Ransomware Ymir : une menace terrifiante pour les données et les réseaux

Qu'est-ce que le ransomware Ymir ?

Ymir Ransomware est un type sophistiqué de ransomware qui crypte les fichiers sur les systèmes compromis, en utilisant l'algorithme cryptographique ChaCha20. Cette forme de ransomware est particulièrement redoutable en raison de son approche unique pour renommer les fichiers affectés, en ajoutant une extension comprenant des caractères aléatoires. Par exemple, un fichier initialement appelé « document.pdf » pourrait être renommé « document.pdf.6C5oy2dVr6 », ce qui signifie qu'il est désormais inaccessible sans la clé de déchiffrement.

Après le processus de chiffrement, le ransomware Ymir laisse une trace notable. Les victimes trouvent une note de rançon intitulée « INCIDENT_REPORT.pdf » dans chaque dossier compromis. Au-delà de cela, Ymir affiche un message d'avertissement en plein écran avant l'écran de connexion, soulignant que le réseau a été piraté, que les données ont été cryptées et que des informations sensibles ont été volées.

Voici la demande de rançon dans son intégralité :

#? What happened?
Your network has been compromised and attacked by hackers.
All files have been modified.
Sensitive information has been stolen and handed over to our
experts for analysis.

#? Why did this happen?
Your security system was weak, it allowed your company to be
hacked.

#? What are the possible consequences?
You won't be able to use your data, so the company is frozen. You
will lose money every day.
If you refuse to make a deal, your data will be published on the
internet, sold on darknet forums, shared with journalists and your
competitors.
You will suffer reputational damage, your stock will drop in value,
clients and sponsors will lose trust in you.
Also, if the incident becomes public, you will be noticed by law
enforcement agencies and then a long investigation with freezing
of your company will begin.
You'll get multiple fines in excess of the deal.

#? What do I get if I make a deal?
You get file recovery software. We'll remove the stolen data from our servers and provide proof.
You'll get an incident report and recommendations for protection.
You'll get a guarantee that our team will add you to our whitelist of
untouchable companies and we'll never come back to you again. We will not report the incident to anyone.

#? # Why are you doing this?
We're only interested in the money. We don't care about the rest. We also take pleasure in what we do.

#? How can I trust you?
You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every
action we take is discussed.
If we defraud even 1 company, we will never be able to make a
good deal. We will definitely recover your files and we will definitely keep
everything confidential.
We are specialists with years of experience and we respect
ourselves and our reputation.
You'll see that we're a bargain when you contact us.

#? How do I proceed if I don't believe a word you say?
You can go to the recovery or the enforcers, but it will definitely
cost you more than dealing with us.
Recovery will buy our software with your token and sell it to you at
a 300% markup.
The enforcers will trample your company, talk to the lawyers, they
will tell you the consequences.

#? I'm the administrator of this network, what do I do?
Don't try to make a deal on your own, you won't have enough
salary for a few years.
Report the incident to your bosses. They'll find out anyway. We
have their contacts and we'll let them know in three days if no one
contacts us.
If you try to rebuild the network alone and hide the incident from
your bosses, you'll delay the inevitable. At some point, they'll hear
about it on the news and be furious that you denied them the
opportunity to save their company.

#? What do I do?
The first thing you should do is inform your bosses about the
incident.
You'll have to pay us to recover your files. Only we have the unique
token.
Don't try to use any third-party applications to recover your files,
they may be damaged irretrievably.
You need to contact us
You can send us 1-3 modified files and we will prove that we can
recover them. We will provide proof of the stolen data.

RecoverySupport@onionmail.org
To contact us, install qTOX messenger.
hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe
Add our contact and we can make a deal.

Tox ID:
CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF

Comprendre le fonctionnement du ransomware Ymir

L'alerte plein écran joue un rôle essentiel dans la stratégie d'Ymir, en mettant en évidence les conséquences de la violation et en dissuadant les victimes de tenter de décrypter les données par des moyens externes. Les attaquants soulignent que l'utilisation de méthodes de décryptage non autorisées pourrait entraîner des dommages irréparables aux fichiers. Ce message intimidant exhorte les victimes à informer les autorités compétentes au sein de leurs organisations, augmentant ainsi la pression pour qu'elles agissent conformément aux demandes des attaquants.

La note de rançon au format PDF qui accompagne la demande renforce cette urgence, en expliquant que le paiement de la rançon permettra d'obtenir les outils de décryptage nécessaires et l'assurance que les données volées seront effacées des serveurs des attaquants. La note prévient que le non-respect de cette obligation peut entraîner une fuite de données en ligne, leur vente sur les marchés du darknet ou leur mise à disposition de concurrents, ce qui menace d'entraîner des pertes financières et de réputation importantes.

