Quarta-feira, 13 de novembro de 2024 – 11h03 WIB
Jacarta – A equipe global de resposta a emergências da Kaspersky identificou uma variedade de ransomware anteriormente desconhecida e usada ativamente em ataques de roubo de dados de funcionários.
Leia também:
Os hackers estão se tornando cada vez mais sádicos
Apelidado de “Ymir”, este ransomware usa técnicas avançadas de criptografia e ofuscação. Este ransomware também visa arquivos seletivamente e tenta evitar a detecção. O ransomware Ymir apresenta um conjunto exclusivo de recursos técnicos e táticas que aumentam sua eficácia.
Uma técnica incomum de manipulação de memória para se esconder. Os agentes de ameaças usam uma combinação de funções de gerenciamento de memória não volátil – malloc, memmove e memcmp – para executar código malicioso diretamente na memória.
Leia também:
O líder do BSSN considera os ataques de ransomware uma grande ameaça nas eleições regionais de 2024
Esta abordagem desvia-se do fluxo sistemático de execução normalmente observado em tipos de ransomware generalizados, demonstrando assim as suas capacidades furtivas.
Além disso, o Ymir é flexível: usando o comando –path, o invasor pode especificar o diretório onde o ransomware deve procurar os arquivos. Se o arquivo estiver na lista de permissões, o ransomware irá ignorá-lo e deixá-lo sem criptografia.
Leia também:
Evite essa miséria com dicas simples
Esse recurso dá aos invasores mais controle sobre o que está criptografado ou não. Usando malware para roubar dados.
Em um ataque observado por especialistas da Kaspersky a uma organização na Colômbia, os cibercriminosos foram vistos usando o RustyStealer, um tipo de malware que rouba dados para obter credenciais de usuário dos funcionários.
Essas informações são então usadas para obter acesso aos sistemas da organização e manter o controle para distribuir o ransomware. Esse tipo de ataque é conhecido como intermediação de acesso antecipado, onde os invasores obtêm acesso ao sistema e mantêm o acesso.
Normalmente, os intermediários de acesso antecipado vendem o acesso na dark web a outros cibercriminosos, mas neste caso parecem continuar o ataque através da implantação de ransomware.
“Se esses intermediários forem de fato os mesmos atores que distribuem ransomware, isso poderá representar uma nova tendência e criar opções adicionais de pirataria sem depender de grupos tradicionais de Ransomware como serviço (RaaS)”, disse Christian Souza, especialista em resposta a ataques. Eventos Kaspersky.
Segundo ele, o ransomware utiliza ChaCha20, uma moderna cifra de stream conhecida por sua velocidade e segurança, superior até mesmo ao Advanced Encryption Standard (AES).
Embora os responsáveis pelas ameaças por trás destes ataques não tenham partilhado publicamente nenhum dos dados roubados nem tenham feito pedidos adicionais, os investigadores estão a monitorizá-los de perto em busca de qualquer nova atividade.
“Não vimos nenhuma nova família de ransomware aparecer na dark web. “Normalmente, os invasores usam fóruns ou portais obscuros para vazar informações como forma de pressionar as vítimas a pagar um resgate, mas esse não foi o caso de Ymir”, disse ele.
Para encontrar um nome para esta nova ameaça, os especialistas Souza e Kaspersky discutiram o peixe saturniano chamado Ymir. Esta Lua é “irregular”, movendo-se na direção oposta à rotação do planeta – uma propriedade que é surpreendentemente semelhante à combinação incomum de funções de gerenciamento de memória usadas no novo ransomware.
Próxima página
Essas informações são então usadas para obter acesso aos sistemas da organização e manter o controle para distribuir o ransomware. Esse tipo de ataque é conhecido como intermediação de acesso antecipado, onde os invasores obtêm acesso ao sistema e mantêm o acesso.
