In uno sviluppo preoccupante, un attore di minacce non identificato ha scatenato una nuova variante del ransomware Yashma, avviando una serie di attacchi a diverse entità nei paesi di lingua inglese, Bulgaria, Porcellana, e Vietnam. Queste attività dannose sono in corso da giugno 4, 2023, sollevando allarmi significativi all'interno della comunità della sicurezza informatica.
L'evoluzione di Yashma Ransomware dal caos
Nuovi approfondimenti forniti da Cisco Talos rivelano una svolta degna di nota nelle operazioni in corso. Questa iniziativa, attribuito a una potenziale origine vietnamita, introduce un approccio innovativo alla consegna delle note di riscatto. Invece di incorporare stringhe di richiesta di riscatto direttamente nel file binario, l'attore della minaccia impiega un metodo non convenzionale. Eseguendo un file batch incorporato, la richiesta di riscatto viene recuperata da un repository GitHub sotto il loro controllo.
Risalente alla sua descrizione iniziale da parte del team di ricerca e intelligence di BlackBerry a maggio 2022, il ransomware Yashma è emerso come un'iterazione rinominata del Ceppo di ransomware del caos. È interessante notare che, il costruttore di ransomware Chaos precursore era trapelato allo stato brado un mese prima del debutto di Yashma, rivelando il percorso evolutivo di questa minaccia informatica.
Intriganti parallelismi con il famigerato ransomware WannaCry notato
Un aspetto intrigante della richiesta di riscatto utilizzata dalla campagna ransomware Yashma traccia parallelismi con il noto WannaCry ransomware. Questa somiglianza funge da apparente strategia per oscurare la vera identità dell'autore della minaccia e complicare gli sforzi di attribuzione. Mentre la nota di riscatto indica un indirizzo del portafoglio di pagamento, trattiene deliberatamente l'importo del pagamento specifico, aggiungendo un ulteriore livello di complessità allo scenario in corso.
La recente divulgazione fa luce su una crescente preoccupazione per la sicurezza informatica. La fuga di codice sorgente e builder di ransomware è stata identificata come un importante catalizzatore alla base della proliferazione di nuove varianti di ransomware, provocando un'ondata di attacchi informatici attraverso gli ecosistemi digitali.
Generatori di ransomware user-friendly in aumento
Un aspetto degno di nota di questa tendenza è l'interfaccia user-friendly offerta dai creatori di ransomware. Questa interfaccia autorizza gli attori delle minacce, compresi quelli meno esperti, per selezionare funzionalità specifiche e personalizzare le configurazioni, portando alla creazione di eseguibili binari ransomware unici. Questa accessibilità, mentre si democratizza la creazione di ransomware, solleva implicazioni allarmanti per il panorama delle minacce in evoluzione.
Forte aumento degli attacchi ransomware guidati da exploit zero-day
In concomitanza, un aumento degli attacchi ransomware è stato attribuito all'ascesa del gruppo Cl0p. Sfruttare le vulnerabilità zero-day, questo gruppo ha notevolmente amplificato le sue campagne. In un rapporto approfondito, Akamai rivela uno sbalorditivo 143% aumento delle vittime di ransomware durante il primo trimestre 2023, attribuito all'utilizzo strategico di falle di sicurezza zero-day e one-day.
Scavando più a fondo, il Cl0p ransomware rapida evoluzione del gruppo nello sfruttamento vulnerabilità zero-day ha portato a un aumento di nove volte del numero delle vittime anno dopo anno. Inoltre, la ricerca sottolinea una tendenza preoccupante: gli individui presi di mira da più attacchi ransomware hanno una probabilità sei volte maggiore di cadere vittime di attacchi successivi entro un breve periodo di tre mesi.
Ingegnosa applicazione di completamente non rilevabile (FUD) Motore dell'offuscatore
Rafforzare la natura dinamica del panorama delle minacce, Trend Micro offre approfondimenti su un attacco ransomware mirato attribuito al gruppo TargetCompany. Questo attacco schiera ingegnosamente un completamente non rilevabile (FUD) motore di offuscamento denominato BatCloak, consentendo l'incursione di trojan di accesso remoto come Remcos RAT. La sofisticatezza di questo approccio consente agli attori delle minacce di mantenere una presenza nascosta all'interno delle reti compromesse.
Man mano che queste tattiche si evolvono, che comprende malware FUD e packer innovativi, la comunità della sicurezza informatica deve affrontare una sfida persistente. L'imperativo di adattare e rafforzare le difese rimane fondamentale, determinati attori della minaccia’ esplorazione persistente di nuove strade per infiltrarsi nei sistemi ed eseguire programmi dannosi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: