Ymir Ransomware: una minaccia agghiacciante per i dati e le reti

Che cos'è il ransomware Ymir?

Ymir Ransomware rappresenta un tipo sofisticato di ransomware che crittografa i file sui sistemi compromessi, utilizzando l'algoritmo crittografico ChaCha20. Questa forma di ransomware è particolarmente scoraggiante a causa del suo approccio unico alla ridenominazione dei file interessati, aggiungendo un'estensione composta da caratteri casuali. Ad esempio, un file inizialmente chiamato "document.pdf" potrebbe essere rinominato "document.pdf.6C5oy2dVr6", il che significa che ora è inaccessibile senza la chiave di decrittazione.

Dopo il processo di crittografia, il ransomware Ymir lascia un'impronta notevole. Le vittime trovano una nota di riscatto intitolata "INCIDENT_REPORT.pdf" in ogni cartella compromessa. Oltre a questo, Ymir visualizza un messaggio di avviso a schermo intero prima della schermata di accesso, sottolineando che la rete è stata violata, i dati sono stati crittografati e le informazioni sensibili sono state rubate.

Ecco la richiesta di riscatto completa:

#? What happened?
Your network has been compromised and attacked by hackers.
All files have been modified.
Sensitive information has been stolen and handed over to our
experts for analysis.

#? Why did this happen?
Your security system was weak, it allowed your company to be
hacked.

#? What are the possible consequences?
You won't be able to use your data, so the company is frozen. You
will lose money every day.
If you refuse to make a deal, your data will be published on the
internet, sold on darknet forums, shared with journalists and your
competitors.
You will suffer reputational damage, your stock will drop in value,
clients and sponsors will lose trust in you.
Also, if the incident becomes public, you will be noticed by law
enforcement agencies and then a long investigation with freezing
of your company will begin.
You'll get multiple fines in excess of the deal.

#? What do I get if I make a deal?
You get file recovery software. We'll remove the stolen data from our servers and provide proof.
You'll get an incident report and recommendations for protection.
You'll get a guarantee that our team will add you to our whitelist of
untouchable companies and we'll never come back to you again. We will not report the incident to anyone.

#? # Why are you doing this?
We're only interested in the money. We don't care about the rest. We also take pleasure in what we do.

#? How can I trust you?
You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every
action we take is discussed.
If we defraud even 1 company, we will never be able to make a
good deal. We will definitely recover your files and we will definitely keep
everything confidential.
We are specialists with years of experience and we respect
ourselves and our reputation.
You'll see that we're a bargain when you contact us.

#? How do I proceed if I don't believe a word you say?
You can go to the recovery or the enforcers, but it will definitely
cost you more than dealing with us.
Recovery will buy our software with your token and sell it to you at
a 300% markup.
The enforcers will trample your company, talk to the lawyers, they
will tell you the consequences.

#? I'm the administrator of this network, what do I do?
Don't try to make a deal on your own, you won't have enough
salary for a few years.
Report the incident to your bosses. They'll find out anyway. We
have their contacts and we'll let them know in three days if no one
contacts us.
If you try to rebuild the network alone and hide the incident from
your bosses, you'll delay the inevitable. At some point, they'll hear
about it on the news and be furious that you denied them the
opportunity to save their company.

#? What do I do?
The first thing you should do is inform your bosses about the
incident.
You'll have to pay us to recover your files. Only we have the unique
token.
Don't try to use any third-party applications to recover your files,
they may be damaged irretrievably.
You need to contact us
You can send us 1-3 modified files and we will prove that we can
recover them. We will provide proof of the stolen data.

RecoverySupport@onionmail.org
To contact us, install qTOX messenger.
hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe
Add our contact and we can make a deal.

Tox ID:
CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF

Capire come funziona il ransomware Ymir

L'avviso a schermo intero svolge un ruolo fondamentale nella strategia di Ymir, evidenziando le conseguenze della violazione e dissuadendo le vittime dal tentare la decrittazione tramite mezzi esterni. Gli aggressori sottolineano che l'utilizzo di metodi di decrittazione non autorizzati potrebbe causare danni irreparabili ai file. Questo messaggio intimidatorio esorta le vittime a informare le autorità competenti all'interno delle loro organizzazioni, aumentando la pressione per agire in base alle richieste degli aggressori.

La nota di riscatto in PDF allegata rafforza questa urgenza, spiegando che pagare il riscatto fornirà gli strumenti di decrittazione necessari e le garanzie che i dati rubati saranno cancellati dai server degli aggressori. La nota avverte che la mancata osservanza potrebbe comportare la fuga di dati online, la vendita sui mercati darknet o la fornitura a concorrenti, minacciando così significative perdite finanziarie e di reputazione.

