Ymir nuovo ransomware svelato da Kaspersky: minaccia invisibile per i sistemi informatici

Ymir nuovo ransomware svelato da Kaspersky: minaccia invisibile per i sistemi informatici

Ymir: una nuova minaccia ransomware

Ymir rappresenta un’innovativa famiglia di ransomware, recentemente identificata dal Global Emergency Response Team (GERT) di Kaspersky. Questa minaccia è emersa durante un’analisi forense di un attacco avvenuto in Colombia, rivelando anche i sofisticati metodi operativi degli attaccanti. A differenza di altri ransomware noti, Ymir adotta tecniche avanzate per eludere i meccanismi di rilevazione, posizionandosi come una minaccia particolarmente insidiosa e difficile da arginare per i sistemi di sicurezza tradizionali.

Una delle caratteristiche distintive di Ymir è la sua capacità di operare prevalentemente in memoria, eseguendo operazioni dannose senza lasciare tracce evidenti su disco. Questa modalità di operazione rende più complesso per i software di sicurezza identificare l’attività malevola, in quanto gli eseguibili non vengono scritti su disco e le tracce delle operazioni vengono ridotte al minimo. Questo approccio inedito, rispetto ai metodi più comuni utilizzati da altri ransomware, espone le organizzazioni a rischi considerevoli, specialmente quelle prive di una protezione adeguata.

Il team di ricerca di Kaspersky ha messo in evidenza come Ymir utilizzi funzioni di programmazione come malloc, memmove e memcmp per caricare e gestire il codice dannoso direttamente in memoria. Tali funzioni consentono al ransomware di operare senza modificare i file di sistema, favorendo un’infiltrazione silenziosa e una crittografia rapida dei dati. Questa innovazione segnala non solo un avanzamento nelle tecniche di attacco, ma fornisce anche agli attaccanti strumenti più potenti per sfruttare vulnerabilità nei sistemi informatici destinatari.

La crescente sofisticazione di Ymir e il suo approccio operativo in memoria pongono una seria sfida ai professionisti della cybersecurity, che devono aggiornare costantemente le loro strategie di difesa per proteggere efficacemente le reti e le informazioni aziendali. L’adozione di strumenti avanzati di monitoraggio e rilevazione delle minacce diventa, quindi, cruciale per contrastare le dinamiche evolutive dei ransomware come Ymir.

Tecniche di evasione e esecuzione in memoria

Tecniche di evasione e esecuzione in memoria di Ymir

Ymir si distingue nel panorama dei ransomware per l’implementazione di tecniche di evasione altamente sofisticate, in gran parte incentrate sull’esecuzione in memoria. Questa modalità operativa riduce drasticamente la possibilità di rilevamento e analisi post-attacco, poiché gran parte delle sue operazioni avviene senza interagire con il filesystem. Attraverso l’uso di funzioni di programmazione come malloc, memmove e memcmp, Ymir riesce a orchestrare le proprie azioni direttamente in memoria, evitando traccie evidenti nei registri o nei dispositivi di archiviazione.

La funzione malloc, che si occupa dell’allocazione dinamica di memoria, consente a Ymir di creare spazi necessari per il codice malevolo al momento dell’esecuzione, minimizzando la possibilità di essere intercettato. La funzione memmove permette di spostare sezioni di codice all’interno della memoria, mentre memcmp confronta stringhe in memoria per identificare i file e le cartelle destinati alla crittografia. Queste operazioni avvengono in un ciclo continuo, mirando a garantire che l’attività malevola scorri senza interruzioni bloccanti, rendendo difficile agli strumenti di sicurezza rilevare e reagire in tempo.

In aggiunta, Ymir incorpora strategie di auto-eliminazione, utilizzando comandi PowerShell per assicurarsi che le tracce del suo eseguibile siano completamente rimosse una volta portata a termine l’operazione. Questo approccio non solo amplifica l’evasione, ma rende l’analisi post-evento da parte di esperti di sicurezza o forensic estremamente complessa. La combinazione di tecniche di sfruttamento delle risorse di sistema e di meccanismi di auto-cancellazione rende Ymir un avversario formidabile nel contesto attuale delle cyber minacce.

Le implicazioni della sua esecuzione in memoria richiedono un rinnovato focus da parte delle organizzazioni, che devono intervenire con soluzioni di sicurezza più reattive e in grado di monitorare il comportamento sospetto direttamente a livello di memoria, piuttosto che limitarsi a vigilare su file e registri tradizionali. Solo così sarà possibile contrastare la minaccia crescente rappresentata da attacchi sempre più mirati e sofisticati come quelli condotti da Ymir.

Modalità di distribuzione e compromissione del sistema

Modalità di distribuzione e compromissione del sistema da parte di Ymir

Ymir si presenta come una minaccia informatica caratterizzata non solo da sofisticate tecniche di crittografia, ma anche da modalità di distribuzione altrettanto ingegnose. Gli attaccanti sfruttano l’accesso remoto ai sistemi compromessi, con particolare enfasi sull’uso di comandi PowerShell per mantenere un controllo discreto e prolungato. Questa strategia consente di ridurre drasticamente la possibilità di rilevazione da parte dei sistemi di sicurezza, poiché spesso tali comandi vengono eseguiti sotto l’apparenza di operazioni legittime.

