卡巴斯基发现卡新型隐身勒索软件

Ymir勒索软件结合了独特的技术特性和策略，从而提高了其有效性

非常规的内存操作技术以增强隐蔽性。攻击者巧妙地使用了非传统的内存管理功能——malloc、memmove 和 memcmp——直接在内存中执行恶意代码。这种方法偏离了常见的勒索软件的典型顺序执行流程，增强了其隐蔽能力。此外，Ymir 还很灵活：通过使用 --path 命令，攻击者可以指定勒索软件搜索文件的目录。如果文件在白名单上，勒索软件将跳过它，并保持其未加密状态。这一功能使攻击者能够更精确地控制哪些文件被加密，哪些不被加密。

使用数据窃取恶意软件。在卡巴斯基专家观察到的针对哥伦比亚一家组织的攻击中，威胁行为者使用了RustyStealer这种窃取信息的恶意软件，从员工那里获取企业凭证。这些凭证随后被用于访问该组织的系统，并维持足够长时间的控制，以便部署勒索软件。这种类型的攻击被称为初始访问中介，即攻击者潜入系统并保持访问权限。通常情况下，初始访问中介会将他们获得的访问权限在暗网上出售给其他网络犯罪分子，但是在本案例中，他们似乎自己进行了攻击，部署了勒索软件。“如果这些中介同部署勒索软件的是同一批人，这可能预示着一种新趋势，即在不依赖传统的勒索软件即服务（RaaS）组织的情况下，创造额外的劫持选项，”卡巴斯基全球应急响应团队事件响应专家Cristian Souza解释说。

高级加密算法。该勒索软件采用 ChaCha20，这是一种现代流加密算法，以其速度和安全性而闻名，性能甚至优于高级加密标准 (AES)。

尽管此次攻击背后的威胁行为者尚未公开任何被盗数据或提出进一步要求，但研究人员正在密切监控其最新活动。“我们尚未观察到地下市场中出现任何新的勒索软件组织。通常，攻击者会使用暗网论坛或门户网站泄露信息，以此向受害者施压，迫使其支付赎金，但 Ymir 并非如此。鉴于此，勒索软件的某后黑手是哪个组织仍是一个悬而未决的问题，我们怀疑这可能是一场新的行动，”Cristian Souza解释说。

在为这一新威胁命名时，卡巴斯基专家考虑到了土星的一颗名为Ymir的卫星。它是一颗“不规则”卫星，其运行方向与行星的自转方向相反——这一特性与新勒索软件中使用的非传统内存管理功能组合颇为相似。

有关该威胁的详细分析请参见Securelist。

卡巴斯基产品现已能检测到这种勒索软件，将其识别为Trojan-Ransom.Win64.Ymir.gen。卡巴斯基专家建议采取以下措施来缓解勒索软件攻击风险：

• 执行频繁的备份计划并定期进行测试。
• 为员工提供定期的网络安全培训，以提高他们对数据窃取恶意软件等网络威胁的认识，并向他们教授有效的风险缓解策略。
• 如果你成为勒索软件的受害者，且目前尚无已知的解密工具，请保存好您重要的被加密文件。随着持续的威胁研究工作或当局设法控制威胁背后的行为者，可能会出现解密解决方案。
• 建议不要支付赎金。支付赎金会鼓励恶意软件创建者继续他们的活动，而且支付赎金并不能保证文件得到安全和可靠的恢复。
• 为了保护公司免遭各类威胁，请使用卡巴斯基Next产品线中的解决方案。这些解决方案提供实时保护、威胁可见性、调查以及适用于任何规模和行业组织的EDR和XDR响应能力。根据您当前的需求和可用资源，您可以选择最相关的产品层级，并随着网络安全需求的发展灵活地迁移到另一个层级。通过禁用未使用的服务和端口来减少攻击面。
• 采用卡巴斯基提供的托管安全服务，如入侵评估、托管检测与响应（MDR）和/或事件响应，涵盖从威胁识别到持续保护和修复的整个事件管理周期。即使公司缺乏安全人员，这些服务也能帮助抵御隐蔽的网络攻击、调查事件并获得额外的专业知识。

卡巴斯基安全服务

每年为全球财富500强组织交付数百个信息安全项目，包括：事件响应、托管检测、SOC咨询、红队测试、渗透测试、应用程序安全、数字风险保护。全球应急响应团队是卡巴斯基安全服务的一部分，每年处理数百起事件，构建清晰的攻击图景并分享响应建议。

 
关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.