RustyStealer i Ymir ransomware partnerstvo

Dva zlonamjerna entiteta su se nedavno pojavila kao zastrašujući dvojac – ozloglašeni zlonamjerni softver za krađu informacija RustyStealer i noviYmir ransomware. Novootkrivena varijanta Ymir ransomware zlonamjernog softvera i zlonamjerni softver za krađu akreditiva, RustyStealer, sarađuju na pokretanju razornih napada. Ovo partnerstvo označava značajan pomak ka saradnji u oblasti sajber kriminala, što su dokumentovali sigurnosni istraživači kompanije Kaspersky.

Ymir Ransomware & RustyStealer

RustyStealer i Ymir ransomware partnerstvo; Source: Bing Image Creator

RUSTYSTEALER

Prvi put dokumentovan 2021. godine, RustyStealer se proslavio kao zlonamjerni softver za krađu akreditiva koji omogućava neovlašteni pristup prikupljanjem podataka za prijavu sa kompromitovanih sistema. Međutim, njegova najnovija aktivnost ukazuje na zabrinjavajući promjenu taktike – djelovanje kao saučesnik Ymir ransomware zlonamjernog softvera.

Zlonamjerni akteri prvobitno pristupaju sistemima sa daljine, a po dobijanju pristupa instaliraju dodatne alate kao što su Process Hacker i Advanced IP Scanner da bi održali postojanost unutar kompromitovanog sistema. Sljedeća faza uključuje slabljenje bezbjednosnih mjera onemogućavanjem antivirusnog softvera ili zaštitnih zidova, obezbeđujući da se njihov zlonamjerni teret (eng. payload) može nesmetano izvršavati. Kada se ove pripreme završe, napadači koriste Ymir ransomware kao svoj konačni teret.

Zanimljivo, otkriveno je da se RustyStealer infiltrira u ciljane sisteme dva dana pre postavljanja Ymir ransomware zlonamjernog softvera. Kompromitujući naloge sa visokim privilegijama, zlonamjerni akteri su iskoristili ovaj početni pristup za izvršavanje bočnog kretanja kroz mreže, što je na kraju otvorilo put Ymir ransomware zlonamjernom softveru.

Alati koje zlonamjerni akteri koriste za bočno kretanju uključuju Windows Remote Management (WnRM) i PowerShell. Ovi alati im omogućavaju da se kreću kroz mrežu neotkriveni, povećavajući potencijalnu štetu koju mogu da izazovu. Sposobnosti prikupljanja podataka RustyStealer zlonamjernog softvera su opsežne, ciljajući na različite tipove osjetljivih informacija kao što su akreditivi za prijavu za klijente elektronske pošte, internet pregledače, FTP servere i sesije protokola udaljene radne površine (eng. remote desktop protocol – RDP).

 

YMIR RANSOMWARE

Dva dana nakon početnog upada RustyStealer zlonamjernog softvera, zlonamjerni akteri su primijenili Ymir ransomware zlonamjerni softver izvršavanjem daljinskih veza i otpremanjem korisnog tereta. Otkriveni su tragovi ovog izvršenja, posebno oni povezani sa PowerShell skriptom za samouništenje.

Ovaj ransomware zlonamjerni softver se pojavio u julu 2024. godine. On funkcioniše u potpunosti u memoriji, upotrebljavajući PowerShell komande za izvršavanje zadataka unutar memorije koristeći funkcije kao što su malloc, memmove i memcmp. Izvršavajući se u potpunosti u memoriji, ransomware zlonamjerni softver izbjegava pisanje bilo kakvog trajnog kôda na disk i otežava bezbjednosnim rješenjima da otkriju ili spriječe njegove aktivnosti. Ovaj metod takođe omogućava zlonamjernim akterima da zaobiđu tradicionalne softvere za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji se oslanjaju na analizu aktivnosti datoteka na disku, što ga čini izuzetno ozbiljnim protivnikom za organizacije koje žele da zaštite svoje podatke.

Nakon infiltracije u kompromitovani sistem, Ymir ransomware zlonamjerni softver vrši opsežno izviđanje prikupljanjem informacija kao što su datum i vreme sistema, identifikujući pokrenute procese i provjeru vremena rada sistema. Ovo pomaže da se utvrdi da li radi u izolovanom okruženju (eng. sandbox) ili na uređaju stvarne žrtve. Takođe preskače ekstenzije datoteka na osnovu unaprijed definisane liste tokom procesa šifrovanja, što pomaže u smanjenju oštećenja kritičnih funkcija sistema kako bi se izbjegao da sistem ne može da se pokrene.