Nel caso specifico analizzato dai ricercatori di Kaspersky, il ransomware ha trovato la sua via d’ingresso attraverso un’infezione iniziale orchestrata tramite RustyStealer, un malware noto per il furto di credenziali. Una volta ottenuto l’accesso al sistema, gli attaccanti impiegano strumenti come Process Hacker e Advanced IP Scanner per esplorare e mappare le vulnerabilità del sistema, preparando il terreno per l’installazione definitiva di Ymir. L’utilizzo delle credenziali compromesse per accedere al sistema tramite WinRM e l’esecuzione di comandi remoti PowerShell chiudono il cerchio dell’infiltrazione.

Questa catena di compromissione si distingue per la sua capacità di operare con iniziativa e precisione, facilitando l’espansione della minaccia. Dopo aver stabilito un accesso sicuro, Ymir può procedere all’esecuzione della crittografia dei file, con il chiaro obiettivo di massimizzare l’impatto e costringere le vittime a considerare il pagamento di un riscatto per il ripristino dei dati. Il profilo metodologico del ransomware, unito all’uso di strumenti già diffusi e riconosciuti nel panorama del cybercrime, sottolinea l’importanza di un monitoraggio attivo e di una risposta tempestiva da parte delle organizzazioni, al fine di difendersi da simili attacchi altamente metodici.

Processo di crittografia e gestione dei file

Processo di crittografia e gestione dei file di Ymir

Il ransomware Ymir implementa un processo di crittografia altamente efficace e mirato, con l’obiettivo di massimizzare il danno ai sistemi colpiti e aumentare le probabilità di un riscatto da parte delle vittime. Una volta ottenuto l’accesso completo al sistema compromesso, il ransomware utilizza l’algoritmo di crittografia ChaCha20 per cifrare i file, garantendo così un elevato livello di sicurezza e rendendo estremamente difficoltoso il recupero dei dati senza la chiave di decrittazione fornita solo dopo il pagamento del riscatto.

Ymir non si limita a crittografare indiscriminatamente tutti i file; al contrario, ha la capacità di specificare quali file cifrare attraverso l’opzione –path. Questa flessibilità consente agli attaccanti di evitare la crittografia di file considerati critici o sensibili, potenzialmente per limitare il danno a sistemi essenziali e ostacolare la rapida rilevazione della compromissione. I file cifrati ricevono una nuova estensione, .6C5oy2dVr6, che funge da indicatore della loro condizione criptata, rendendo evidente, sebbene in modo intimidatorio, che l’accesso ai dati è stato compromesso.

In aggiunta, il ransomware crea una nota di riscatto in formato PDF, intitolata INCIDENT_REPORT.pdf, che viene disseminata in varie directory del sistema infetto, garantendo così che le vittime possano facilmente accedere alle istruzioni per il pagamento del riscatto. Questo approccio strategico dimostra la pianificazione degli attaccanti, i quali cercano di facilitare ulteriormente il contatto con le potenziali vittime per massimizzare l’efficacia della loro operazione estorsiva.

Un aspetto distintivo di Ymir è la sua capacità di auto-eliminar si al termine dell’operazione di crittografia. Utilizzando comandi PowerShell, il ransomware cancella il proprio eseguibile dal sistema, un’azione che riduce ulteriormente le tracce lasciate e complica l’analisi forense post-attacco. Tale invisibilità rappresenta una significativa sfida per i professionisti della cybersecurity, poiché limita le informazioni disponibili per comprendere le modalità di attacco e migliorare le pratiche future di difesa.

Implicazioni e raccomandazioni per la sicurezza

La scoperta di Ymir pone seri interrogativi riguardo alla resilienza delle attuali misure di sicurezza informatica. La sua natura avanzata, che integra l’esecuzione in memoria e le tecniche di evasione, evidenzia la necessità per le organizzazioni di rivedere e potenziare le loro strategie di difesa. I tradizionali approcci statici alla sicurezza, basati su firme di malware e rilevazione tramite file system, risultano inadeguati contro soggetti che operano prevalentemente in memoria e che annullano le tracce delle loro attività.

È quindi cruciale che le aziende adottino soluzioni di sicurezza più dinamiche e incentrate sul comportamento, mirate a monitorare e analizzare non solo le attività sui dischi, ma anche quelle che si svolgono in memoria. Tecnologie come endpoint detection and response (EDR) e sistemi di monitoraggio avanzati possono fornire visibilità sulle operazioni sospette in tempo reale e consentire una risposta immediata. Inoltre, l’integrazione di best practice come l’implementazione di sistemi di controllo degli accessi basati su ruoli e l’uso di autenticazione multifattore sono misure essenziali per ridurre il rischio di compromissione.

Le organizzazioni devono adottare misure proactive per rimanere un passo avanti rispetto ai potenziali attaccanti. La formazione continua del personale è fondamentale, poiché spesso il fattore umano rappresenta il punto più vulnerabile in un’infrastruttura di sicurezza. La consapevolezza riguardo alle minacce emergenti e le tecniche di social engineering utilizzate dagli attaccanti possono drasticamente migliorare le difese di un’organizzazione.

È fortemente consigliato eseguire regolari audit di sicurezza e test di penetrazione per identificare e correggere eventuali vulnerabilità nei sistemi esistenti. L’adozione di un approccio olistico alla sicurezza informatica, che combina tecnologia, processi e formazione, rappresenta il metodo più efficace per mitigare l’impatto di attacchi futuri come quelli condotti da Ymir. Le organizzazioni che non riescono a integrare questi aspetti nel loro quadro di sicurezza corrono il rischio di diventare obiettivi preferenziali per attaccanti sempre più sofisticati.

Articolo editoriale realizzato dalla Redazione di Assodigitale. Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.