S'inscrire

Cybersécurité - 12/11/2024

Le nouveau ransomware Ymir exploite la mémoire pour des attaques furtives et cible les réseaux d’entreprise

Hacker utilisant un outil de cybersécurité

Les chercheurs en cybersécurité ont identifié une nouvelle famille de ransomwares appelée Ymir qui a été déployée lors d’une attaque deux jours après que les systèmes ont été compromis par un malware voleur appelé RustyStealer.

« Le ransomware Ymir présente une combinaison unique de fonctionnalités techniques et de tactiques qui améliorent son efficacité », a déclaré le fournisseur russe de cybersécurité Kaspersky .

« Les acteurs malveillants ont exploité un mélange non conventionnel de fonctions de gestion de la mémoire – malloc, memmove et memcmp – pour exécuter du code malveillant directement dans la mémoire. Cette approche s’écarte du flux d’exécution séquentiel typique observé dans les types de ransomwares répandus, améliorant ainsi ses capacités de furtivité. »

Kaspersky a déclaré avoir observé le ransomware utilisé dans une cyberattaque ciblant une organisation anonyme en Colombie, les acteurs de la menace ayant précédemment livré le malware RustyStealer pour collecter les informations d’identification de l’entreprise.

On pense que les identifiants volés ont été utilisés pour obtenir un accès non autorisé au réseau de l’entreprise afin de déployer le ransomware. Bien qu’il existe généralement un transfert entre un courtier d’accès initial et l’équipe du ransomware, il n’est pas certain que ce soit le cas ici.

« Si les courtiers sont effectivement les mêmes acteurs qui ont déployé le ransomware, cela pourrait signaler une nouvelle tendance, créant des options de piratage supplémentaires sans s’appuyer sur les groupes traditionnels Ransomware-as-a-Service (RaaS) », a déclaré Cristian Souza, chercheur chez Kaspersky.

L’attaque se caractérise par l’installation d’outils tels que Advanced IP Scanner et Process Hacker. Deux scripts faisant partie du malware SystemBC sont également utilisés , qui permettent de configurer un canal secret vers une adresse IP distante pour exfiltrer des fichiers d’une taille supérieure à 40 Ko et créés après une date spécifiée.

Le binaire du ransomware, quant à lui, utilise l’algorithme de chiffrement de flux ChaCha20 pour crypter les fichiers, en ajoutant l’extension « .6C5oy2dVr6 » à chaque fichier crypté.

« Ymir est flexible : en utilisant la commande –path, les attaquants peuvent spécifier un répertoire dans lequel le ransomware doit rechercher les fichiers », explique Kaspersky. « Si un fichier figure sur la liste blanche, le ransomware l’ignorera et le laissera non chiffré. Cette fonctionnalité donne aux attaquants plus de contrôle sur ce qui est chiffré ou non. »

Cette évolution intervient alors que les attaquants derrière le ransomware Black Basta ont été repérés en train d’utiliser des messages de discussion Microsoft Teams pour interagir avec des cibles potentielles et d’incorporer des codes QR malveillants pour faciliter l’accès initial en les redirigeant vers un domaine frauduleux.

« La motivation sous-jacente est probablement de jeter les bases de techniques d’ingénierie sociale de suivi, de convaincre les utilisateurs de télécharger des outils de surveillance et de gestion à distance (RMM) et d’obtenir un accès initial à l’environnement ciblé », a déclaré ReliaQuest . « En fin de compte, l’objectif final des attaquants dans ces incidents est presque certainement le déploiement de ransomwares. »

La société de cybersécurité a déclaré avoir également identifié des cas où les acteurs de la menace ont tenté de tromper les utilisateurs en se faisant passer pour du personnel de support informatique et en les incitant à utiliser Quick Assist pour obtenir un accès à distance, une technique contre laquelle Microsoft a mis en garde en mai 2024.

Dans le cadre de l’attaque par vishing, les acteurs malveillants demandent à la victime d’installer un logiciel de bureau à distance tel que AnyDesk ou de lancer Quick Assist afin d’obtenir un accès à distance au système.

Ransomware Ymir />

Il convient de mentionner ici qu’une itération précédente de l’attaque avait utilisé des tactiques de malspam, inondant les boîtes de réception des employés avec des milliers de courriers électroniques, puis appelant l’employé en se faisant passer pour le service d’assistance informatique de l’entreprise pour prétendument l’aider à résoudre le problème.

Les attaques de ransomware impliquant les familles Akira et Fog ont également bénéficié de systèmes exécutant des VPN SSL SonicWall non corrigés contre CVE-2024-40766 pour pénétrer les réseaux des victimes. Pas moins de 30 nouvelles intrusions exploitant cette tactique ont été détectées entre août et mi-octobre 2024, selon Arctic Wolf .

Ces événements reflètent l’ évolution continue des ransomwares et la menace persistante qu’ils représentent pour les organisations du monde entier, même si les efforts des forces de l’ordre pour perturber les groupes de cybercriminalité ont conduit à une fragmentation accrue.

Le mois dernier, Secureworks, qui devrait être acquis par Sophos au début de l’année prochaine, a révélé que le nombre de groupes de ransomware actifs a connu une augmentation de 30 % d’une année sur l’autre, grâce à l’émergence de 31 nouveaux groupes dans l’écosystème.

« Malgré cette croissance des groupes de ransomware, le nombre de victimes n’a pas augmenté au même rythme, montrant un paysage nettement plus fragmenté, posant la question du succès potentiel de ces nouveaux groupes », a déclaré la société de cybersécurité .

Les données partagées par le groupe NCC montrent qu’un total de 407 cas de ransomware ont été enregistrés en septembre 2024, contre 450 en août, soit une baisse de 10 % par rapport au mois précédent. En revanche, 514 attaques de ransomware ont été enregistrées en septembre 2023. Parmi les principaux secteurs ciblés au cours de cette période figurent l’industrie, la consommation discrétionnaire et les technologies de l’information.

Ce n’est pas tout. Ces derniers mois, l’utilisation de ransomwares s’est étendue à des groupes d’hacktivistes à motivation politique comme CyberVolk , qui ont utilisé « les ransomwares comme un outil de représailles ».

Pendant ce temps, les responsables américains cherchent de nouveaux moyens de lutter contre les ransomwares, notamment en exhortant les compagnies d’assurance cyber à cesser de rembourser les rançons afin de dissuader les victimes de payer en premier lieu.

« Certaines polices d’assurance, comme le remboursement des rançons versées pour les victimes de logiciels malveillants, encouragent le paiement de rançons qui alimentent les écosystèmes de cybercriminalité », a écrit Anne Neuberger, conseillère adjointe à la sécurité nationale américaine pour la cybersécurité et les technologies émergentes, dans un article d’opinion du Financial Times. « C’est une pratique inquiétante qui doit cesser. »

Sujets récents