Ransomware koristi napredni i brzi algoritam za šifrovanje, šifru toka ChaCha20, za šifrovanje datoteka na sistemu žrtve, dodajući nasumične ekstenzije. Kada se završe sve neophodne pripreme, on nastavlja sa šifrovanjem ciljanih podataka, efektivno zaključavajući korisnike iz njihovih sopstvenih sistema sve dok se ne plate otkupnina za ključeve za dešifrovanje ili ne primjene alternativni metod oporavka.

Zanimljivo je da je dio napomene o otkupnini konfigurisan u polju ključa legalnoticecaption sistemskih registara, pozivajući korisnike da potraže dodatne detalje u napomeni o otkupnini pod nazivom “INCIDENT_REPORT.pdf”. Obavještenje o otkupnini prikazano je i prije nego što se korisnik prijavi uz tvrdnju da je došlo do krađe podataka, što sugeriše da su alati korišteni prije infekcije bili odgovorni za ovu aktivnost. Ova taktika je osmišljena da žrtvama unese strah i hitnost, ohrabrujući ih da bez odlaganja plate traženu otkupninu. Međutim, bitno je zapamtiti da plaćanje otkupnine ne garantuje dešifrovanje ili oporavak podataka.

Jedinstvena karakteristika Ymir ransomware zlonamjernog softvera je i njegova upotreba PowerShell komandi za skeniranje sistema u potrazi za izvršnom datotekom i njenim brisanjem kako bi se izbjegla identifikacija i analiza. Ovo stvara značajan izazov za sigurnosne istraživače da prouče ponašanje zlonamjernog softvera i razviju efikasne protivmjere protiv budućih napada.

Još jedan zabrinjavajući aspekt Ymir ransomware zlonamjernog softvera je njegova potencijalna upotreba RustyStealer kradljivaca informacija kao posrednika u pristupu, što bi ovu novu ransomware porodicu moglo brzo učiniti široko rasprostranjenom prijetnjom. Sigurnosni istraživači upozoravaju da su zlonamjerni akteri možda već počeli da prikupljaju podatke o žrtvama, ali još nisu uspostavili lokaciju za curenje podataka u svrhu iznude.

Zanimljivo je Ymir ransomware kôd sadrži komentar napisan na afričkom jeziku Lingala. Ovaj jezik se se prvenstveno govori u Demokratskoj Republici Kongo, Republici Kongo, Angoli i Centralnoafričkoj Republici. To je jedan od nacionalnih jezika Demokratske Republice Kongo i služi kao lingua franca (jezik koji uvelike prelazi granice zemlje u kojoj se govori) u većem djelu regiona. Ovo bi mogao biti pokušaj da se zamagli ransomware zlonamjerni softver i da sigurnosnim istraživačima oteža razumijevanje njegovog unutrašnjeg funkcionisanja, sugerišući moguće veze sa afričkim grupama sajber kriminala. Takođe, Ove informacije mogu biti dragocjene za agencije za sprovođenje zakona koje istražuju ove operacije sajber kriminala, jer pružaju potencijalne tragove za pronalaženje počinilaca.

 

ZAKLJUČAK

Veza između RustyStealer softvera za krađu informacija i Ymir ransomware zlonamjernog softvera mogla da učini ovog posljednjeg prijetnjom koja se brzo širi, jer kapitalizuje na postojećim mrežnim uporištima koje je uspostavio njegov “kolega” za krađu informacija. Ovo partnerstvo pokazuje novi trend u operacijama sajber kriminala, gdje različiti entiteti zlonamjernog softvera sarađuju kako bi efikasnije postigli svoje ciljeve.

Da bi se smanjila šteta od ovakvih incidenata i efikasno uradio oporavak, organizacijama se savjetuje da se fokusiraju na odbrambene mjere. Informisanjem o rastućim prijetnjama kao što su RustyStealer i Ymir ransomware, kao i primjenom jakih zaštitnih mjera, organizacije mogu bolje da se odbrane od potencijalnih napada. Ovo uključuje praćenje mrežne aktivnosti u potrazi za znakovima bočnog kretanja pomoću alata kao što su WnRM ili PowerShell, obezbjeđivanje naloga sa visokim privilegijama sa autentifikacijom u više koraka i redovno ažuriranje antivirusnog softvera radi zaštite od poznatih prijetnji.

