В недавнем инциденте было обнаружено новое семейство вымогательских программ, которое называется "Ymir". Эти программы используются злоумышленниками и обладают особенностями, которые позволяют им избегать обнаружения. Они выполняют множество операций в памяти с помощью функций malloc, memmove и memcmp.
Ymir Ransomware
В одном из случаев злоумышленник получил доступ к системе с помощью команд удаленного управления PowerShell. Затем он установил несколько вредоносных инструментов, таких как Process Hacker и Advanced IP Scanner, чтобы снизить уровень безопасности системы. После этого злоумышленник запустил вымогательскую программу Ymir, чтобы достичь своей цели.
При статическом анализе были обнаружены некоторые интересные особенности. Бинарный файл имеет вызовы API-функций, таких как malloc, memmove и memcmp, что указывает на возможность выделения памяти для внедрения вредоносного кода. Он также импортирует подозрительные функции, включая CryptAcquireContextA, CryptReleaseContext, CryptGenRandom, TerminateProcess и WinExec.
В анализе было обнаружено несколько полезных индикаторов, включая имя файла выкупной записки, содержимое PDF-файла, команды PowerShell и хэши шифрования. Вредоносная программа была скомпилирована с помощью компилятора MinGW. Были обнаружены также другие строки, связанные с удалением PowerShell и загрузкой программного обеспечения для связи со злоумышленниками.
Детальный анализ показал, что вредоносная программа собирает системную информацию с помощью вызовов API, таких как GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount и QueryPerformanceCounter. Она также имеет некоторые ограничения на свое выполнение, которые могут быть активированы с определенными параметрами, такими как --path.
В целом, Ymir представляет новое и серьезное угрозное семейство вымогательских программ, которое может использоваться злоумышленниками для атак на системы. Чтобы бороться с этой угрозой, необходимо принять меры по повышению безопасности системы, включая обновление программного обеспечения, установку антивирусных программ и обучение сотрудников о методах защиты от вымогательских программ.
Indicators of Compromise
IPv4
- 85.239.61.60
IPv4 Port Combinations
- 5.255.117.134:80
- 74.50.84.181:443
- 94.158.244.69:443
MD5
- 39df773139f505657d11749804953be5
- 5384d704fadf229d08eab696404cbba6
- 5ee1befc69d120976a60a97d3254e9eb
SHA1
- 3648359ebae8ce7cacae1e631103659f5a8c630e
- f954d1b1d13a5e4f62f108c9965707a2aa2a3c89
- fe6de75d6042de714c28c0a3c0816b37e0fa4bb3
SHA256
- 51ffc0b7358b7611492ef458fdf9b97f121e49e70f86a6b53b93ed923b707a03
- 8287d54c83db03b8adcdf1409f5d1c9abb1693ac8d000b5ae75b3a296cb3061c
- b087e1309f3eab6302d7503079af1ad6af06d70a932f7a6ae1421b942048e28a
