Xuất hiện loại mã độc tống tiền mới Ymir Ransomware
Các nhà nghiên cứu bảo mật thuộc Kaspersky gần đây đã cảnh báo về sự xuất hiện của một loại mã độc tống tiền mới được tìm thấy trong các chiến dịch tấn công vào Colombia với cái tên Ymir ransomware.
Được tìm thấy sau khi tin tặc xâm nhập vào hệ thống thông qua các lệnh điều khiển từ xa của PowerShell, mã độc cài đặt các công cụ độc hại cho mục đích khai thác như Process Hacker hay Advanced IP Scanner. Mặt khác, mã độc trên sở hữu khả năng ẩn náu và trốn tránh trước sự truy quét của các công cụ bảo mật cùng khả năng gây suy yếu lớp phòng thủ trên hệ thống với sự hỗ trợ của các lệnh gọi hàm như malloc, memmove và memcmp.
Phân tích sự cố bảo mật xảy ra tại Colombia trong thời gian vừa rồi, các nhà nghiên cứu bảo mật phát hiện mã độc này sử dụng ChaCha20 để mã hóa tệp tin và thêm chuỗi “.6C5oy2dVr6” vào cuối các tệp tin bị mã hóa. Ngoài ra tin tặc đã sử dụng RustyStealer - một tệp thực thi do Rust biên dịch, được ngụy trang thành tệp tin AudioDriver2.0.exe, xâm nhập vào hệ thống từ các thông tin credential đánh cắp được nhằm giả dạng hành vi truy cập hợp pháp của người dùng.
| Tên tệp | AudioDriver2.0.exe |
| Kích thước | 3334144 byte (3,2 MB) |
| MD5 | 5ee1befc69d120976a60a97d3254e9eb |
| SHA-1 | e6c4d3e360a705e272ae0b505e58e3d928fb1387 |
Mẫu trên được Kaspersky đặt tên là Trojan.Win32.Sheller.ey, có chức năng thu thập thông tin các tệp tin trong hệ thống và gửi tới máy chủ C2 có IP 74.50.84[.]181 được hãng phát hiện từ tháng 08/2024. Các nhà nghiên cứu bảo mật cũng đưa ra các ý kiến quan ngại, cho rằng việc Ymir hay nhiều các loại ransomware mới khác ngày càng xuất hiện với mức độ dày đặc cho thấy tình trạng báo động đối với không gian mạng trong thời điểm hiện nay.
