Ymir: La Minaccia Invisibile che Rivoluziona il Mondo del Ransomware
Ymir: Il Nuovo Ransomware che Sfida le Tecniche di Sicurezza Tradizionali
Recentemente, il team di risposta agli incidenti di Kaspersky ha individuato una nuova minaccia nel panorama dei malware: Ymir, una famiglia di ransomware che ha fatto la sua comparsa durante un attacco in Colombia. La sofisticazione delle sue tecniche evidenzia come la sicurezza cyber stia sempre più entrando in una nuova era di sfide complesse.
Ymir si distacca notevolmente dalle pratiche comuni dei ransomware grazie a metodi avanzati che complicano la sua rilevazione. Utilizzando prevalentemente la memoria del dispositivo infetto, il malware esegue attività dannose senza lasciare impronte digitali evidenti su disco. Funzioni di programmazione come malloc, memmove, e memcmp sono impiegate per manovrare il codice nocivo direttamente in RAM.
Queste funzioni permettono ad Ymir di operare in modo quasi invisibile: malloc assegna dinamicamente spazio nella memoria, memmove sposta porzioni di codice evitando la scrittura su disco, e memcmp confronta dati per determinare quali file cifrare. Tale approccio diverge dai ransomware tradizionali che solitamente operano in modo più sequenziale e registrano le loro operazioni su disco.
Ymir è in grado di infiltrarsi nei sistemi tramite accesso remoto, ottenuto grazie a comandi PowerShell, spesso preceduti dal malware RustyStealer, un ladro di credenziali. Una volta all’interno del sistema, Ymir usa strumenti come Process Hacker e Advanced IP Scanner per indebolire ulteriormente le difese informatiche prima di procedere alla cifratura dei dati.
Le cifrature sono eseguite impiegando l’algoritmo ChaCha20, e le vittime si ritrovano con i propri file rinominati con l’estensione .6C5oy2dVr6. Inoltre, Ymir crea una nota di riscatto in PDF, spargendola in diverse cartelle per costringere le vittime a notare la presenza del ransomware. Interessante è la funzionalità che permette di selezionare specificatamente quali file cifrare, grazie all’opzione –path, che gli consente di ignorare file potenzialmente essenziali o meno rilevanti, complicando la pronta individuazione del malware.
Una volta completata la sua missione, Ymir scomparirà automaticamente dal sistema infettato, cancellando ogni traccia del proprio eseguibile tramite comandi PowerShell. Questo rende particolarmente complesso per gli analisti di sicurezza recuperare o analizzare il malware post-attacco.
Ymir non si è ancora manifestato attraverso i consueti canali di comunicazione e vendita di dati, tipici delle operazioni di ransomware più strutturate, il che aggiunge un ulteriore livello di mistero e preoccupazione intorno a questa nuova minaccia.
In conclusione, il ransomware Ymir rappresenta un significativo passo in avanti nella evoluzione del cyber crimine, con le sue tecniche innovative che possono facilmente eludere i controlli di sicurezza standard. Di fronte a tali minacce, è fondamentale che le organizzazioni rafforzino le proprie difese e adottino strumenti di monitoraggio più avanzati per difendersi da attacchi sempre più invisibili e sofisticati.
Cyber Net Now
Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.