【安全资讯】新型Ymir勒索软件与RustyStealer合作进行攻击

概要：

新型勒索软件Ymir最近被发现正在网络上活动，它通过利用RustyStealer信息窃取恶意软件对系统进行加密。这一事件不仅显示了网络犯罪活动的合作趋势，也引发了对其潜在影响的广泛关注。Ymir的出现可能会对全球企业造成严重威胁，尤其是在数据安全方面。

主要内容：

Ymir勒索软件于2024年7月首次出现，攻击了全球多家公司。Kaspersky的研究表明，Ymir在RustyStealer感染后被部署，RustyStealer作为一种凭证窃取工具，帮助攻击者获得高权限账户的访问权限，从而实现横向移动。攻击者利用Windows远程管理和PowerShell等工具进行远程控制，并安装了Process Hacker和Advanced IP Scanner等工具，进一步巩固了对目标系统的控制。

Ymir勒索软件的独特之处在于其完全在内存中执行，使用ChaCha20流密码算法加密受害者系统中的文件。加密后的文件会附加随机扩展名，并生成名为“INCIDENT_REPORT.pdf”的赎金说明。该说明声称受害者的数据已被窃取，Kaspersky推测这可能是通过RustyStealer等工具在Ymir部署之前完成的。

此外，Ymir还会修改Windows注册表中的“legalnoticecaption”值，以在用户登录加密设备之前显示勒索要求。尽管Ymir尚未建立数据泄露网站，但Kaspersky警告称，利用信息窃取工具作为访问代理的策略，可能会迅速使这一新型勒索软件成为广泛威胁。