کسپرسکی در یک پرونده واکنش به حادثه در کلمبیا، خانواده باجافزار جدیدی به نام Ymir را شناسایی کرد که اندکی پس از در معرض خطر قرار گرفتن سیستمها توسط سارق اطلاعات RustyStealer در یک حمله به کار گرفته شد.
نوع جدید دارای ویژگیهای جالبی برای فرار از تشخیص از جمله مجموعه وسیعی از اجرای کد مخرب انجام شده در حافظه با کمک malloc، memmove و تابع memcmp است. استفاده از زبان آفریقایی Lingala در کامنت کد، استفاده از فایلهای PDF به عنوان یادداشتهای باج و گزینههای پیکربندی پسوند آن و نصب ابزارهایی مانند Advanced IP Scanner و Process Hacker نیز قابل توجه است. در این مورد مهاجم توانست از طریق دستورات کنترل از راه دور پاورشل به سیستم دسترسی یابد، سپس اقدام به نصب ابزارهای متعددی مانند Process Hacker و Advanced IP Scanner برای اعمال مخرب کند.
در نهایت پس از کاهش امنیت سیستم، مهاجم Ymir را برای دستیابی به اهداف خود اجرا میکند. در این حمله همچنین از دو اسکریپت که بخشی از بدافزار SystemBC هستند، استفاده میشود که امکان راهاندازی یک کانال مخفی را در یک آدرس IP راه دور برای استخراج فایلهایی با حجم بیش از 40 کیلوبایت که از تاریخ مشخصی ایجاد میشوند را فراهم میسازد. باجافزار دودویی نیز از الگوریتم stream cipher ChaCha20 برای رمزگذاری فایلها استفاده میکند و پسوند «.6C5oy2dVr6» را به هر فایل رمزگذاری شده اضافه میکند.
https://securelist.com/new-ymir-ransomware-found-in-colombia/114493/
