Ransomware Ymir
L'era digitale ha portato con sé una comodità incredibile, ma ha anche aperto la strada a minacce sempre più complesse come il ransomware. Proteggere i dispositivi personali e aziendali dal ransomware e da altri tipi di minacce è fondamentale per salvaguardare dati, finanze e reputazioni. Una di queste minacce sofisticate che sta facendo scalpore nei circoli della sicurezza informatica è il ransomware Ymir.
Sommario
Che cos'è il ransomware Ymir?
Il ransomware Ymir è una minaccia sofisticata che sfrutta la crittografia avanzata per bloccare i file delle vittime, chiedendo il pagamento per il loro ripristino. Questo ransomware utilizza l'algoritmo crittografico ChaCha20 per garantire che le vittime affrontino sfide significative nel tentativo di recuperare i file in modo indipendente. Quando Ymir crittografa un file, aggiunge un'estensione unica composta da caratteri casuali, alterando significativamente i nomi dei file, ad esempio, '1.png' potrebbe diventare '1.jpg.6C5oy2dVr6'.
La strategia di attacco multistrato di Ymir
Una volta completato il processo di crittografia, Ymir adotta più misure per garantire che la vittima sia a conoscenza dell'attacco e delle condizioni del riscatto. Il ransomware inserisce note di riscatto intitolate "INCIDENT_REPORT.pdf" in ogni directory interessata. Inoltre, una misura più allarmante consiste nel visualizzare un messaggio a schermo intero prima della schermata di accesso della vittima, bloccandola di fatto fuori dal suo sistema finché non si interviene.
Il messaggio di pre-accesso informa le vittime che la loro rete è stata violata, i loro file sono stati crittografati e i dati sensibili sono stati esfiltrati. Le esorta a segnalare l'incidente ai loro superiori e avverte che qualsiasi tentativo di decrittografare i file con strumenti non autorizzati potrebbe causare danni irreversibili.
Le clausole della nota di riscatto di Ymir
La nota di riscatto di Ymir, incapsulata in 'INCIDENT_REPORT.pdf', ribadisce i punti principali dell'attacco e descrive in dettaglio le richieste degli aggressori. La nota promette che se il riscatto viene pagato, la vittima riceverà strumenti di decrittazione e tutti i dati raccolti verranno eliminati dai server degli aggressori. D'altro canto, se il pagamento non viene effettuato, il documento minaccia che i dati esfiltrati saranno esposti pubblicamente, causando potenzialmente danni finanziari e reputazionali significativi. Queste minacce si estendono alla vendita delle informazioni sui forum darknet o alla loro condivisione con organi di stampa o concorrenti.
Gli aggressori consentono alle vittime di decifrare fino a tre file crittografati come prova che il recupero è possibile. Questo, unito alla prova dell'esfiltrazione dei dati, sottolinea la natura grave della violazione.
Una catena di infezione complessa: tattiche e strumenti
Gli attacchi Ymir sono complessi e comportano una fase iniziale di furto di dati eseguita tramite RustyStealer prima che il ransomware stesso venga distribuito, spesso giorni dopo. I criminali informatici ottengono l'accesso ai sistemi tramite comandi di controllo remoto PowerShell, utilizzando vari strumenti per mantenere il controllo ed eseguire i loro piani.
Alcuni strumenti osservati nell'arsenale di Ymir includono:
- Un Process Hacker e uno scanner IP avanzato per la diagnostica di sistema e lo spostamento laterale.
- Malware WinRM (Windows Remote Management) e SystemBC per favorire la diffusione dell'infezione sulle reti locali.
- Le tecniche più sofisticate per eludere il rilevamento prevedono operazioni di memoria in cui vengono effettuate centinaia di chiamate di funzione per introdurre codice dannoso in modo incrementale.
La dura realtà dei pagamenti dei riscatti
Uno degli aspetti più critici degli attacchi ransomware è comprendere l'inutilità del pagamento dei riscatti. Gli esperti di sicurezza informatica sottolineano che pagare il riscatto richiesto non garantisce le chiavi di decrittazione o il software promessi. In molti casi, le vittime rimangono a mani vuote dopo il pagamento, avendo finanziato ulteriori attività criminali senza alcun beneficio.
Pratiche di sicurezza essenziali per difendersi dal ransomware Ymir
Per proteggersi dal Ransomware Ymir e da minacce simili, è fondamentale implementare misure di sicurezza informatica complete. Ecco alcune pratiche consigliate:
- Backup regolari dei dati : assicurati che i dati vengano sottoposti a backup frequenti in una posizione sicura e offline. Questo passaggio è una delle misure di sicurezza più efficaci contro il ransomware, poiché fornisce un'opzione di ripristino che non si basa sull'interazione con gli aggressori.
