Ymir, attenzione al nuovo ransomware scoperto da Kaspersky: opera in memoria e non lascia tracce

Ymir è una nuova famiglia di ransomware scoperta dal team di risposta agli incidenti di Kaspersky GERT (Global Emergency Response Team), durante un'analisi forense di un attacco avvenuto in Colombia.

Questo ransomware si distingue per le sue tecniche avanzate di evasione della rilevazione, tra cui l'uso intensivo della memoria per eseguire operazioni dannose senza lasciare tracce evidenti su disco. Ymir utilizza funzioni come malloc, memmove e memcmp per caricare codice dannoso direttamente in memoria.

malloc è una funzione utilizzata per allocare blocchi di memoria in maniera dinamica, memmove ha invece lo scopo di spostare piccole porzioni di codice all'interno della memoria, evitando così di lasciare tracce su disco quando il ransomware deve caricare le istruzioni, memcmp, infine, confronta stringhe in memoria per identificare cartelle o file da crittografare. Si tratta di un approccio inusuale rispetto ai ransomware già conosciuti, che normalmente operano in maniera sequenziale e con accesso al disco, e rende più complicato per i software di sicurezza riuscire a rilevare l'attività dannosa.

Ymir viene distribuito attraverso l'accesso remoto al sistema compromesso, ottenuto tramite comandi PowerShell. I ricercatori hanno osservato, nel caso particolare analizzato, che Ymir si è diffuso dopo una compromissione dei sistemi ad opera di RustyStealer, un malware dedicato al furto di credenziali e utilizzato diffusamente dai broker di accesso iniziale.

Gli attaccanti utilizzano poi strumenti come Process Hacker e Advanced IP Scanner per compromettere il grado di  sicurezza del sistema preso di mira e prepararlo all'esecuzione del ransomware. In particolare, nel caso studiato dai ricercatori, l'attaccante ha sfruttato credenziali compromesse per accedere ai sistemi tramite WinRM e comandi remoti PowerShell.

Una volta ottenuto il controllo del sistema, Ymir cifra i file utilizzando l'algoritmo di cifratura ChaCha20, aggiungendo l'estensione .6C5oy2dVr6 ai file cifrati. Il ransomware genera anche una nota di riscatto in formato PDF, denominata "INCIDENT_REPORT.pdf", che viene copiata in varie cartelle del sistema compromesso.

Un'altra pecularità di Ymir è la possibilità di specificare quali file criptare utilizzando l'opzione --path. Se un file è presente in una whitelist, Ymir lo ignora, evitando di crittografarlo. Questa funzionalità consente agli attaccanti di avere un maggiore controllo su ciò che viene colpito, limitando potenzialmente l'impatto su alcuni sistemi critici e riducendo la probabilità di essere scoperti rapidamente.

Ymir utilizza inoltre comandi PowerShell per auto-eliminarsi dopo l'esecuzione, cancellando il proprio eseguibile e riducendo ulteriormente le tracce lasciate sul sistema compromesso. Questa tecnica aiuta a evitare che i file del ransomware vengano analizzati o recuperati successivamente.

Il ransomware Ymir rappresenta una minaccia altamente sofisticata, capace di sfruttare tecniche avanzate per evitare la rilevazione e massimizzare il danno, rappresentando una minaccia seria per le organizzazioni che non dispongono di adeguati strumenti di protezione e monitoraggio. Al momento il gruppo dietro questa nuova minaccia non ha ancora pubblicizzato alcun sito di fuga di dati o si è reso presente su altri canali tradizionali su cui normalmente avvengono le contrattazioni per la vendita di informazioni rubate.