{"id":21437,"date":"2024-12-03T21:20:43","date_gmt":"2024-12-04T00:20:43","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21437"},"modified":"2024-12-03T21:22:26","modified_gmt":"2024-12-04T00:22:26","slug":"ransomware-ymir-explora-memoria-para-ataques-furtivos","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/12\/exploits\/ransomware-ymir-explora-memoria-para-ataques-furtivos\/","title":{"rendered":"Ransomware Ymir explora mem\u00f3ria para ataques furtivos"},"content":{"rendered":"\n<pre id=\"tw-target-text\" class=\"wp-block-preformatted\">\u00a0<\/pre>\n\n\n\n<p id=\"tw-target-text\" class=\"tw-data-text tw-text-large tw-ta\" dir=\"ltr\" data-placeholder=\"Tradu\u00e7\u00e3o\" data-ved=\"2ahUKEwjJsrjr54yKAxV4LrkGHVwuBsYQ3ewLegQICxAU\" aria-label=\"Texto traduzido: Novo Ymir Ransomware explora mem\u00f3ria para ataques furtivos; Visa redes corporativas\"><strong><span class=\"Y2IQFc\" lang=\"pt\">Novo Ransomware Ymir explora mem\u00f3ria para ataques furtivos; visando redes corporativas<\/span><\/strong><\/p>\n<p style=\"text-align: justify;\">Um alerta significativo foi emitido por pesquisadores de ciberseguran\u00e7a sobre a descoberta de um novo ransomware denominado Ymir, que representa um salto na sofistica\u00e7\u00e3o de ataques. O Ymir destaca-se por explorar a mem\u00f3ria do sistema para executar seus c\u00f3digos maliciosos, dificultando sua detec\u00e7\u00e3o e aumentando sua letalidade.<\/p>\n<p>\u00a0<\/p>\n<p><strong>In\u00edcio do ataque: RustyStealer e a porta de entrada<\/strong><\/p>\n<p style=\"text-align: justify;\">O ataque do Ymir foi detectado dois dias ap\u00f3s sistemas de uma organiza\u00e7\u00e3o na Col\u00f4mbia serem comprometidos por um malware chamado RustyStealer, projetado para roubar credenciais corporativas.<\/p>\n<p style=\"text-align: justify;\">Essas credenciais roubadas permitiram acesso n\u00e3o autorizado \u00e0 rede da empresa, criando o cen\u00e1rio ideal para a implanta\u00e7\u00e3o do ransomware.<\/p>\n<p style=\"text-align: justify;\">Embora seja comum que agentes de acesso inicial vendam credenciais para grupos de ransomware, ainda n\u00e3o est\u00e1 claro se isso ocorreu neste caso ou se os atacantes realizaram todo o ciclo do ataque, o que indicaria uma tend\u00eancia emergente de amea\u00e7as autossuficientes.<\/p>\n<p>\u00a0<\/p>\n<div class=\"separator\" style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWsUb3MXNozSVKsVcqYwAUSPbHmdJLXvK5j5udN4GiQHZN1Pee8iZeqsh5lVeeeHTcRnRXQWY1F2Ngh0NBlR2KpyXtBB-yMupEvjroJMPTsrT9f1WMqzjx-BQurXbPuCuAw-BeRTZMoA8Ohk3pnscOZhhVSljIeigGQ0-T_JDUcvgFu1eFXNkNJb5GycWC\/s728-rw-e365\/what.png\" class=\"gallery_colorbox\"><img loading=\"lazy\" decoding=\"async\" class=\"loaded\" title=\"Ymir Ransomware\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWsUb3MXNozSVKsVcqYwAUSPbHmdJLXvK5j5udN4GiQHZN1Pee8iZeqsh5lVeeeHTcRnRXQWY1F2Ngh0NBlR2KpyXtBB-yMupEvjroJMPTsrT9f1WMqzjx-BQurXbPuCuAw-BeRTZMoA8Ohk3pnscOZhhVSljIeigGQ0-T_JDUcvgFu1eFXNkNJb5GycWC\/s728-rw-e365\/what.png\"  alt=\"Ymir Ransomware\" width=\"630\" height=\"484\" border=\"0\" data-original-height=\"559\" data-original-width=\"728\" \/><\/a><\/div>\n<p>\u00a0<\/p>\n<p><strong>Caracter\u00edsticas t\u00e9cnicas do Ymir<\/strong><\/p>\n<p style=\"text-align: justify;\">O Ymir apresenta uma abordagem inovadora, utilizando fun\u00e7\u00f5es avan\u00e7adas de gerenciamento de mem\u00f3ria, como malloc, memmove e memcmp, para executar seu c\u00f3digo diretamente na mem\u00f3ria. Essa t\u00e9cnica n\u00e3o sequencial, incomum em ransomwares tradicionais, aumenta sua capacidade de evitar detec\u00e7\u00e3o por ferramentas de seguran\u00e7a convencionais.