへの不正アクセスを可能にしていました。
Windowsリモート管理(WinRM)やリモートコントロール用のPowerShellのようなツールを使って、ネットワーク全体の横方向の移動が促進されました。同時に、攻撃者はProcess HackerやAdvanced IP Scannerなどのツールもインストールしました。
次に、SystemBC マルウェアに関連するスクリプトを実行し、おそらくデータ流出やコマンド実行のために、攻撃者のインフラとの秘密のチャネルを確立しました。
足場を固め、おそらくRustyStealerを使用してデータも盗んだ後、最終的なペイロードとしてYmirランサムウェアが投下されました。
Ymirは、検知を回避するために「malloc」、「memove」、「memcmp」などの関数を活用し、完全にメモリから動作する新種のWindowsランサムウェアです。
起動すると、システムの日付と時刻を取得し、実行中のプロセスを特定し、サンドボックス上で実行されているかどうかを判断するのに役立つシステムの稼働時間をチェックすることによって、システムの偵察を行う。
次に、ハードコードされたリストに基づいてファイル拡張子をスキップし、システムの起動不能を回避する。
Ymirは、高度で高速な暗号化アルゴリズムであるChaCha20ストリーム暗号を使用して、被害者のシステム上のファイルを暗号化する。
暗号化されたファイルには「.6C5oy2dVr6」のようなランダムな拡張子が付加され、暗号化されたファイルを含むすべてのディレクトリの Ymir バイナリの「.data」セクションから「INCIDENT_REPORT.pdf」というランサムノートが生成されます。
また、このランサムウェアはWindowsレジストリの「legalnoticecaption」値を変更し、ユーザーが暗号化されたデバイスにログインする前に恐喝要求を表示します。
このランサムノートは、被害者のシステムからデータが盗まれたと主張しており、カスペルスキーは、これはYmirの前に展開されたツールを使用して発生した可能性があると仮定しています。
最後に、Ymir はシステムをスキャンして PowerShell の存在を確認し、それを利用して実行ファイルを削除することで識別と分析を回避します。
Ymirはまだデータ流出サイトを確立していないが、脅威行為者が被害者データの蓄積を始めたばかりである可能性がある。
カスペルスキーは、Ymir が情報窃取者をアクセス・ブローカーとして利用することで、この新しいランサムウェア・ファミリーが急速に広範な脅威となる可能性があると警告しています。
Comments