Ransomware Ymir explora memória para ataques furtivos 
 

Novo Ransomware Ymir explora memória para ataques furtivos; visando redes corporativas

Um alerta significativo foi emitido por pesquisadores de cibersegurança sobre a descoberta de um novo ransomware denominado Ymir, que representa um salto na sofisticação de ataques. O Ymir destaca-se por explorar a memória do sistema para executar seus códigos maliciosos, dificultando sua detecção e aumentando sua letalidade.

 

Início do ataque: RustyStealer e a porta de entrada

O ataque do Ymir foi detectado dois dias após sistemas de uma organização na Colômbia serem comprometidos por um malware chamado RustyStealer, projetado para roubar credenciais corporativas.

Essas credenciais roubadas permitiram acesso não autorizado à rede da empresa, criando o cenário ideal para a implantação do ransomware.

Embora seja comum que agentes de acesso inicial vendam credenciais para grupos de ransomware, ainda não está claro se isso ocorreu neste caso ou se os atacantes realizaram todo o ciclo do ataque, o que indicaria uma tendência emergente de ameaças autossuficientes.

 

Ymir Ransomware

 

Características técnicas do Ymir

O Ymir apresenta uma abordagem inovadora, utilizando funções avançadas de gerenciamento de memória, como malloc, memmove e memcmp, para executar seu código diretamente na memória. Essa técnica não sequencial, incomum em ransomwares tradicionais, aumenta sua capacidade de evitar detecção por ferramentas de segurança convencionais.

Outras características incluem:

  • Criptografia de arquivos: Utiliza o algoritmo de fluxo ChaCha20 para criptografar dados, adicionando a extensão “.6C5oy2dVr6” aos arquivos afetados.
  • Flexibilidade de ataque: Através do comando --path, os atacantes podem especificar diretórios-alvo e determinar quais arquivos serão ignorados, fornecendo controle granular sobre o ataque.

 

 

Ferramentas e scripts auxiliares

Além da criptografia, o Ymir emprega ferramentas como o Advanced IP Scanner e o Process Hacker para mapear e manipular sistemas. Dois scripts do malware SystemBC também foram utilizados para estabelecer um canal de comunicação encoberto com servidores remotos, exfiltrando arquivos maiores que 40 KB criados após uma data específica.

 

 

Novas estratégias de engenharia social

Paralelamente ao Ymir, outros grupos de ransomware, como o Black Basta, estão inovando em táticas de engenharia social para obter acesso inicial:

  • Microsoft Teams: Mensagens com QR codes maliciosos direcionam vítimas para domínios fraudulentos.
  • Falsos suportes de TI: Atacantes se passam por técnicos de TI para enganar funcionários e instalar ferramentas de acesso remoto, como AnyDesk e Quick Assist.
  • Ataques Malspam: Envio em massa de e-mails maliciosos seguido de ligações telefônicas para “ajudar” as vítimas a solucionar problemas fictícios.

 

 

Impactos econômicos e setores alvo

Os ataques de ransomware continuam a evoluir e a impactar setores críticos. Dados recentes indicam que:

  • O setor industrial, tecnologia da informação e bens de consumo discricionário foram os mais visados nos últimos meses.
  • O custo médio de um ataque é de US$ 36 milhões, gerando bilhões de dólares em prejuízo globalmente.

Em paralelo, vulnerabilidades específicas, como a exploração de dispositivos SonicWall, SSL, VPN desatualizados, foram exploradas em pelo menos 30 intrusões desde agosto de 2024.

 

 

Fragmentação no ecossistema de ransomware

Relatórios apontam que o número de grupos de ransomware ativos aumentou 30% em relação ao ano anterior, com 31 novos grupos surgindo. Apesar desse crescimento, o número de vítimas não acompanhou a mesma curva, indicando uma fragmentação no ecossistema, com muitos grupos ainda incapazes de executar ataques eficazes.

Essa dispersão, no entanto, não reduz o impacto global do ransomware, que agora também é usado por hacktivistas políticos, como o grupo CyberVolk, para retaliações.

 

 

Esforços globais de mitigação

Governos e organizações estão intensificando esforços para conter a ameaça do ransomware:

  • Proibição de pagamentos de resgate: Autoridades americanas têm pressionado seguradoras a não reembolsarem resgates pagos, com o objetivo de desincentivar as vítimas a financiar ecossistemas criminosos.
  • Investimentos em educação: Alertas e treinamentos visam capacitar empresas e funcionários para detectar e evitar ataques.

 

Conclusão: preparação é essencial

O surgimento do Ymir ressalta como os atacantes continuam inovando, explorando novas vulnerabilidades e ampliando seu arsenal técnico. Em um cenário onde o ransomware está mais fragmentado, mas ainda extremamente perigoso, organizações precisam adotar medidas robustas de segurança, como:

  • Atualização de sistemas e dispositivos.
  • Implementação de ferramentas avançadas de monitoramento e detecção.
  • Educação contínua de equipes sobre as táticas de engenharia social.

A ameaça é real e crescente, e cabe às empresas assumirem uma postura proativa para proteger seus ativos e minimizar riscos.

 

Fonte e imagens: https://thehackernews.com/2024/11/new-ymir-ransomware-exploits-memory-for.html