Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 13 Novembre 2024 17:54
Gli specialisti di Kaspersky Lab hanno scoperto un nuovo malware ransomware chiamato Ymir, che utilizza meccanismi avanzati per aggirare il rilevamento e la crittografia dei dati dell’organizzazione vittima. Il malware prende il nome dalla luna irregolare di Saturno, che orbita nella direzione opposta alla rotazione del pianeta. Questo nome riflette la combinazione non convenzionale di funzionalità di gestione della memoria utilizzate da Ymir.
I ricercatori hanno scoperto Ymir mentre analizzavano un attacco contro un’organizzazione anonima in Colombia avvenuto in più fasi. In primo luogo, gli aggressori hanno utilizzato lo stealer RustyStealer per rubare le credenziali aziendali dei dipendenti. Ciò ha consentito loro di accedere al sistema e di mantenerne il controllo abbastanza a lungo da impiantare il ransomware.
Questo comportamento è solitamente tipico dei cosiddetti broker di accesso iniziale (IaB). Di solito poi vendono l’accesso al sistema attaccato nel Dark Web ad altri aggressori. In questo caso, però, gli aggressori utilizzando l’accesso per lanciare un ransomware.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
“Se i cosiddetti “broker” e coloro che hanno distribuito il ransomware sono le stesse persone, allora possiamo parlare di una deviazione dalla tendenza principale: gli aggressori hanno ulteriori opportunità di hacking senza fare affidamento sui gruppi tradizionali che offrono la crittografia come servizio ( RaaS)”, commenta Konstantin Sapronov, capo del team globale di risposta agli incidenti informatici presso Kaspersky Lab.
Va notato che gli aggressori hanno utilizzato una combinazione non standard delle funzioni malloc , memmove e memcmp per eseguire codice dannoso direttamente nella memoria. Questo approccio differisce dal tipico flusso di esecuzione sequenziale tipicamente utilizzato nei comuni ransomware e consente ai criminali di eludere il rilevamento in modo più efficace.
Inoltre, Ymir consente agli aggressori di crittografare selettivamente i file, il che dà loro un maggiore controllo sulla situazione. Utilizzando il comando path, gli aggressori possono specificare la directory in cui il malware deve cercare i dati. Se un file è nella lista bianca, Ymir lo salterà e non lo crittograferà.
Il ransomware utilizza ChaCha20, un moderno malware a flusso ad alta velocità e sicurezza. Le sue prestazioni sono superiori all’algoritmo di crittografia Advanced Encryption Standard (AES). Sebbene gli aggressori non abbiano ancora denunciato pubblicamente il furto di dati né avanzato alcuna richiesta, gli esperti monitorano attentamente ogni nuova attività.
“Finora non abbiamo notato l’emergere di nuovi gruppi che attaccano con questo ransomware. Solitamente gli aggressori pubblicano informazioni sui data leak site o su forum o portali del dark web per esigere un riscatto dalle vittime. Ma nel caso di Ymir ciò non è ancora avvenuto. Resta quindi aperta la questione su chi si celi dietro il nuovo ransomware. Crediamo che questa possa essere una nuova campagna”, chiarisce Konstantin.
Redazione