Il Global Emergency Response Team di Kaspersky ha rilevato una nuova variante di ransomware Ymir, dal nome della luna irregolare di Saturno che viaggia nel senso contrario alla rotazione del pianeta.
Invisibile e finora mai visualizzato, in realtà è già attivo. E il cyber crimine lo sfrutta in un attacco per il furto di dati e credenziali dei dipendenti.
“Il ransomware Ymir rappresenta un’evoluzione preoccupante nel panorama delle minacce informatiche“, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.
Ecco perché e come mitigare l’attacco, dal momento che Ymir preoccuppa, essendo “parte di una nuova famiglia di ransomware che usa alcune interessanti tecniche di elusione dei software antimalware”, secondo Davide Pala, Senior Presales Engineer di Stormshield Italia.
Indice degli argomenti
Così il ransomware Ymir ruba le credenziali dei dipendenti
Ymir sfrutta metodi avanzati di occultamento e crittografia e riesce a selezionare i file in modo mirato, nel tentativo di elusione del rilevamento, combinando in maniera unica opzioni tecniche e tattiche per moltiplicarne l’efficacia.
“La sua capacità di utilizzare tecniche non convenzionali di gestione della memoria per rimanere invisibile è un chiaro segnale che i criminali informatici stanno affinando le loro strategie per eludere i sistemi di sicurezza”, mette in guardia Dario Fadda.
Il ransomware usa, infatti, ChaCha20, uno stream cipher che spicca per la sua rapidità e sicurezza, che supera l’Advanced Encryption Standard (AES).
“L’uso di algoritmi di crittografia avanzati come ChaCha20, che offre una sicurezza superiore rispetto all’AES, rende questo ransomware particolarmente difficile da affrontare”, conferma Fadda.
Nonostante l’assenza di condivisione pubblica dei dati rubati né di ulteriori richieste, è sotto stretto monitoraggio per scoprire eventuali nuove attività.
“Non abbiamo ancora rilevato l’emergere di nuovi gruppi di ransomware nel mercato underground. In genere, gli aggressori utilizzano forum o portali ‘ombra’ per diffondere informazioni e fare pressione sulle vittime affinché paghino il riscatto, ma non è questo il caso. Per questo motivo, la questione di quale sia il gruppo dietro il ransomware rimane aperta e sospettiamo che si tratti di una nuova campagna”, mette in guardia Cristian Souza, Incident Response Specialist di Kaspersky Global Emergency Response Team.
La modifica della memoria per rendere invisibile il ransomware Ymir
Gli attori delle minacce, combinando in maniera insolita funzioni per gestire la memoria – malloc, memmove e memcmp -, riproducendo il codice malevolo direttamente nella memoria, potenziano così le capacità stealth di questo approccio che si differenzia dal tipico flusso di esecuzione sequenziale dei ransomware più popolari.
Inoltre, Ymir è versatile. Il comando –path permette agli attaccanti di segnalare una directory dove il ransomware deve trovare i file. Se un file appare nella whitelist, il ransomware lo salta e lo evita.
Tale funzione permette agli aggressori di ottenere più controllo su ciò che è (o meno) crittografato.
“Nonostante sia un malware ben sviluppato, con caratteristiche che evidenziano il suo uso da parte di threat actors strutturati”, evidenzia Pala, “le tecniche utilizzate per la delivery sono le medesime delle famiglie ransomware più comuni”.
Il furto di credenziali e dati
Nell’attacco rilevato dagli esperti di Kaspersky, contro un’impresa in Colombia, emerge inoltre l’uso di RustyStealer, un tipo di malware che trafuga le informazioni, per carpire le credenziali aziendali dei dipendenti.
Infatti “la modalità di attacco che combina il furto di credenziali tramite malware come RustyStealer con la distribuzione del ransomware è un approccio innovativo e allarmante“, sottolinea Dario Fadda.
Successivamente, queste permetteranno di accedere ai sistemi aziendali e mantenere il controllo quanto basta per distribuire il ransomware. Si tratta del brokeraggio dell’accesso iniziale, dove gli attaccanti fanno ingresso nei sistemi, mantenendone l’accesso.
“Questo non solo aumenta l’efficacia dell’attacco, ma suggerisce anche che i gruppi di cybercriminali stanno evolvendo, integrando diverse tecniche per massimizzare il loro impatto“, conclude Fadda.
Generalmente, i broker, una volta guadagnato l’accesso iniziale, lo rivendono sul dark web ad altri criminali informatici. Tuttavia, in questo caso, preferiscono proseguire l’attacco da soli distribuendo il ransomware.
“Se i broker sono effettivamente gli stessi attori che hanno distribuito il ransomware, potrebbe trattarsi di un nuovo trend, creando ulteriori possibilità di attacco senza affidarsi ai tradizionali gruppi Ransomware-as-a-Service (RaaS)”, illustra Cristian Souza.
Come proteggersi dal ransomware Ymir
Per difendersi dagli attacchi di tipo ransomware, occorre effettuare backup e condurre simulazioni e test periodici, soprattutto investendo sulla formazione dei dipendenti. La raccomandazione è di non pagar maie il riscatto, per non incoraggiare i criminali a continuare le loro operazioni.
“Quanto esposto evidenzia la rilevanza strategica dell’agire sulla prevenzione, andando a limitare o invalidare le funzionalità dei sistemi operativi sfruttate in queste fasi dell’attacco”, evidenzia Pala: “Stormshield Endpoint Security per esempio è in grado di rilevare le tecniche di delivery, e non solo, attraverso l’analisi comportamentale dei processi, come, nel caso specifico, l’impiego sospetto del software Microsoft PowerShell che esegue un download (il malware vero e proprio ed alcuni tools accessori utilizzati dall’attaccante). Questo approccio permette alla soluzione di coprire molteplici fasi dell’attacco, garantendo un’ottima protezione”.
Inoltre, “SES è presente inoltre sulla sandbox BreachFighter, permette quindi la
generazione di indicatori di compromissione e la distribuzione degli stessi a soluzioni come i firewall SNS. Un meccanismo, questo, che consente di estendere la protezione ai primissimi approcci dell’attaccante, negando di fatto la comunicazione con l’infrastruttura di controllo del malware a livello di rete”, conclude Davide Pala.
