«Лаборатория Касперского» заявила о выявлении программы-вымогателя с продвинутыми функциями сокрытия

Эксперты по кибербезопасности в «Лаборатории Касперского» рассказали о выявлении нового вымогательского программного обеспечения, которое в ходе своей работы использует передовые механизмы обхода обнаружения средствами защиты и шифрования файлов в атакованной компании. Вредонос получил название Ymir.

Специалисты по кибербезопасности «Лаборатории Касперского» обнаружили это вымогательское ПО в ходе анализа кибератаки на одну из крупных колумбийских организаций, которая осуществлялась хакерами в несколько стадий. На первом этапе киберпреступники использовали инфостилер RustyStealer для компрометации корпоративных учётных данных сотрудников, благодаря чему злоумышленники смогли получить доступ к внутренней IT-инфраструктуре, а затем обеспечить контроль над сетью атакованной организации в течение длительного времени, что позволило им внедрить вымогательское программное обеспечение.

В ходе своей атаки, как заявили в «Лаборатории Касперского», хакеры применили необычную комбинацию функций malloc, memmove и memcmp для выполнения вредоносного кода прямо в памяти. Подобный подход сильно отличается от стандартного последовательного потока выполнения и предоставляет злоумышленникам возможность максимально эффективно избегать обнаружения своего присутствия в скомпрометированной IT-инфраструктуре.

С помощью программы-вымогателя Ymir злоумышленники могут избирательно шифровать данные, что даёт им максимальный контроль над ситуацией. За счёт применения команды path хакеры могут указывать каталог, где шифровальщик должен искать конфиденциальную информацию.

В ходе атаки вымогатель Ymir применяет ChaCha20 — современный потоковый шифр, который характеризуется повышенной скоростью работы и безопасностью использования. По своим основным параметрам он значительно превосходит стандартный алгоритм шифрования AES.