Kaspersky découvre un nouveau type de ransomware appelé “Ymir”
JAKARTA - L’équipe d’intervention d’urgence de Kaspersky (équipe de réponse aux urgences de Kaspersky) a identifié un nouveau type de ransomware, qui était auparavant invisible et utilisé activement.
Sous le nom de « Ymir », ce type de ransomware est utilisé dans les attaques de vol de l’identité des employés utilisant des méthodes de cryptage et d’infiltration avancées.
En outre, le ransomware cible également sélectivement les fichiers et tente d’éviter la détection. Ymir Ransomware présente une combinaison unique de caractéristiques techniques et tactiques qui améliorent son efficacité. Parmi eux figurent :
Technique de manipulation de la mémoire est inhabituelle pour le blocage. Les auteurs de menaces utilisent un mélange de fonctions non conventionnelles de gestion de la mémoire – Malloc, Move et Mem cmp – pour exécuter des codes malveillants directement dans la mémoire.
Lors d'une attaque observée par des experts de Kaspersky contre une organisation en Colombie, des cybercriminels ont utilisé RustyStealer, un type de logiciel malveillant volant des informations, pour obtenir des ressources d'identification d'entreprise auprès d'employés.
Cette information a ensuite été utilisée pour accéder au système de l’organisation et maintenir un contrôle suffisamment long pour se propager au ransomware.
Algoritme de cryptage avancé. Le ransomware utilise ChaCha20, un flux sophistiqué moderne connu pour sa vitesse et sa sécurité, dépassant même la norme de cryptage avancée (AES).
Bien que les menaces derrière cette attaque n’aient pas partagé de données volées publiquement ou intenté de nouvelles poursuites, les chercheurs la suivent de près pour chaque nouvelle activité.
« Nous n’avons pas observé de nouveaux groupes de ransomware qui apparaissent sur le dark web. Compte tenu de cela, la question du groupe derrière le ransomware n’a toujours pas été trouvée, et nous soupçonnons qu’il pourrait s’agir d’une nouvelle campagne », a déclaré Cristian Souza, Specialiste en réponse aux incidents chez l’équipe mondiale d’intervention sur les urgences de Kaspersky.