“Ymir” فيروس جديد يسرق معلومات الشركات ويهدد أمنها السيبراني

في خطوة لافتة، رصد فريق كاسبرسكي للاستجابة للطوارئ العالمية، سلالة جديدة من برمجيات الفدية التي لم تُرصد من قبل، أُطلق عليها اسم “Ymir”.

هذا النوع من البرمجيات الخبيثة يأتي مع مجموعة من الأساليب التقنية المتقدمة التي تميزها عن الهجمات التقليدية، حيث تستخدم تشفيرًا متقدمًا وتقنيات تخفي غير شائعة، ما يجعلها تحديًا كبيرًا في مجال الأمن السيبراني.

طريقة عمل البرمجية 

تتميز برمجية “Ymir” باستخدام أساليب تخفي معقدة عبر التلاعب بالذاكرة. حيث قامت برمجية الفدية باستخدام مزيج غير تقليدي من وظائف إدارة الذاكرة، مثل “malloc” و"memmove" و"memcmp" لتنفيذ كود خبيث في الذاكرة مباشرة، بدلاً من الاعتماد على الطرق التقليدية لتنفيذ التعليمات في تسلسل متسق، ما يجعل البرمجية أكثر قدرة على التخفي وتفادي الكشف من أنظمة الأمن.

تستخدم “Ymir” أيضًا أوامر موجهة، مثل “path”، التي تسمح للمهاجمين بتحديد المسار الدقيق للبحث عن الملفات، ما يتيح لهم اختيار الملفات التي سيتم تشفيرها، بينما يتم تجاهل الملفات المدرجة في القائمة البيضاء. 

وبفضل هذه الميزة، يمكن للمهاجمين تحديد الملفات التي يريدون تشفيرها وترك الملفات الأخرى دون تغيير، مما يعزز من دقة الهجوم ويقلل من احتمالية الكشف.

في الهجوم الذي تم رصده، استخدم المهاجمون برمجية “RustyStealer” لسرقة بيانات اعتماد الموظفين في إحدى الشركات الكولومبية، التي كانت تٌستخدم لزيادة صلاحيات الوصول إلى الأنظمة الداخلية، ما أتاح لهم نشر برمجية الفدية Ymir بعد ذلك. 

يعتبر هذا الهجوم نمطًا من الهجمات الوسيطة (Initial Access Brokers - IABs)، حيث يصل المهاجمون إلى الأنظمة والحفاظ على التحكم لفترة كافية قبل إطلاق الهجوم الرئيسي.

تستعمل برمجية الفدية “Ymir” خوارزمية “ChaCha20” للتشفير، وهي خوارزمية حديثة لتشفير التدفق معروفة بسرعتها وأمانها. 

وتعتبر ChaCha20 متفوقة على العديد من خوارزميات التشفير الأخرى مثل “AES” من حيث الكفاءة والأداء في بيئات مختلفة. هذه الخوارزمية تعزز من قدرة البرمجية على إتمام الهجوم بشكل أسرع وأكثر أمانًا.

مطالب الفدية

على الرغم من شدة الهجوم والتقنيات المتقدمة المستخدمة، لم يقدم المهاجمون أي مطالب مالية أو إعلانات علنية بشأن البيانات المسروقة، وهو أمر غير معتاد في هجمات الفدية.

وأشار أخصائي الاستجابة للحوادث في كاسبرسكي، كريستيان سوزا، إلى أن المهاجمين لم يتبعوا الأساليب التقليدية في نشر بيانات الضحايا أو الضغط عليهم لدفع الفدية عبر المنتديات أو المواقع الخفية، ما يثير تساؤلات حول هوية المجموعة المسؤولة عن الهجوم.

حاول فريق كاسبرسكي ربط الهجوم بحملة جديدة، مشيرًا إلى أن الهجوم الذي تستخدمه Ymir قد يكون مؤشرًا على توجه جديد في أساليب الهجمات السيبرانية، ويعزز هذا الافتراض الأسلوب الاستثنائي في استخدام برمجية الفدية، الذي يشير إلى احتمالية ظهور هجمات مشابهة في المستقبل.

“Ymir”، التي تم تسميتها على اسم قمر من كوكب زحل الذي يتحرك عكس اتجاه دوران الكوكب، تُظهر تشابهًا لافتًا مع البرمجية من حيث أسلوبها غير التقليدي في تنفيذ الهجوم، ما يجعلها تشكل تهديدًا جديدًا في عالم الأمن السيبراني.