Pesquisadores de cibersegurança identificaram uma nova família de ransomware denominada Ymir, que foi implementada em um ataque dois dias após os sistemas serem comprometidos por um malware stealer chamado RustyStealer.
"O ransomware Ymir introduz uma combinação única de características técnicas e táticas que aumentam sua eficácia", disse a fornecedora russa de cibersegurança Kaspersky.
Os atores de ameaças aproveitaram uma mistura não convencional de funções de gerenciamento de memória – malloc, memmove e memcmp – para executar o código malicioso diretamente na memória.
Essa abordagem se desvia do fluxo de execução sequencial típico visto em tipos de ransomware amplamente disseminados, aumentando suas capacidades de furtividade. A Kaspersky informou que observou o ransomware sendo usado em um ataque cibernético direcionado a uma organização não identificada na Colômbia, com os atores de ameaças anteriormente entregando o malware RustyStealer para coletar credenciais corporativas.
Acredita-se que as credenciais roubadas foram usadas para obter acesso não autorizado à rede da empresa para implantar o ransomware.
Embora normalmente exista uma transferência entre um corretor de acesso inicial e a equipe de ransomware, não está claro se esse é o caso aqui.
"Se os corretores são de fato os mesmos atores que implantaram o ransomware, isso poderia sinalizar uma nova tendência, criando opções adicionais de sequestro sem depender dos grupos tradicionais de Ransomware-as-a-Service (RaaS)", disse o pesquisador da Kaspersky, Cristian Souza.
O ataque é notável por instalar ferramentas como Advanced IP Scanner e Process Hacker.
Também são utilizados dois scripts que fazem parte do malware SystemBC, que permitem configurar um canal oculto para um endereço IP remoto para exfiltrar arquivos que tenham um tamanho maior que 40 KB e sejam criados após uma data especificada.
O binário do ransomware, por sua vez, usa o algoritmo de cifra de fluxo ChaCha20 para criptografar arquivos, anexando a extensão ".6C5oy2dVr6" a cada arquivo criptografado.
"Ymir é flexível: usando o comando --path, os atacantes podem especificar um diretório onde o ransomware deve procurar por arquivos", disse a Kaspersky.
Se um arquivo estiver na lista branca, o ransomware vai ignorá-lo e deixá-lo não criptografado.
Essa função dá aos atacantes mais controle sobre o que é ou não criptografado. O desenvolvimento ocorre enquanto os atacantes por trás do ransomware Black Basta foram vistos usando mensagens de chat do Microsoft Teams para se envolver com alvos em potencial e incorporando códigos QR maliciosos para facilitar o acesso inicial, redirecionando-os para um domínio fraudulento.
"A motivação subjacente é provavelmente preparar o terreno para técnicas de engenharia social de acompanhamento, convencer os usuários a baixar ferramentas de monitoramento e gestão remota (RMM) e obter acesso inicial ao ambiente alvo," disse a ReliaQuest.
Em última análise, o objetivo final dos atacantes nesses incidentes é quase certamente a implantação de ransomware. A empresa de cibersegurança disse também ter identificado instâncias em que os atores de ameaças tentaram enganar os usuários se passando por pessoal de suporte de TI e induzindo-os a usar o Quick Assist para obter acesso remoto, uma técnica sobre a qual a Microsoft alertou em maio de 2024.
Como parte do ataque vishing, os atores de ameaças instruem a vítima a instalar software de desktop remoto, como AnyDesk, ou lançar o Quick Assist para obter acesso remoto ao sistema.
Vale mencionar aqui que uma iteração anterior do ataque empregou táticas de malspam, inundando as caixas de entrada dos funcionários com milhares de e-mails e depois ligando para o funcionário, se passando pela mesa de ajuda de TI da empresa para supostamente ajudar a resolver o problema.
Ataques de ransomware envolvendo as famílias Akira e Fog também se beneficiaram de sistemas que executam SonicWall SSL VPNs que não estão corrigidos contra o
CVE-2024-40766
para violar redes de vítimas.
Tanto quanto 30 novas intrusões aproveitando essa tática foram detectadas entre agosto e meados de outubro de 2024, por Arctic Wolf.
Esses eventos refletem a evolução contínua do ransomware e a ameaça persistente que ele representa para organizações em todo o mundo, mesmo enquanto os esforços das autoridades para interromper os grupos de cibercrime levaram a uma maior fragmentação.
No último mês, a Secureworks, que está prestes a ser adquirida pela Sophos no início do próximo ano, revelou que o número de grupos ativos de ransomware testemunhou um aumento de 30% ano a ano, impulsionado pelo surgimento de 31 novos grupos no ecossistema.
"Apesar desse crescimento nos grupos de ransomware, o número de vítimas não aumentou no mesmo ritmo, mostrando uma paisagem significativamente mais fragmentada e levantando a questão de quão bem-sucedidos esses novos grupos podem ser", disse a firma de cibersegurança.
Dados compartilhados pelo Grupo NCC mostram que um total de 407 casos de ransomware foram registrados em setembro de 2024, abaixo dos 450 em agosto, uma queda de 10% mês a mês.
Em contraste, 514 ataques de ransomware foram registrados em setembro de 2023.
Alguns dos principais setores visados durante o período incluem industrial, consumo discricionário e tecnologia da informação.
Isso não é tudo.
Nos últimos meses, o uso de ransomware se estendeu a grupos hacktivistas politicamente motivados como CyberVolk, que empregaram "o ransomware como uma ferramenta de retaliação".
Oficiais dos EUA, entretanto, buscam novas maneiras de combater o ransomware, incluindo instar as companhias de seguros cibernéticos a parar de reembolsar pagamentos de resgate numa tentativa de dissuadir as vítimas de pagar em primeiro lugar.
"Algumas políticas de companhias de seguros — por exemplo, cobrindo o reembolso de pagamentos de ransomware — incentivam o pagamento de resgates que alimentam ecossistemas de cibercrime", escreveu Anne Neuberger, Conselheira Adjunta de Segurança Nacional dos EUA para Cyber e Tecnologia Emergente, em um artigo de opinião do Financial Times.
Esta é uma prática preocupante que deve terminar.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...