Обнаружена программа-вымогатель с продвинутыми методами сокрытия данных
Глобальная команда реагирования на киберинциденты «Лаборатории Касперского» (Kaspersky GERT) обнаружила новую программу-вымогатель, использующую продвинутые механизмы обхода обнаружения и шифрования данных организации-жертвы. Зловред получил название Ymir. Так называется нерегулярный спутник Сатурна. Он движется по орбите в направлении, противоположном вращению планеты. Название отражает нестандартное сочетание функций управления памятью, используемых зловредом.
Как обнаружили Ymir. Эксперты «Лаборатории Касперского» обнаружили Ymir, анализируя атаку на организацию в Колумбии, которая происходила в несколько этапов. Сначала злоумышленники использовали стилер RustyStealer, чтобы похитить корпоративные учётные данные сотрудников. Это позволило им получить доступ к системе, а затем сохранять контроль над ней достаточно долго, чтобы успеть внедрить программу-вымогатель.
Такое поведение злоумышленников, когда они проникают в систему и остаются в ней какое-то время, характерно для так называемых брокеров первоначального доступа. Обычно затем они продают доступ к атакованной системе в даркнете другим злоумышленникам. Однако в этом случае атакующие, вероятно, делать этого не стали и запустили программу-вымогатель.
Злоумышленники использовали нестандартную комбинацию функций malloc, memmove и memcmp, чтобы выполнить вредоносный код непосредственно в памяти. Такой подход отличается от типичного последовательного потока выполнения, который обычно используется в распространённых шифровальщиках, и даёт возможность эффективнее избегать обнаружения.
Помимо этого, Ymir позволяет атакующим избирательно шифровать файлы, что даёт им больше контроля над ситуацией. Используя команду path, злоумышленники могут указать каталог, в котором программа-вымогатель должна искать данные. Если файл находится в «белом списке», зловред пропустит его и не будет шифровать.
Продвинутый алгоритм шифрования. Программа-вымогатель использует ChaCha20 — современный потоковый шифр, отличающийся высокой скоростью и безопасностью. По характеристикам он превосходит алгоритм шифрования Advanced Encryption Standard (AES).
Хотя злоумышленники не сообщали публично о краже данных и не выдвигали никаких требований, эксперты будут внимательно следить за любой их новой активностью.
Решения компании детектируют новую программу как Trojan-Ransom.Win64.Ymir.gen. Подробности — в обзоре на сайте Securelist.
Чтобы снизить риски, эксперты рекомендуют:
• регулярно делать резервное копирование данных и проводить регулярные тестирования — чтобы убедиться, что в случае необходимости к ним можно будет быстро получить доступ;
• проводить тренинги для сотрудников, чтобы повышать информированность о киберугрозах, и обучать кибергигиене;
• если данные на устройстве были зашифрованы и для него пока нет дешифратора, нужно сохранить важные зашифрованные файлы. Позднее, в ходе исследования угрозы, может быть создан ключ для расшифровки;
• не платить выкуп, поскольку это поощряет создателей вредоносного ПО продолжать атаки. При этом нет гарантий восстановления данных;
• использовать надёжные защитные решения, эффективность которых регулярно подтверждается независимыми тестами;
• использовать комплексную защиту компаний от киберугроз. Эта линейка продуктов обеспечивает всеобъемлющую видимость угроз и защиту в режиме реального времени. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса;
• использовать решения для управляемой защиты, охватывающие весь цикл реагирования на инциденты — от обнаружения угроз до их устранения. Они помогут противостоять скрытым кибератакам, анализировать инциденты и получать поддержку экспертов.