Ymir, il ransomware che si nasconde

13 Novembre 2024

La nuova minaccia, scoperta da Kaspersky, si basa su tecniche non convenzionali di modifica della memoria per apparire invisibile

Saturno Ymir — Nella foto di WikiImages da Pixabay, Saturno con sei delle le sue lune. Ymir è uno dei 146 satelliti naturali del “pianeta con gli anelli”, che ha ispirato il team di Kaspersky nella denominazione del nuovo *ransomware*. Come il corpo celeste, infatti, la minaccia informatica si comporta in modo non convenzionale

Un nuovo ransomware turba i sonni delle aziende. Si tratta di Ymir, la cui specialità è rubare le credenziali dei dipendenti mediante metodi avanzati di occultamento e crittografia. La nuova minaccia, scoperta da Kaspersky e mai rilevata prima, è in grado di selezionare in modo mirato i file, cercando nel contempo di eludere il rilevamento.
Ymir, afferma una nota della società di sicurezza informatica, si basa su tecniche non convenzionali di modifica della memoria per apparire invisibile. I delinquenti utilizzano una combinazione insolita di funzioni (malloc, memmove e memcmp) per riprodurre il codice dannoso direttamente nella memoria.
“Questo approccio”, si legge nel comunicato di Kaspersky, “si distingue dal tipico flusso di esecuzione sequenziale utilizzato nei ransomware più diffusi, rafforzando le sue capacità stealth. Inoltre, Ymir è flessibile: grazie al comando –path, gli aggressori possono indicare una directory in cui il ransomware deve cercare i file. Se un file è presente nella whitelist, il ransomware lo salta e lo ignora. Questa funzione offre agli aggressori un maggiore controllo su ciò che viene o non viene crittografato”

L’attacco

Nell’attacco scoperto da Kaspersky – attacco che ha colpito un’impresa in Colombia – i criminali informatici hanno usato RustyStealer, malware specializzato nel furto delle informazioni, per conoscere le credenziali aziendali dei dipendenti, garantendosi la possibilità di accedere ai sistemi aziendali e mantenere il controllo durante un periodo di tempo sufficiente per distribuire in prima persona la minaccia informatica.

Chi è stato?

Non è ancora nota la banda che ha ideato Ymir. “Non abbiamo ancora rilevato l’emergere di nuovi gruppi di ransomware nel mercato underground“, ha commentato Cristian Souza, incident response specialist di Kaspersky Global Emergency Response Team. “In genere, gli aggressori utilizzano forum o portali “ombra” per diffondere informazioni e fare pressione sulle vittime affinché paghino il riscatto, ma non è questo il caso. Perciò, la questione di quale sia il gruppo dietro il ransomware rimane aperta e sospettiamo che si tratti di una nuova campagna”.

Satellite naturale di Saturno

Ymir è uno dei 146 satelliti naturali di Saturno, scoperto nel 2000 da Brett J. Gladman, e si muove nella direzione opposta rispetto alla rotazione del pianeta (moto retrogrado); il team della società di sicurezza informatica, nel chiamare il ransomware in questo modo, ha pensato proprio alla similitudine con il corpo celeste, data la combinazione non convenzionale delle funzioni di gestione della memoria di cui la nuova minaccia si serve.

I consigli per fronteggiare la minaccia

Kaspersky consiglia di combattere queste minacce programmando spesso il back up, organizzando test periodici e formando i dipendenti sulla sicurezza informatica.
Nel caso in cui si sia vittima di un ransomware, prosegue Kaspersky, e non sia in commercio un decriptatore (che può essere anche cercato in rete), occorre cercare di salvare i file più importanti. Naturalmente, il riscatto non deve mai essere pagato, perché non garantisce la restituzione dei file e nel contempo incoraggia i delinquenti a proseguire con i loro attacchi informatici.