TIM Tanggap Darurat Mendunia Kaspersky (Kaspersky’s Mendunia Emergency Response Team) telah mengidentifikasi jenis ransomware yang sebelumnya Bukan terlihat dan aktif digunakan, yang digunakan dalam serangan pencurian kredensial karyawan.
Ransomware yang dijuluki Ymir itu menggunakan metode enkripsi dan penyamaran tingkat lanjut. Ransomware ini juga secara selektif menargetkan file dan berupaya menghindari deteksi.
Ransomware Ymir memperkenalkan kombinasi Spesial fitur teknis dan taktik yang meningkatkan efektivitasnya.Teknik manipulasi memori yang Bukan Biasa Kepada penyamaran.
Pelaku ancaman memanfaatkan campuran fungsi manajemen memori yang Bukan konvensional – malloc, memmove, dan memcmp – Kepada mengeksekusi kode berbahaya secara langsung di dalam memori.
Pendekatan ini menyimpang dari alur eksekusi sistematis yang Biasa terlihat pada jenis ransomware yang tersebar luas, sehingga menunjukkan kemampuan penyamarannya.
Lebih jauh Tengah, Ymir bersifat Elastis: dengan menggunakan perintah –path, penyerang dapat menentukan direktori tempat ransomware harus mencari file.
Apabila file Eksis dalam daftar putih, ransomware akan melewatinya dan membiarkannya Bukan terenkripsi. Fitur ini memberi penyerang kontrol lebih besar atas apa yang dienkripsi atau Bukan.
Penggunaan malware pencuri data (malware data-stealing). Dalam serangan yang diamati oleh para Ahli Kaspersky, yang terjadi pada sebuah organisasi di Kolombia, para pelaku kejahatan siber terlihat menggunakan RustyStealer, sejenis malware yang mencuri informasi, Kepada mendapatkan kredensial perusahaan dari para karyawan.
Informasi ini kemudian digunakan Kepada mendapatkan akses ke sistem organisasi dan mempertahankan kendali cukup Pelan Kepada menyebarkan ransomware.
Jenis serangan ini dikenal sebagai perantara akses awal, ketika para penyerang menyusup ke dalam sistem dan mempertahankan akses. Biasanya, perantara akses awal menjual akses yang mereka peroleh di dark web kepada para pelaku kejahatan siber lainnya, tetapi dalam kasus ini, mereka tampaknya melanjutkan serangan itu sendiri dengan menyebarkan ransomware.
“Apabila para perantara tersebut memang pelaku yang sama yang menyebarkan ransomware, ini dapat menjadi sinyal tren baru, yang menciptakan opsi pembajakan tambahan tanpa ketergantungan pada Golongan Ransomware-as-a-Service (RaaS) tradisional,” Jernih Spesialis Respons Insiden di Kaspersky Mendunia Emergency Response Team Cristian Souza.
Catatan tebusan Ymir
Algoritma enkripsi tingkat lanjut. Ransomware tersebut menggunakan ChaCha20, sebuah stream cipher modern yang dikenal karena kecepatan dan keamanannya, bahkan mengungguli Advanced Encryption Standard (AES).
Meskipun pelaku ancaman di balik serangan ini belum membagikan data curian apa pun secara publik atau mengajukan tuntutan lebih lanjut, para peneliti memantaunya secara ketat Kepada setiap aktivitas baru.
“Kami belum mengamati adanya Golongan ransomware baru yang muncul di dark web. Biasanya, penyerang menggunakan Lembaga atau portal bayangan Kepada membocorkan informasi sebagai Metode Kepada menekan korban agar membayar tebusan, Tetapi ini Bukan terjadi pada Ymir. Mengingat hal ini, pertanyaan tentang Golongan mana yang berada di balik ransomware tersebut Lagi belum ditemukan, dan kami menduga ini mungkin merupakan kampanye baru,” Jernih Cristian Souza.
Kepada mencari nama bagi ancaman baru tersebut, para Ahli Kaspersky mempertimbangkan bulan Saturnus yang disebut Ymir. Itu adalah bulan “Bukan beraturan” yang bergerak berlawanan arah dengan rotasi planet tersebut – suatu sifat yang secara menarik menyerupai perpaduan fungsi manajemen memori yang Bukan konvensional yang digunakan dalam ransomware baru tersebut.
Analisis terperinci disajikan di Securelist
Produk Kaspersky kini dapat mendeteksi ransomware ini sebagai Trojan-Ransom.Win64.Ymir.gen.
Para Ahli Kaspersky merekomendasikan langkah-langkah Biasa berikut Kepada mengurangi risiko serangan ransomware:
- Terapkan jadwal pencadangan data yang sering dan lakukan pengujian rutin.
- Berikan pelatihan keamanan siber rutin kepada karyawan Kepada meningkatkan kewaspadaan mereka terhadap ancaman siber seperti malware pencuri data, dan Kepada mengajarkan strategi mitigasi yang efektif.
- Apabila Anda telah menjadi korban ransomware dan belum Eksis dekripsi yang diketahui, simpan file terenkripsi Krusial Anda. Solusi dekripsi dapat muncul dalam upaya penelitian ancaman yang sedang berlangsung atau Apabila pihak berwenang berhasil menguasai pelaku di balik ancaman tersebut.
- Sebaiknya jangan membayar tebusan. Membayar tebusan akan mendorong pembuat malware Kepada melanjutkan operasi mereka, tetapi Bukan menjamin pengembalian file yang Terjamin dan andal.
- Kepada melindungi perusahaan dari berbagai ancaman, gunakan solusi dari lini produk Kaspersky Next yang memberikan perlindungan waktu Konkret, visibilitas ancaman, Pengusutan, dan kemampuan respons EDR dan XDR Kepada organisasi dengan ukuran dan industri apa pun. Bergantung pada kebutuhan Anda Ketika ini dan sumber daya yang tersedia, Anda dapat memilih Derajat produk yang paling relevan, dengan fleksibilitas saar bermigrasi ke Derajat lain seiring dengan perkembangan kebutuhan keamanan siber Anda. Kurangi permukaan serangan Anda dengan menonaktifkan layanan dan port yang Bukan digunakan.
- Terapkan layanan keamanan terkelola oleh Kaspersky seperti Compromise Assessment, Managed Detection and Response (MDR) dan/atau Incident Response, yang mencakup seluruh siklus manajemen insiden—mulai dari identifikasi ancaman hingga perlindungan dan perbaikan berkelanjutan. Layanan ini membantu melindungi dari serangan siber yang sulit dideteksi, menyelidiki insiden, dan mendapatkan keahlian tambahan meskipun perusahaan kekurangan pekerja keamanan. (Z-1)