Ce que veut le ransomware Ymir

Le ransomware Ymir a un objectif clair : le profit financier. Les attaquants exigent un paiement en échange de l'outil de décryptage et pour empêcher la divulgation des données volées. Cette stratégie de double menace non seulement pousse les victimes à payer pour restaurer l'accès à leurs fichiers, mais exploite également la peur de l'exposition publique des données, ce qui pourrait entraîner de graves répercussions pour les organisations concernées.

Pour convaincre les victimes de leur crédibilité, les opérateurs de ransomware proposent de décrypter jusqu'à trois fichiers en guise de preuve et de fournir des preuves du vol de données. Cette tactique renforce la confiance dans les affirmations des attaquants et incite les victimes à se conformer.

Les mécanismes derrière l'infiltration d'Ymir

Les attaques Ymir se caractérisent par des opérations coordonnées et multidimensionnelles. L'infiltration initiale du réseau se produit souvent via des commandes PowerShell pour le contrôle à distance. Le vol de données précède généralement la phase de chiffrement, souvent réalisée à l'aide du malware RustyStealer. Des outils supplémentaires tels que Process Hacker et Advanced IP Scanner prennent en charge la traversée du réseau et l'accès au système d'Ymir, tandis que les opérations de mémoire avancées facilitent l'évasion de la détection.

Ces opérations basées sur la mémoire impliquent l'exécution incrémentielle du code pour éviter de déclencher des alarmes. Des centaines d'appels de fonctions insèrent des instructions malveillantes dans la mémoire, améliorant la furtivité d'Ymir et lui permettant de contourner les mesures de sécurité conventionnelles.

Capacités d'auto-propagation d'Ymir

La capacité d'Ymir à se propager sur les réseaux locaux ajoute un niveau de complexité supplémentaire. Cette autopropagation est rendue possible grâce à WinRM (Windows Remote Management) et au malware SystemBC, qui exploitent les commandes PowerShell pour une exécution transparente. De telles méthodes augmentent les dégâts potentiels, étendant la portée d'un seul système compromis à un réseau entier d'appareils connectés.

Les défis du décryptage et de la récupération des données

Il est souvent impossible de décrypter les fichiers cryptés par Ymir sans la coopération des attaquants. Cette réalité souligne le pouvoir dont disposent les attaquants de ransomware une fois qu'un système est compromis. Même lorsque les victimes décident d'accepter et de payer la rançon, rien ne garantit que les outils de décryptage promis seront fournis ou que les données volées seront supprimées en toute sécurité. Les experts en cybersécurité déconseillent donc fortement de payer, car cela perpétue les activités criminelles et finance le développement de ransomwares.

Le seul moyen sûr de récupérer des fichiers compromis consiste à utiliser des sauvegardes préexistantes et non affectées. Il est essentiel pour les entreprises qui souhaitent se remettre d'un incident de ransomware de s'assurer que ces sauvegardes sont stockées séparément, par exemple sur des appareils hors ligne ou des serveurs distants.

Mesures préventives et meilleures pratiques

Compte tenu de la complexité de l'approche d'Ymir, il est essentiel de prévenir les infections par ransomware. La plupart des ransomwares, y compris Ymir, se propagent par le biais d'e-mails de phishing, de publicités malveillantes et de téléchargements malveillants déguisés en logiciels légitimes. Les utilisateurs doivent faire preuve de prudence lorsqu'ils traitent des e-mails provenant de sources inconnues et éviter de cliquer sur des liens ou des pièces jointes suspectes. Le téléchargement de logiciels uniquement à partir de sources vérifiées et la garantie que les programmes sont mis à jour via les canaux officiels peuvent atténuer le risque d'exposition aux ransomwares.

Il est recommandé de conserver les sauvegardes dans plusieurs emplacements sécurisés. En stockant des copies de données propres sur des serveurs distants ou des périphériques de stockage hors ligne, les victimes peuvent contourner les paiements de rançon et récupérer leurs fichiers de manière indépendante.

Réflexions finales

Le ransomware Ymir est un rappel brutal de l’évolution du paysage des cybermenaces. Sa combinaison de techniques de chiffrement avancées, d’exfiltration de données et de stratégies d’attaque en plusieurs étapes pose des défis importants aux organisations. La vigilance et le respect des meilleures pratiques en matière de cybersécurité restent la première ligne de défense pour protéger les données précieuses et maintenir l’intégrité du réseau.