Une nouvelle famille de ransomwares appelée « Ymir » a été repérée dans la nature, chiffrant des systèmes qui étaient auparavant compromis par le malware RustyStealer infostealer.

RustyStealer est une famille connue de logiciels malveillants documentée pour la première fois en 2021, mais son apparition avec un ransomware démontre un autre exemple de la tendance récente des opérations de cybercriminalité à travailler ensemble.

Selon les chercheurs de Kaspersky qui ont découvert Ymir lors d’une réponse à un incident, la nouvelle souche de ransomware se distingue par son exécution en mémoire, l’utilisation du Lingala africain dans un commentaire de code, l’utilisation de fichiers PDF comme notes de rançon et ses options de configuration d’extension.

Bien que Kaspersky ait trouvé des preuves que Ymir se connecte à des serveurs externes susceptibles de faciliter l’exfiltration de données, le ransomware ne dispose pas d’une telle fonctionnalité.

Breachtrace a confirmé que l’opération de ransomware avait été lancée en juillet 2024, lorsqu’elle a commencé à attaquer des entreprises du monde entier.

Ymir suit les infections de RustyStealer
L’analyse de Kaspersky a révélé que Rusty stealer avait infiltré plusieurs systèmes au sein de l’infrastructure ciblée deux jours avant le déploiement d’Ymir.

RustyStealer, essentiellement un outil de collecte d’informations d’identification, a permis aux attaquants d’obtenir un accès non autorisé aux systèmes en compromettant des comptes légitimes à privilèges élevés utiles pour les mouvements latéraux.

Les déplacements latéraux sur le réseau ont été facilités à l’aide d’outils tels que Windows Remote Management (WinRM) et PowerShell pour le contrôle à distance. Dans le même temps, les attaquants ont également installé des outils tels que Process Hacker et Advanced IP Scanner.

Ensuite, ils ont exécuté des scripts associés au logiciel malveillant SystemBC et établi des canaux secrets, éventuellement pour l’exfiltration de données ou l’exécution de commandes, avec l’infrastructure des attaquants.

Après avoir solidifié le pied et peut – être aussi volé des données à l’aide de RustyStealer, le ransomware Ymir a été abandonné en tant que charge utile finale.

Ymir est une nouvelle souche de ransomware Windows qui fonctionne entièrement à partir de la mémoire, exploitant des fonctions telles que « malloc », « memove » et « memcmp » pour échapper à la détection.

Au lancement, il effectue une reconnaissance du système en obtenant la date et l’heure du système, en identifiant les processus en cours d’exécution et en vérifiant la disponibilité du système, ce qui peut aider à déterminer s’il s’exécute sur un bac à sable.

Ensuite, il ignore les extensions de fichiers en fonction d’une liste codée en dur pour éviter de rendre le système non amorçable.

Ymir utilise le chiffrement de flux ChaCha20, un algorithme de chiffrement avancé et rapide, pour chiffrer les fichiers sur le système de la victime.

Les fichiers cryptés sont ajoutés avec une extension aléatoire, comme « .6C5oy2dVr6, « et une demande de rançon nommée » RAPPORT D’INCIDENT.pdf » est généré à partir du « .section « données » du binaire Ymir dans tous les répertoires contenant des fichiers cryptés.

Note de rançon d’Ymir

Le ransomware modifiera également la valeur « legalnoticecaption » du registre Windows pour afficher une demande d’extorsion avant qu’un utilisateur ne se connecte à un appareil crypté.

La demande de rançon affirme que des données ont été volées sur le système de la victime, et Kaspersky émet l’hypothèse que cela aurait pu se produire à l’aide d’outils déployés avant Ymir.

Enfin, Ymir analyse le système à la recherche de la présence de PowerShell et l’exploite pour supprimer son exécutable afin d’échapper à l’identification et à l’analyse.

Processus d’exécution d’Ymir

Ymir n’a pas encore établi de site de fuite de données, mais il se pourrait que les acteurs de la menace viennent de commencer à accumuler des données sur les victimes.

Kaspersky prévient que l’utilisation par Ymir de voleurs d’informations en tant que courtiers d’accès pourrait rapidement faire de cette nouvelle famille de ransomwares une menace généralisée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *