Pesquisadores da Kaspersky identificaram um novo ransomware chamado Ymir, projetado para ataques furtivos e segmentação de redes corporativas. O Ymir é lançado após a infiltração inicial com o malware RustyStealer, que rouba credenciais de acesso. Dois dias depois da infecção, o Ymir é ativado na rede da vítima. Utilizando uma técnica de execução direta na memória, com funções como malloc e memmove, o Ymir evita os métodos convencionais de ransomware, tornando o ataque mais discreto.

A infecção com o RustyStealer permite que os atacantes adquiram credenciais corporativas, facilitando o acesso ao sistema da vítima. A Kaspersky sugere que, ao contrário do habitual, onde há troca de informações entre um corretor de acesso e a equipe de ransomware, os mesmos agentes podem ter realizado todas as etapas, o que indica uma possível mudança nas práticas do setor. A operação utilizou ferramentas como Advanced IP Scanner, Process Hacker e o malware SystemBC para estabelecer comunicação secreta e exfiltrar dados.

O Ymir criptografa arquivos com o algoritmo ChaCha20 e adiciona a extensão “.6C5oy2dVr6”. Os invasores podem definir diretórios-alvo e excluir arquivos específicos com base nas permissões. O ransomware foi comparado ao Black Basta, que usa técnicas de engenharia social, como mensagens no Microsoft Teams e QR codes maliciosos, para comprometer redes.

Recentemente, o Akira e Fog exploraram vulnerabilidades em VPNs SSL da SonicWall, destacando a evolução desses ataques. Entre agosto e outubro de 2024, o Arctic Wolf detectou até 30 invasões aproveitando essas falhas. A Secureworks relatou um aumento de 30% no número de grupos de ransomware em um ano, com 31 novos grupos surgindo, embora o número de vítimas tenha diminuído. O NCC Group registrou 407 ataques em setembro de 2024, indicando uma leve queda em relação ao ano anterior.

Além disso, grupos hacktivistas, como o CyberVolk, têm usado ransomware com motivações políticas. Nos EUA, autoridades tentam limitar o pagamento de resgates, sugerindo que seguradoras não cubram esses reembolsos, com o objetivo de reduzir os incentivos para pagar resgates.