Durante un recente intervento, gli esperti di Kaspersky hanno individuato un nuovo ransomware denominato Ymir. I cybercriminali attivano la cifratura dopo aver esfiltrato i file con RustyStealer, un infostealer noto da circa tre anni. Gli sviluppatori di Ymir e gli autori degli attacchi non sono stati ancora scoperti.
Coppia di malware molto pericolosa
Durante l’analisi forense, gli esperti di Kaspersky hanno trovato RustyStealer su diversi computer. Il nome deriva dal fatto che è stato scritto in linguaggio Rust. Come altri infostealer può raccogliere informazioni sul sistema, consentire l’accesso con privilegi elevati e ovviamente rubare le credenziali degli account.
Per accedere ad altri dispositivi in rete ed effettuare il controllo remoto vengono usati Windows Remote Management (WinRM) e PowerShell. I cybercriminali installano inoltre Process Hacker e Advanced IP Scanner. Il collegamento con il server C2 (command and control) per l’invio dei dati viene effettuato con SystemBC.
A questo punto viene installato Ymir. Il ransomware opera completamente in memoria, quindi non lascia tracce su disco. Dopo aver eseguito la scansione del sistema per individuare processi e l’eventuale presenza di sandbox, Ymir avvia la cifratura dei file (tranne quelli che servono per il funzionamento di Windows) con l’algoritmo ChaCha20, aggiungendo un’estensione casuale.
Al termine copia in ogni directory un documento PDF per informare la vittima. I cybercriminali chiedono inoltre di essere contattati tramite qTox. Se non viene pagato il riscatto, i dati verranno pubblicati online o venduti nel dark web.
Ti potrebbe interessare
13 nov 2024