นักวิจัยพบแรนซัมแวร์ใหม่ ชื่อว่า ‘Ymir’ เข้ารหัสระบบที่เคยถูกมัลแวร์ RustyStealer โจมตีมาก่อน

402/67 (IT) ประจำวันพุธที่ 13 พฤศจิกายน 2567

นักวิจัยของ Kaspersky ค้นพบแรนซัมแวร์ชนิดใหม่ที่ชื่อว่า Ymir กำลังถูกใช้ในการโจมตีควบคู่กับมัลแวร์ RustyStealer ซึ่งเป็นโปรแกรมขโมยข้อมูลที่แทรกซึมเข้าไปในระบบของเหยื่อก่อนการปล่อยแรนซัมแวร์ Ymir โจมตีเครือข่ายที่มีข้อมูลสำคัญ โดย RustyStealer ใช้เทคนิคการเก็บข้อมูลประจำตัวและเข้าถึงระบบผ่านบัญชีที่มีสิทธิ์สูง เมื่อติดตั้ง Ymir จะเข้ารหัสไฟล์ของระบบและสร้างคำสั่งเรียกค่าไถ่ในไฟล์ PDF เพื่อข่มขู่ให้จ่ายเงิน แล้วยังปรับค่าระบบ Windows ให้แสดงข้อความเตือนในหน้าเข้าสู่ระบบเพื่อกระตุ้นให้เหยื่อปฏิบัติตามคำขู่ของแฮกเกอร์    

แรนซัมแวร์ Ymir มีการทำงานที่ยากต่อการตรวจจับโดยทำงานในหน่วยความจำ และใช้การเข้ารหัสแบบ ChaCha20 ซึ่งเป็นอัลกอริทึมการเข้ารหัสขั้นสูงเพื่อเข้ารหัสข้อมูล ทำให้การถอดรหัสทำได้ยาก นอกจากนี้มัลแวร์จะสแกนระบบหาสัญญาณของ PowerShell และลบตัวเองออกเพื่อหลีกเลี่ยงการตรวจจับในขั้นตอนสุดท้าย ซึ่งในขณะนี้ยังไม่พบเว็บไซต์สำหรับการเผยแพร่ข้อมูลจาก Ymir ซึ่งอาจหมายความว่าผู้โจมตีอาจเพิ่งเริ่มต้นการสะสมข้อมูลเหยื่อ หากแรนซัมแวร์นี้พัฒนาต่อไปโดยการเพิ่มการขโมยข้อมูลสำคัญก็อาจกลายเป็นภัยคุกคามที่อันตรายมากยิ่งขึ้น

แหล่งข่าว https://www.bleepingcomputer.com/news/security/new-ymir-ransomware-partners-with-rustystealer-in-attacks/