<\/p>\n<p>Outras caracter\u00edsticas incluem:<\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong>Criptografia de arquivos:<\/strong> Utiliza o algoritmo de fluxo ChaCha20 para criptografar dados, adicionando a extens\u00e3o \u201c.6C5oy2dVr6\u201d aos arquivos afetados.<\/li>\n<li style=\"text-align: justify;\"><strong>Flexibilidade de ataque:<\/strong> Atrav\u00e9s do comando <code>--path<\/code>, os atacantes podem especificar diret\u00f3rios-alvo e determinar quais arquivos ser\u00e3o ignorados, fornecendo controle granular sobre o ataque.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<h3>\u00a0<\/h3>\n<p><strong>Ferramentas e scripts auxiliares<\/strong><\/p>\n<p style=\"text-align: justify;\">Al\u00e9m da criptografia, o Ymir emprega ferramentas como o Advanced IP Scanner e o Process Hacker para mapear e manipular sistemas. Dois scripts do malware SystemBC tamb\u00e9m foram utilizados para estabelecer um canal de comunica\u00e7\u00e3o encoberto com servidores remotos, exfiltrando arquivos maiores que 40 KB criados ap\u00f3s uma data espec\u00edfica.<\/p>\n<p>\u00a0<\/p>\n<h3>\u00a0<\/h3>\n<p><strong>Novas estrat\u00e9gias de engenharia social<\/strong><\/p>\n<p style=\"text-align: justify;\">Paralelamente ao Ymir, outros grupos de ransomware, como o Black Basta, est\u00e3o inovando em t\u00e1ticas de engenharia social para obter acesso inicial:<\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong>Microsoft Teams:<\/strong> Mensagens com QR codes maliciosos direcionam v\u00edtimas para dom\u00ednios fraudulentos.<\/li>\n<li style=\"text-align: justify;\"><strong>Falsos suportes de TI:<\/strong> Atacantes se passam por t\u00e9cnicos de TI para enganar funcion\u00e1rios e instalar ferramentas de acesso remoto, como AnyDesk e Quick Assist.<\/li>\n<li style=\"text-align: justify;\"><strong>Ataques Malspam:<\/strong> Envio em massa de e-mails maliciosos seguido de liga\u00e7\u00f5es telef\u00f4nicas para &#8220;ajudar&#8221; as v\u00edtimas a solucionar problemas fict\u00edcios.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<h3>\u00a0<\/h3>\n<p><strong>Impactos econ\u00f4micos e setores alvo<\/strong><\/p>\n<p style=\"text-align: justify;\">Os ataques de ransomware continuam a evoluir e a impactar setores cr\u00edticos. Dados recentes indicam que:<\/p>\n<ul>\n<li>O setor industrial, tecnologia da informa\u00e7\u00e3o e bens de consumo discricion\u00e1rio foram os mais visados nos \u00faltimos meses.<\/li>\n<li>O custo m\u00e9dio de um ataque \u00e9 de US$ 36 milh\u00f5es, gerando bilh\u00f5es de d\u00f3lares em preju\u00edzo globalmente.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Em paralelo, vulnerabilidades espec\u00edficas, como a explora\u00e7\u00e3o de dispositivos SonicWall, SSL, VPN desatualizados, foram exploradas em pelo menos 30 intrus\u00f5es desde agosto de 2024.<\/p>\n<p>\u00a0<\/p>\n<h3>\u00a0<\/h3>\n<p><strong>Fragmenta\u00e7\u00e3o no ecossistema de ransomware<\/strong><\/p>\n<p style=\"text-align: justify;\">Relat\u00f3rios apontam que o n\u00famero de grupos de ransomware ativos aumentou 30% em rela\u00e7\u00e3o ao ano anterior, com 31 novos grupos surgindo. Apesar desse crescimento, o n\u00famero de v\u00edtimas n\u00e3o acompanhou a mesma curva, indicando uma fragmenta\u00e7\u00e3o no ecossistema, com muitos grupos ainda incapazes de executar ataques eficazes.