Tekući rat protiv sajber kriminala zahteva proaktivan pristup kako bi se ostalo informisanim o evoluirajućim taktikama koje koriste zlonamjerni akteri poput onih koji stoje iza RustyStealer softvera za krađu informacija i Ymir ransomware zlonamjernog softvera. Razumijevanjem njihovih karakteristika i metoda, organizacije mogu bolje da se brane i pripreme za potencijalne napade u budućnosti. Od suštinskog je značaja ostati na oprezu, primjenjivati snažne bezbjednosne mjere i sarađivati sa stručnjacima za sajber bezbjednost kako bi se ostalo ispred ovih prijetnji koje se razvijaju.

 

ZAŠTITA

Kako bi se organizacije zaštitile od RustyStealer softvera za krađu informacija i Ymir ransomware zlonamjernog softvera, ključno je primijeniti sveobuhvatnu bezbjednosnu strategiju koja obuhvata različite slojeve odbrane. Evo nekoliko preporuka koje će pomoći u efikasnom ojačanju odbrane sistema:

  1. Obezbijediti redovne sesije obuke za zaposlene o identifikaciji phishing napada, taktikama društvenog inženjeringa i drugim potencijalnim prijetnjama. Podstaknuti zaposlene da odmah prijave sve sumnjive aktivnosti IT odjeljenju ili bezbjednosnom timu. Ovo će pomoći da se smanji rizik da se RustyStealer infiltrira u mrežu nepažljivim klikom ili kompromitovanim nalogom,
  2. Sprovoditi smjernice za jake lozinke koje zahtevaju od zaposlenih da koriste složene, jedinstvene lozinke za svaki nalog i da ih redovno mijenjaju. Pored toga, razmisliti o primijeni autentifikacije u više koraka (eng. multi-factor authentication – MFA) gdje god je to moguće da bi se dodao još jedan sloj bezbjednosti. Ovo će RustyStealer softveru za krađu informacija ili drugom zlonamjernom softveru otežati efikasno prikupljanje akreditiva za prijavu,
  3. Uvjeriti se da je sav softver i svi sistemi ažurirani sa najnovijim ispravkama i ažuriranjima, jer to može pomoći u zaštiti od poznatih ranjivosti koje može koristi RustyStealer ili Ymir ransomware. Redovno skenirati mrežu u potrazi za zastarelim ili neažuriranim softverom i u skladu sa tim davati prioritet njihovim ažuriranjima,
  4. Primijeniti segmentaciju mreže da bi se ograničilo širenje zlonamjernog softvera kao što je RustyStealer unutar infrastrukture organizacije. Izolacijom kritičnih sistema može se smanjiti potencijalna štetu uzrokovanu uspješnim napadom na jedan sistem koji se širi na druge,
  5. Primjenjivati softvere za detekciju i odgovor na prijetnje (EDR) koji nadgledaju krajnje tačke za sumnjive aktivnosti, kao što su neobičan mrežni saobraćaj ili obrasci pristupa datotekama. Ovo će pomoći da se rano otkriju infekcije RustyStealer softverom za krađu informacija i omogućiće brzu reakciju prije nego što zlonamjerni softver može da ugrozi više sistema ili otvori put za primjenu Ymir ransomware zlonamjernog softvera,
  6. Primjenjivati robusnu strategiju pravljenja rezervnih kopija koja obezbjeđuje da se kritični podaci redovno skladište u rezervne kopije i bezbjedno čuvaju van mreže. U slučaju infekcije sa RustyStealer softverom za krađu informacija ili Ymir ransomware zlonamjernim softverom, skorašnje rezervne kopije će omogućiti brz oporavak sistema bez plaćanja otkupnine koju traže zlonamjerni akteri,
  7. Primjenjivati alate za praćenje mreže koji mogu da otkriju neobične obrasce saobraćaja, kao što je bočno kretanje kroz mreže pomoću alata kao što su Windows Remote Management (WnRM) i PowerShell. Ovo će pomoći da se rano identifikuju potencijalne infekcije RustyStealer softverom za krađu informacija i omogućiti brz odgovor prije nego što zlonamjerni akteri budu imali priliku da primjene Ymir ransomware,
  8. Razvijati plan odgovora na sajber prijetnju koji opisuje jasne korake za reagovanje na ugrožavanje bezbjednosti ili infekciju zlonamjernim softverom kao što je RustyStealer ili Ymir ransomware. Ovo bi trebalo da uključuje procedure za izolovanje pogođenih sistema, prikupljanje dokaza i obavještavanje nadležnih organa ako je potrebno.

Primjenom ovih preporuka organizacije mogu značajno smanjiti rizik da postanu žrtva zlonamjernog softvera RustyStealer ili Ymir ransomware napada. Potrebno je biti oprezan, biti informisan i uvijek biti spreman za potencijalne prijetnje na horizontu.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.