MENU

Ymir

ほぼこもセキュリティニュース

Ymirは最近になって活動が観測され始めた新しいランサムウェアファミリです。
活動内容を見てみましょう。

  • RustyStealerの送り込み
    これはインフォスティーラー型マルウェアです。
    その名前の通り、認証情報を収集して盗み出します。
    これを被害者の環境に送り込むことが最初の段階として起こります。
  • ドメインコントローラーの侵害
    次に盗み出した認証情報を悪用して、被害者環境のドメインコントローラーを侵害します。
    ここでまた別のマルウェアが使用されます。
    今度も情報収集を行うマルウェアなのですが、今度は認証情報を収集するのではなく、侵害環境のファイルシステムに関する情報を収集して盗み出します。
    そして、攻撃者が侵害環境を操作するための通信経路を確立します。
  • Ymirの展開
    脅威アクターは操作が可能となって環境の把握が完了した被害者の環境に対して、ランサムウェアを送り込みます。
    送り込まれるランサムウェアはYmirです。
    Ymirはこれまでに見られる他のランサムウェアとは構造が異なるものとなっていました。
    そして、ステルス機能がこれまでの他のランサムウェアよりも強化されたものとなっていました。

ここのところ、ランサムウェアのような規模の大きな脅威活動では分業化が進んでいることが確認されています。
認証情報の収集のみ、ランサムウェアの仕組みの提供のみ、侵害行為の実行のみ、といった具合です。
しかし、Ymirの活動はこの分業によって行われていると考えることが現実的でないスピード感での活動が観測されています。
もしかしたら、特定の脅威アクターが、個人もしくは小さなチームの中で、認証情報の収集からランサムウェアの準備と使用までのすべての脅威活動のプロセスを自分たちのみで実施したのかもしれません。
まだYmirには専用のリークサイトなどの存在は確認できていません。
もしかしたら、Ymirは、まさにこれから活動を大きく展開しようとしている段階なのかもしれません。

Ymir: new stealthy ransomware in the wild

https://securelist.com/new-ymir-ransomware-found-in-colombia/114493/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。