Il Global Emergency Response Team di Kaspersky ha identificato una nuova variante di ransomware, finora mai vista, utilizzata attivamente in un attacco per rubare le credenziali dei dipendenti. Il ransomware, chiamato “Ymir”, ricorre a metodi avanzati di occultamento e crittografia. Inoltre, seleziona in modo mirato i file e cerca di eludere il rilevamento.
Il ransomware Ymir possiede una combinazione unica di funzionalità tecniche e tattiche in grado di aumentarne l’efficacia.
Tecniche non convenzionali di modifica della memoria per essere invisibile. I criminali sfruttano una combinazione insolita di funzioni per la gestione della memoria – malloc, memmove e memcmp – al fine di riprodurre il codice dannoso direttamente nella memoria. Questo approccio si distingue dal tipico flusso di esecuzione sequenziale utilizzato nei ransomware più diffusi, rafforzando le sue capacità stealth. Inoltre, Ymir è flessibile: grazie al comando –path, gli aggressori possono indicare una directory in cui il ransomware deve cercare i file. Se un file è presente nella whitelist, il ransomware lo salta e lo ignora. Questa funzione offre agli aggressori un maggiore controllo su ciò che viene o non viene crittografato.
Utilizzo di malware per il furto di dati. Nell’attacco scoperto dagli esperti di Kaspersky, che ha colpito un’azienda in Colombia, gli autori hanno utilizzato RustyStealer, un tipo di malware che ruba le informazioni, per ottenere le credenziali aziendali dei dipendenti. In seguito, queste sono state utilizzate per ottenere l’accesso ai sistemi aziendali e mantenere il controllo a sufficienza per distribuire il ransomware. Questo attacco è noto come brokeraggio dell’accesso iniziale, in cui gli aggressori si inseriscono nei sistemi e mantengono l’accesso. In genere, i broker addetti all’accesso iniziale, una volta ottenuto lo vendono sul dark web ad altri cybercriminali, ma in questo caso sembra che abbiano continuato l’attacco da soli distribuendo il ransomware. “Se i broker sono effettivamente gli stessi attori che hanno distribuito il ransomware, potrebbe trattarsi di un nuovo trend, creando ulteriori possibilità di attacco senza affidarsi ai tradizionali gruppi Ransomware-as-a-Service (RaaS)”, ha spiegato Cristian Souza, Incident Response Specialist di Kaspersky Global Emergency Response Team.