A Equipa de Resposta a Emergências Globais da Kaspersky identificou um tipo de ransomware inédito, em uso ativo, implementado num ataque após o roubo de credenciais de colaboradores. O ransomware, denominado “Ymir”, utiliza métodos avançados de encriptação e dissimulação. Também visa seletivamente os ficheiros como forma de evitar a deteção.

O ransomware Ymir apresenta uma combinação única de caraterísticas técnicas e táticas que aumentam a sua eficácia.

Técnicas invulgares de manipulação de memória para fins furtivos. Os atacantes utilizam uma mistura pouco convencional de funções de gestão de memória - malloc, memmove e memcmp - para executar um código malicioso diretamente na memória. Esta abordagem desvia-se da execução típica sequencial vista em tipos de ransomware generalizados, melhorando as suas capacidades furtivas. Além disso, este ransomware é flexível: ao utilizar o comando --path, os atacantes podem especificar um diretório onde o ransomware deve procurar ficheiros. Se um ficheiro estiver na lista branca, o ransomware ignorá-lo-á e deixá-lo-á não encriptado. Esta funcionalidade oferece mais controlo aos atacantes sobre os dados que são ou não encriptados.

Utilização de malware para roubo de dados. No ataque observado pelos especialistas da Kaspersky numa organização na Colômbia, os cibercriminosos utilizaram o RustyStealer - um malware que rouba informações para obter credenciais empresariais dos colaboradores. Estas eram utilizadas para obter acesso aos sistemas da organização e manter o controlo durante tempo suficiente para implementar um ransomware. Este tipo de ataque é conhecido como intermediação de acesso inicial, em que os atacantes se infiltram nos sistemas e mantêm o acesso aos mesmos. Normalmente, os corretores de acesso inicial vendem o acesso na dark web a outros cibercriminosos, mas, neste caso, é diferente – mantém o acesso aos sistemas e implementam ransomware.

“Se os corretores forem, de facto, os mesmos atacantes que implementaram o ransomware, isto poderá assinalar uma nova tendência, criando opções adicionais de sequestro sem depender dos grupos tradicionais de Ransomware-as-a-Service (RaaS)”, explica Cristian Souza, Especialista em Resposta a Incidentes da Equipa Global de Resposta a Emergências da Kaspersky.

Algoritmo de encriptação avançado. O ransomware utiliza o ChaCha20, um código de fluxo moderno conhecido pela sua velocidade e segurança, superando o Advanced Encryption Standard (AES).

Embora o cibercriminoso por detrás deste ataque não tenha partilhado publicamente quaisquer dados roubados nem tenha feito mais exigências, os investigadores estão a monitorizá-lo de perto para detetar qualquer nova atividade.

“Ainda não observámos o aparecimento de novos grupos de ransomware no mercado clandestino. Normalmente, os atacantes usam fóruns ou portais clandestinos para divulgar informações como forma de pressionar as vítimas a pagar o resgate, o que não é o caso do Ymir. Assim, a questão do grupo que está por detrás do ransomware permanece em aberto, e suspeitamos que se trate de uma nova campanha”, sublinha Cristian Souza.

À procura de um nome para a nova ameaça, os especialistas da Kaspersky consideraram uma lua de Saturno chamada Ymir. É uma lua “irregular” que viaja na direção oposta à rotação do planeta - uma caraterística que se assemelha à mistura não convencional de funções de gestão de memória utilizadas no novo ransomware.

Consulte a análise pormenorizada sobre este ransomware em Securelist.com

Classifique este item
(0 votos)
Ler 304 vezes
Tagged em
Top