- Solida sicurezza degli endpoint : utilizza soluzioni di protezione degli endpoint robuste in grado di rilevare e bloccare attività sospette. Ciò include il rilevamento basato sul comportamento che identifica il ransomware in base alle sue azioni, non solo alle firme note.
- Autenticazione multifattoriale (MFA) : abilita MFA ove possibile perché aggiunge più sicurezza agli account utente. Può intercettare l'accesso non autorizzato anche se le credenziali di accesso sono compromesse.
- Gestione delle patch : mantieni aggiornati tutti i software, in particolare i sistemi operativi e le applicazioni di uso comune. Le vulnerabilità nei software obsoleti vengono spesso sfruttate dagli operatori di ransomware.
- Segmentazione della rete : isolare le risorse di rete critiche in modo che, in caso di violazione, gli aggressori non possano accedere facilmente all'intero sistema o alla rete.
Come anticipare le minacce
Le minacce ransomware come Ymir evidenziano la necessità di strategie di difesa proattive. Sebbene la decrittazione potrebbe non essere fattibile senza la cooperazione degli aggressori, robuste misure preventive possono ridurre al minimo l'impatto e la probabilità di un attacco. Investire in una solida infrastruttura di sicurezza informatica e promuovere una cultura di vigilanza sono passaggi essenziali per mantenere la resilienza contro le minacce ransomware in evoluzione.
Ransomware Ymir Video
Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .
Messaggi
Sono stati trovati i seguenti messaggi associati a Ransomware Ymir:
|
#? What happened? Your network has been compromised and attacked by hackers. All files have been modified. Sensitive information has been stolen and handed over to our experts for analysis. #? Why did this happen? Your security system was weak, it allowed your company to be hacked. #? What are the possible consequences? You won't be able to use your data, so the company is frozen. You will lose money every day. If you refuse to make a deal, your data will be published on the internet, sold on darknet forums, shared with journalists and your competitors. You will suffer reputational damage, your stock will drop in value, clients and sponsors will lose trust in you. Also, if the incident becomes public, you will be noticed by law enforcement agencies and then a long investigation with freezing of your company will begin. You'll get multiple fines in excess of the deal. #? What do I get if I make a deal? You get file recovery software. We'll remove the stolen data from our servers and provide proof. You'll get an incident report and recommendations for protection. You'll get a guarantee that our team will add you to our whitelist of untouchable companies and we'll never come back to you again. We will not report the incident to anyone. #? # Why are you doing this? We're only interested in the money. We don't care about the rest. We also take pleasure in what we do. #? How can I trust you? You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every action we take is discussed. If we defraud even 1 company, we will never be able to make a good deal. We will definitely recover your files and we will definitely keep everything confidential. We are specialists with years of experience and we respect ourselves and our reputation. You'll see that we're a bargain when you contact us. #? How do I proceed if I don't believe a word you say? You can go to the recovery or the enforcers, but it will definitely cost you more than dealing with us. Recovery will buy our software with your token and sell it to you at a 300% markup. The enforcers will trample your company, talk to the lawyers, they will tell you the consequences. #? I'm the administrator of this network, what do I do? Don't try to make a deal on your own, you won't have enough salary for a few years. Report the incident to your bosses. They'll find out anyway. We have their contacts and we'll let them know in three days if no one contacts us. If you try to rebuild the network alone and hide the incident from your bosses, you'll delay the inevitable. At some point, they'll hear about it on the news and be furious that you denied them the opportunity to save their company. #? What do I do? The first thing you should do is inform your bosses about the incident. You'll have to pay us to recover your files. Only we have the unique token. Don't try to use any third-party applications to recover your files, they may be damaged irretrievably. You need to contact us You can send us 1-3 modified files and we will prove that we can recover them. We will provide proof of the stolen data. RecoverySupport@onionmail.org To contact us, install qTOX messenger. hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe Add our contact and we can make a deal. Tox ID: CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF |
|
IMPORTANT What happened? Your network has been compromised and attacked by hackers. All files have been modified. Sensitive information has been stolen and handed over to our experts for analysis. What do I do? The first thing you should do is inform your bosses about the incident. You'll have to pay us to recover your files. Only we have the unique token. Don't try to use any third-party applications to recover your files they may be damaged irretrievably. To contact us read the INCIDENT REPORT file carefully |
