Cybersicurezza
Ymir, il nuovo ransomware invisibile che colpisce senza lasciare tracce
Il ransomware Ymir colpisce con tecniche avanzate di occultamento e crittografia per rubare credenziali e dati aziendali. Scoperto dal team di Kaspersky, rappresenta una nuova sfida per la sicurezza informatica, eludendo i sistemi di rilevamento
Il Global Emergency Response Team di Kaspersky ha recentemente scoperto un nuovo tipo di ransomware, chiamato Ymir, che rappresenta una minaccia particolarmente difficile da rilevare per le aziende. Ymir utilizza tecniche di occultamento avanzate e una crittografia potente per colpire in modo mirato e sottrarre le credenziali dei dipendenti.
Tecniche avanzate di occultamento nella memoria
Una delle caratteristiche che distingue Ymir dagli altri ransomware è la sua capacità di evitare il rilevamento attraverso tecniche avanzate di gestione della memoria. Invece di seguire il tipico flusso di esecuzione dei ransomware, Ymir sfrutta funzioni come malloc, memmove e memcmp per riprodurre il proprio codice direttamente nella memoria, eludendo così i controlli di sicurezza tradizionali.
Questa strategia stealth consente agli aggressori di stabilire un controllo più profondo sui sistemi colpiti e di scegliere con precisione i file da cifrare o ignorare tramite il comando –path. Questa flessibilità nel selezionare i file aumenta l’efficacia di Ymir, offrendo agli aggressori un elevato controllo sulle operazioni.
La collaborazione con RustyStealer per rubare credenziali
L’attacco recentemente rilevato in Colombia ha evidenziato come gli aggressori abbiano utilizzato un malware noto come RustyStealer per rubare credenziali aziendali, garantendosi l’accesso ai sistemi interni. In questa occasione, i criminali hanno mantenuto il controllo del sistema abbastanza a lungo da distribuire il ransomware senza l’intervento di gruppi di broker dell’accesso.
Questa pratica, nota come brokeraggio dell’accesso iniziale, permette ai cybercriminali di entrare nei sistemi e cedere poi le credenziali ad altri gruppi sul dark web. Tuttavia, in questo caso, gli autori dell’attacco hanno continuato autonomamente la distribuzione di Ymir, senza ricorrere ai tradizionali gruppi Ransomware-as-a-Service (RaaS). Secondo Cristian Souza, specialista di risposta agli incidenti di Kaspersky, potrebbe trattarsi di un nuovo trend, con cybercriminali più autonomi che riducono la loro dipendenza dalle piattaforme di RaaS.
Potente algoritmo di crittografia ChaCha20
Per crittografare i dati, Ymir utilizza ChaCha20, un algoritmo avanzato noto per la sua velocità e sicurezza, in molti casi superiore all’Advanced Encryption Standard (AES). Questa scelta permette agli autori di Ymir di garantire che i dati siano ben protetti, ma rende più difficile per le vittime recuperare le informazioni senza pagare il riscatto.
Gli esperti di Kaspersky sono attualmente impegnati nel monitorare l’attività del ransomware per rilevare eventuali nuove campagne, ma, per ora, non è ancora emerso il gruppo specifico dietro questo attacco. Ymir sembra essere la creazione di una campagna ransomware autonoma e indipendente, un’ipotesi rafforzata dalla mancanza di annunci sui portali clandestini di cybercriminalità, dove solitamente vengono presentati i nuovi ransomware.
Raccomandazioni per proteggersi da Ymir e altri ransomware
Alla luce di questa nuova minaccia, gli esperti di Kaspersky raccomandano alcune misure fondamentali per proteggere i dati aziendali da ransomware avanzati come Ymir:
- Backup frequenti e test periodici: assicurarsi che i backup dei dati siano aggiornati e accessibili.
- Formazione dei dipendenti: aumentare la consapevolezza dei lavoratori sulle minacce IT, insegnando strategie di prevenzione efficaci.
- Non pagare il riscatto: questo approccio alimenta le operazioni dei cybercriminali, senza garantire il recupero dei dati.
- Implementazione di soluzioni di sicurezza avanzate: i prodotti della linea Kaspersky Next offrono protezione in tempo reale e supportano indagini e risposte agli attacchi (EDR e XDR).
- Disabilitazione dei servizi e porte non necessari: ridurre il potenziale di attacco eliminando i punti di ingresso non necessari nei sistemi aziendali.
Continua a leggere le notizie di Diario Innovazione e segui la nostra pagina Facebook