Les chercheurs de Kaspersky ont récemment détecté un nouveau ransomware, nommé Ymir, lors d'une cyberattaque en Colombie. Ce logiciel malveillant, qui fait partie d'une nouvelle famille de ransomwares, s'appuie sur un virus voleur de données, RustyStealer, pour atteindre ses victimes. Les experts avertissent que cette menace croissante cible désormais toutes les entreprises sans distinction.
Le ransomware Ymir est déployé après l’infiltration du système informatique cible via le malware RustyStealer, un logiciel conçu pour voler des informations sensibles telles que des identifiants de connexion, des données personnelles et financières. Ce type de programme fait partie de la famille des infostealers, de plus en plus utilisés par les cybercriminels.
Une fois les données volées, les attaquants peuvent prendre le contrôle à distance du système et y installer Ymir. Ce ransomware, à la différence d'autres variantes, réussit à contourner de nombreuses protections de sécurité. Selon l'éditeur de sécurité Kaspersky, l’infection se produit généralement dans les deux jours suivant l'attaque initiale. Avant de déployer Ymir, les pirates installent sur la machine des outils comme Process Hacker et Advanced IP Scanner, utilisés respectivement pour gérer les processus et analyser les réseaux locaux.
Le ransomware Ymir chiffre ensuite les données avec l’algorithme ChaCha20, réputé pour sa rapidité de chiffrement et son haut niveau de sécurité. Les cybercriminels laissent une note dans un fichier PDF, recommandant à l’entreprise victime de les contacter via une messagerie dédiée pour organiser le paiement de la rançon.
Contrairement à d’autres groupes de hackers qui utilisent des forums pour exercer des pressions sur leurs victimes, les auteurs de Ymir n'ont pas encore employé cette méthode et le ransomware n'a d'ailleurs pas encore été revendiqué par un groupe de cybercriminels spécifique.