Les chercheurs de Kaspersky ont identifié Ymir, un ransomware inédit, lors d’une cyberattaque en Colombie. Pour arriver à ses fins, le logiciel malveillant s’appuie sur un mode opératoire reposant sur un virus voleur de données, le redoutable RustyStealer. Les experts évoquent une menace croissante qui vise toutes les entreprises, sans exception.
Les chercheurs de Kaspersky ont décelé la présence d’un nouveau ransomware. Baptisé Ymir, le virus fait partie « d’une nouvelle et notable famille de ransomwares activement utilisée par les attaquants ».
À lire aussi : Des cyberattaques chinoises touchent « des dizaines de pays », alertent les États-Unis
Un virus voleur de données
Pour glisser leur ransomware au sein du système informatique de ses cibles, les pirates se servent d’abord d’un malware intitulé RustyStealer. Ce logiciel malveillant est conçu pour voler des informations sensibles sur les appareils infectés, comme des identifiants de connexion, les détails personnels et les informations financières. Il fait partie de la famille des infostealers, qui sont de plus en plus répandus dans le monde criminel.
Grâce aux informations obtenues par le virus, les pirates peuvent compromettre les ordinateurs à distance et déployer des commandes à l’insu des utilisateurs. Ils peuvent donc télécharger et installer le ransomware Ymir. Une fois dans le système, le ransomware « contourne de nombreuses protections de sécurité conçues pour contrer les familles de ransomware » habituelles, rapporte Broadcom, relayant les constations de Kaspersky.
Lors des attaques recensées par les experts de la société russe, l’infection survient dans les deux jours après l’offensive menée par RustyStealer. Avant de lancer Ymir, les pirates installent deux outils sur la machine, à savoir Process Hacker et Advanced IP Scanner, respectivement programmés pour la gestion des processus et le scan des réseaux locaux (LAN).
C’est seulement à la suite de ces outils que le ransomware arrive sur l’ordinateur et chiffres les données. Il s’appuie sur ChaCha20, un algorithme de chiffrement conçu pour chiffrer les données le plus rapidement possible. Kaspersky précise qu’une note est laissée dans un fichier PDF laissé sur l’ordinateur. Les cybercriminels recommandent à l’entreprise d’entrer en contact sur une messagerie dédiée pour organiser et négocier le versement de la rançon :
« Vous devrez nous payer pour récupérer vos fichiers. N’essayez pas d’utiliser des applications tierces pour récupérer vos fichiers, ils peuvent être endommagés irrémédiablement. Vous devez nous contacter ».
À lire aussi : 30 hôpitaux ont été attaqués par un ransomware en deux ans
Une menace active pour les entreprises
Comme l’explique Broadcom sur son site web, le ransomware était impliqué dans une récente attaque menée contre « une organisation en Colombie ». Selon Kaspersky, Ymir est une « menace pour tous les types d’entreprises ».
Pour le moment, aucun gang connu n’a encore revendiqué la création du ransomware. De même, les cybercriminels n’ont pas revendiqué d’attaque sur un site consacré à leurs méfaits. Généralement, « les attaquants utilisent des forums ou des portails fantômes pour divulguer des informations afin de faire pression sur les victimes pour qu’elles paient la rançon, ce qui n’est pas le cas avec Ymir », explique Kaspersky.
Ce nouveau ransomware apparaît dans un contexte dans lequel les opérations d’extorsion ont tendance à diminuer, tout en faisant de plus en plus de dégâts. Par ailleurs, les pirates n’hésitent plus à exiger des rançons colossales.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Broadcom