Nova ameaça

Ymir ransomware se associa ao RustyStealer em ataques cibernéticos

O ransomware Ymir, lançado em julho de 2024, utiliza o malware RustyStealer para comprometer sistemas e realizar ataques cibernéticos com foco em extorsão. Descubra mais sobre essa nova ameaça.

fbi-distribui-7-000-chaves-de-descriptografia-para-vitimas-do-lockbit-ransomware

Em julho de 2024, um novo ransomware denominado Ymir foi identificado em ataques cibernéticos, usando o RustyStealer, um infostealer documentado desde 2021. A combinação de ambos representa uma nova tendência em operações criminosas cibernéticas, que agora trabalham em parceria para realizar ataques mais eficientes.

O RustyStealer, focado no roubo de credenciais, comprometeu diversos sistemas antes da ativação do Ymir. O malware permitiu que os atacantes obtivessem acesso não autorizado a contas privilegiadas e se movimentassem lateralmente pela rede. Ferramentas como Windows Remote Management (WinRM) e PowerShell foram usadas para controle remoto, enquanto ferramentas como Process Hacker e Advanced IP Scanner também foram instaladas. Além disso, o SystemBC foi usado para estabelecer canais ocultos, que poderiam ser usados para exfiltração de dados ou execução de comandos maliciosos.

Como o Ymir ransomware criptografa os arquivos e exige resgate

Nota de resgate de Ymir
Nota de resgate de Ymir Imagem: BleepingComputer

Com o acesso já garantido, os atacantes implantaram o Ymir como o payload final, sendo um ransomware que opera totalmente na memória, utilizando funções como ‘malloc’, ‘memove’ e ‘memcmp’ para se ocultar e evitar a detecção. O Ymir realiza uma análise do sistema antes de criptografar os arquivos, verificando a data e a hora, processos em execução e o tempo de atividade, de modo a evitar a execução em ambientes de sandbox.

A criptografia é realizada usando o algoritmo ChaCha20, que é rápido e eficaz, e os arquivos criptografados recebem extensões aleatórias, como “.6C5oy2dVr6”. O ransomware gera também uma nota de resgate em formato PDF, chamada “INCIDENT_REPORT.pdf”, que é colocada em todas as pastas contendo arquivos criptografados.

Além disso, o Ymir modifica o registro do Windows para exibir uma mensagem de extorsão logo antes do login, informando que dados foram roubados do sistema, possivelmente utilizando o RustyStealer. Para esconder suas ações, o ransomware utiliza o PowerShell para excluir seu próprio executável após a execução.

Embora o Ymir ainda não tenha configurado um site de vazamento de dados, acredita-se que os cibercriminosos estejam apenas começando a acumular informações valiosas para exfiltração. Especialistas da Kaspersky alertam que a combinação de stealers de informações e ransomware pode rapidamente transformar o Ymir em uma ameaça de grande escala.

Acesse a versão completa
Sair da versão mobile