Các nhà nghiên cứu từ Kaspersky đã phát hiện ra sự hiện diện của một loại phần mềm tống tiền mới. Được gọi là Ymir, loại virus này là một phần của "một họ ransomware mới và đáng chú ý được những kẻ tấn công tích cực sử dụng.".
Để đưa ransomware vào hệ thống máy tính của mục tiêu, trước tiên, tin tặc sử dụng một phần mềm độc hại có tên là RustyStealer. Phần mềm độc hại này được thiết kế để đánh cắp thông tin nhạy cảm từ các thiết bị bị nhiễm, chẳng hạn như thông tin đăng nhập, thông tin cá nhân và thông tin tài chính. Đây là một phần của họ phần mềm đánh cắp thông tin, ngày càng lan rộng trong thế giới tội phạm.
Với thông tin thu được từ vi-rút, tin tặc có thể xâm phạm máy tính từ xa và triển khai các lệnh mà người dùng không hề hay biết. Vì vậy, họ có thể tải xuống và cài đặt phần mềm tống tiền Ymir. Broadcom đưa tin, trích dẫn những phát hiện của Kaspersky, rằng khi đã xâm nhập vào hệ thống, phần mềm tống tiền "có thể vượt qua nhiều biện pháp bảo vệ an ninh được thiết kế để chống lại các loại phần mềm tống tiền phổ biến".
Trong các cuộc tấn công được các chuyên gia của công ty Nga ghi nhận, tình trạng lây nhiễm xảy ra trong vòng hai ngày sau cuộc tấn công của RustyStealer. Trước khi khởi chạy Ymir, tin tặc cài đặt hai công cụ trên máy, cụ thể là Process Hacker và Advanced IP Scanner, được lập trình để quản lý quy trình và quét mạng cục bộ (LAN).
Chỉ sau khi cài đặt các công cụ này, ransomware mới xâm nhập vào máy tính và mã hóa dữ liệu. Nó dựa trên ChaCha20, một thuật toán mã hóa được thiết kế để mã hóa dữ liệu nhanh nhất có thể. Kaspersky cho biết một ghi chú được để lại trong tệp PDF trên máy tính. Những tên tội phạm mạng khuyến nghị công ty liên hệ với chúng qua dịch vụ nhắn tin chuyên dụng để sắp xếp và thương lượng khoản tiền chuộc:
Như Broadcom giải thích trên trang web của mình, ransomware này đã tham gia vào một cuộc tấn công gần đây nhằm vào “một tổ chức ở Colombia.” Theo Kaspersky, Ymir là “mối đe dọa đối với mọi loại hình doanh nghiệp.”.
Cho đến nay, chưa có băng nhóm nào được biết đến nhận trách nhiệm tạo ra ransomware này. Tương tự như vậy, tội phạm mạng cũng chưa nhận trách nhiệm về một cuộc tấn công vào trang web chuyên đăng tải các tội ác của chúng. Kaspersky giải thích rằng thông thường, "kẻ tấn công sử dụng diễn đàn hoặc cổng thông tin ma để rò rỉ thông tin nhằm gây sức ép buộc nạn nhân phải trả tiền chuộc, nhưng Ymir thì không như vậy".
Loại ransomware mới này xuất hiện trong bối cảnh các hoạt động tống tiền có xu hướng giảm, trong khi gây ra ngày càng nhiều thiệt hại. Hơn nữa, tin tặc không còn ngần ngại đòi những khoản tiền chuộc khổng lồ nữa.
Nguồn: Broadcom
Một loại virus đánh cắp dữ liệu
Để đưa ransomware vào hệ thống máy tính của mục tiêu, trước tiên, tin tặc sử dụng một phần mềm độc hại có tên là RustyStealer. Phần mềm độc hại này được thiết kế để đánh cắp thông tin nhạy cảm từ các thiết bị bị nhiễm, chẳng hạn như thông tin đăng nhập, thông tin cá nhân và thông tin tài chính. Đây là một phần của họ phần mềm đánh cắp thông tin, ngày càng lan rộng trong thế giới tội phạm.
Với thông tin thu được từ vi-rút, tin tặc có thể xâm phạm máy tính từ xa và triển khai các lệnh mà người dùng không hề hay biết. Vì vậy, họ có thể tải xuống và cài đặt phần mềm tống tiền Ymir. Broadcom đưa tin, trích dẫn những phát hiện của Kaspersky, rằng khi đã xâm nhập vào hệ thống, phần mềm tống tiền "có thể vượt qua nhiều biện pháp bảo vệ an ninh được thiết kế để chống lại các loại phần mềm tống tiền phổ biến".
Trong các cuộc tấn công được các chuyên gia của công ty Nga ghi nhận, tình trạng lây nhiễm xảy ra trong vòng hai ngày sau cuộc tấn công của RustyStealer. Trước khi khởi chạy Ymir, tin tặc cài đặt hai công cụ trên máy, cụ thể là Process Hacker và Advanced IP Scanner, được lập trình để quản lý quy trình và quét mạng cục bộ (LAN).
Chỉ sau khi cài đặt các công cụ này, ransomware mới xâm nhập vào máy tính và mã hóa dữ liệu. Nó dựa trên ChaCha20, một thuật toán mã hóa được thiết kế để mã hóa dữ liệu nhanh nhất có thể. Kaspersky cho biết một ghi chú được để lại trong tệp PDF trên máy tính. Những tên tội phạm mạng khuyến nghị công ty liên hệ với chúng qua dịch vụ nhắn tin chuyên dụng để sắp xếp và thương lượng khoản tiền chuộc:
Mối đe dọa thực sự đối với các doanh nghiệp
Như Broadcom giải thích trên trang web của mình, ransomware này đã tham gia vào một cuộc tấn công gần đây nhằm vào “một tổ chức ở Colombia.” Theo Kaspersky, Ymir là “mối đe dọa đối với mọi loại hình doanh nghiệp.”.
Cho đến nay, chưa có băng nhóm nào được biết đến nhận trách nhiệm tạo ra ransomware này. Tương tự như vậy, tội phạm mạng cũng chưa nhận trách nhiệm về một cuộc tấn công vào trang web chuyên đăng tải các tội ác của chúng. Kaspersky giải thích rằng thông thường, "kẻ tấn công sử dụng diễn đàn hoặc cổng thông tin ma để rò rỉ thông tin nhằm gây sức ép buộc nạn nhân phải trả tiền chuộc, nhưng Ymir thì không như vậy".
Loại ransomware mới này xuất hiện trong bối cảnh các hoạt động tống tiền có xu hướng giảm, trong khi gây ra ngày càng nhiều thiệt hại. Hơn nữa, tin tặc không còn ngần ngại đòi những khoản tiền chuộc khổng lồ nữa.
Nguồn: Broadcom