<\/p>\n<p style=\"text-align: justify;\">Essa dispers\u00e3o, no entanto, n\u00e3o reduz o impacto global do ransomware, que agora tamb\u00e9m \u00e9 usado por hacktivistas pol\u00edticos, como o grupo CyberVolk, para retalia\u00e7\u00f5es.<\/p>\n<p>\u00a0<\/p>\n<h3>\u00a0<\/h3>\n<p><strong>Esfor\u00e7os globais de mitiga\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">Governos e organiza\u00e7\u00f5es est\u00e3o intensificando esfor\u00e7os para conter a amea\u00e7a do ransomware:<\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong>Proibi\u00e7\u00e3o de pagamentos de resgate:<\/strong> Autoridades americanas t\u00eam pressionado seguradoras a n\u00e3o reembolsarem resgates pagos, com o objetivo de desincentivar as v\u00edtimas a financiar ecossistemas criminosos.<\/li>\n<li style=\"text-align: justify;\"><strong>Investimentos em educa\u00e7\u00e3o:<\/strong> Alertas e treinamentos visam capacitar empresas e funcion\u00e1rios para detectar e evitar ataques.<\/li>\n<\/ul>\n<h3>\u00a0<\/h3>\n<p><strong>Conclus\u00e3o: prepara\u00e7\u00e3o \u00e9 essencial<\/strong><\/p>\n<p style=\"text-align: justify;\">O surgimento do Ymir ressalta como os atacantes continuam inovando, explorando novas vulnerabilidades e ampliando seu arsenal t\u00e9cnico. Em um cen\u00e1rio onde o ransomware est\u00e1 mais fragmentado, mas ainda extremamente perigoso, organiza\u00e7\u00f5es precisam adotar medidas robustas de seguran\u00e7a, como:<\/p>\n<ul>\n<li>Atualiza\u00e7\u00e3o de sistemas e dispositivos.<\/li>\n<li>Implementa\u00e7\u00e3o de ferramentas avan\u00e7adas de monitoramento e detec\u00e7\u00e3o.<\/li>\n<li style=\"text-align: justify;\">Educa\u00e7\u00e3o cont\u00ednua de equipes sobre as t\u00e1ticas de engenharia social.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">A amea\u00e7a \u00e9 real e crescente, e cabe \u00e0s empresas assumirem uma postura proativa para proteger seus ativos e minimizar riscos.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e imagens:<a href=\"https:\/\/thehackernews.com\/2024\/11\/new-ymir-ransomware-exploits-memory-for.html\" target=\"_blank\" rel=\"noopener\"> https:\/\/thehackernews.com\/2024\/11\/new-ymir-ransomware-exploits-memory-for.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>\u00a0 Novo Ransomware Ymir explora mem\u00f3ria para ataques furtivos; visando redes corporativas Um alerta significativo foi emitido por pesquisadores de ciberseguran\u00e7a sobre a descoberta de um novo ransomware denominado Ymir, que representa um salto na sofistica\u00e7\u00e3o de ataques. O Ymir destaca-se por explorar a mem\u00f3ria do sistema para executar seus c\u00f3digos maliciosos, dificultando sua detec\u00e7\u00e3o [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21445,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21437","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21437","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21437"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21437\/revisions"}],"predecessor-version":[{"id":21448,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21437\/revisions\/21448"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21445"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21437"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21437"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21437"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}