新的 Ymir 勒索软件与 RustyStealer 合作发起攻击

主要观点总结

新型勒索软件家族“Ymir”被发现，它针对之前已受RustyStealer恶意软件感染的系统进行攻击并加密。Ymir具有多种逃避检测的手段，如完全从内存运行、使用非洲林加拉语注释、使用PDF文件作为勒索信息等。其加密文件并使用ChaCha20流密码，修改Windows注册表以显示勒索要求。Ymir还关注信息窃取，可能很快成为广泛威胁。

关键观点总结

关键观点1: Ymir是一种新型勒索软件，针对RustyStealer感染过的系统。

Ymir对受感染系统进行加密，并具备多种逃避检测的手段。

关键观点2: Ymir使用ChaCha20流密码进行文件加密。

加密文件会附加随机扩展名，并生成名为“INCIDENT_REPORT.pdf”的勒索字条。

关键观点3: Ymir修改Windows注册表以显示勒索要求。

受害者数据可能被窃取，但尚未建立数据泄露站点。

关键观点4: Ymir可能使用信息窃取程序作为访问代理，很快成为广泛威胁。

卡巴斯基认为Ymir具有潜力，可能成为广泛的威胁，因为它使用信息窃取程序。

文章预览

一种名为“Ymir”的新勒索软件家族在野外被发现，它对之前受到RustyStealer infostealer 恶意软件危害的系统进行加密。  RustyStealer 是一个知名恶意软件家族，首次记录于 2021 年。据在事件响应期间发现 Ymir 的卡巴斯基研究人员称，这种新型勒索软件以其内存中执行、在代码注释中使用非洲林加拉语、使用 PDF 文件作为勒索信息及其扩展配置选项而闻名。 尽管卡巴斯基发现证据表明 Ymir 连接到可能促进数据泄露的外部服务器，但勒索软件并不具备这种功能。 目前已确认勒索软件操作于 2024 年 7 月启动，当时它便开始攻击世界各地的公司。 Ymir 关注 RustyStealer 感染 卡巴斯基的分析显示，Rusty 窃取者在 Ymir 部署前两天已渗透到目标基础设施内的多个系统。RustyStealer 本质上是一种凭证收集工具，它使攻击者能够通过破坏可用于横向移动的合法高权限帐户来 ………………………………