Cosa vuole il ransomware Ymir

Ymir Ransomware opera con un chiaro movente: guadagno finanziario. Gli aggressori richiedono un pagamento in cambio dello strumento di decrittazione e per impedire il rilascio dei dati rubati. Questa strategia a doppia minaccia non solo spinge le vittime a pagare per ripristinare l'accesso ai propri file, ma sfrutta anche la paura dell'esposizione dei dati pubblici, che potrebbe portare a gravi ripercussioni per le organizzazioni interessate.

Per convincere le vittime della loro credibilità, gli operatori del ransomware offrono di decifrare fino a tre file come prova e forniscono prove del furto di dati. Questa tattica crea fiducia nelle affermazioni degli aggressori e spinge le vittime a conformarsi.

La meccanica dietro l'infiltrazione di Ymir

Operazioni multiformi e coordinate caratterizzano gli attacchi Ymir. L'infiltrazione iniziale nella rete avviene spesso tramite comandi PowerShell per il controllo remoto. Il furto di dati solitamente precede la fase di crittografia, spesso condotta tramite malware RustyStealer. Strumenti aggiuntivi come Process Hacker e Advanced IP Scanner supportano l'attraversamento della rete e l'accesso al sistema di Ymir, mentre le operazioni di memoria avanzate facilitano l'evasione del rilevamento.

Queste operazioni basate sulla memoria comportano l'esecuzione di codice in modo incrementale per evitare di innescare allarmi. Centinaia di chiamate di funzione inseriscono istruzioni dannose nella memoria, potenziando la furtività di Ymir e consentendogli di aggirare le misure di sicurezza convenzionali.

Abilità di autopropagazione di Ymir

La capacità di Ymir di diffondersi su reti locali aggiunge un ulteriore livello di complessità. Questa auto-propagazione è abilitata tramite malware WinRM (Windows Remote Management) e SystemBC, sfruttando i comandi PowerShell per un'esecuzione senza soluzione di continuità. Tali metodi aumentano il potenziale danno, espandendo la portata da un singolo sistema compromesso a un'intera rete di dispositivi connessi.

Le sfide della decrittazione e del recupero dei dati

Decifrare i file criptati da Ymir senza la collaborazione degli aggressori è spesso impossibile. Questa realtà sottolinea il potere che gli aggressori ransomware detengono una volta che un sistema è compromesso. Anche quando le vittime decidono di obbedire e pagare il riscatto, non c'è certezza che gli strumenti di decifratura promessi saranno forniti o che i dati rubati saranno eliminati in modo sicuro. Gli esperti di sicurezza informatica, quindi, sconsigliano vivamente di pagare, poiché perpetua l'attività criminale e finanzia l'ulteriore sviluppo del ransomware.

L'unico modo sicuro per recuperare file compromessi è tramite backup preesistenti e non interessati. Garantire che questi backup siano archiviati separatamente, ad esempio su dispositivi offline o server remoti, è fondamentale per le organizzazioni che mirano a recuperare da incidenti ransomware.

Misure preventive e buone pratiche

Dato l'approccio complesso di Ymir, prevenire le infezioni da ransomware è fondamentale. La maggior parte dei ransomware, incluso Ymir, si diffonde tramite e-mail di phishing, malvertising e download dannosi camuffati da software legittimi. Gli utenti devono prestare attenzione quando gestiscono e-mail da fonti sconosciute ed evitare di cliccare su link o allegati sospetti. Scaricare software esclusivamente da fonti verificate e assicurarsi che i programmi siano tenuti aggiornati tramite canali ufficiali può mitigare il rischio di esposizione al ransomware.

Si raccomanda di mantenere i backup in più posizioni sicure. Avendo copie pulite dei dati archiviate su server remoti o dispositivi di archiviazione offline, le vittime possono aggirare i pagamenti del riscatto e recuperare i propri file in modo indipendente.

Considerazioni finali

Ymir Ransomware funge da duro promemoria del panorama in evoluzione delle minacce informatiche. La sua combinazione di tecniche di crittografia avanzate, esfiltrazione dei dati e strategie di attacco multi-fase pone sfide significative alle organizzazioni. La vigilanza e l'aderenza alle best practice di sicurezza informatica rimangono la difesa in prima linea nella protezione di dati preziosi e nel mantenimento dell'integrità della rete.