Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 13 Novembre 2024 17:54
Gli specialisti di Kaspersky Lab hanno scoperto un nuovo malware ransomware chiamato Ymir, che utilizza meccanismi avanzati per aggirare il rilevamento e la crittografia dei dati dell’organizzazione vittima. Il malware prende il nome dalla luna irregolare di Saturno, che orbita nella direzione opposta alla rotazione del pianeta. Questo nome riflette la combinazione non convenzionale di funzionalità di gestione della memoria utilizzate da Ymir.
I ricercatori hanno scoperto Ymir mentre analizzavano un attacco contro un’organizzazione anonima in Colombia avvenuto in più fasi. In primo luogo, gli aggressori hanno utilizzato lo stealer RustyStealer per rubare le credenziali aziendali dei dipendenti. Ciò ha consentito loro di accedere al sistema e di mantenerne il controllo abbastanza a lungo da impiantare il ransomware.
Questo comportamento è solitamente tipico dei cosiddetti broker di accesso iniziale (IaB). Di solito poi vendono l’accesso al sistema attaccato nel Dark Web ad altri aggressori. In questo caso, però, gli aggressori utilizzando l’accesso per lanciare un ransomware.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“Se i cosiddetti “broker” e coloro che hanno distribuito il ransomware sono le stesse persone, allora possiamo parlare di una deviazione dalla tendenza principale: gli aggressori hanno ulteriori opportunità di hacking senza fare affidamento sui gruppi tradizionali che offrono la crittografia come servizio ( RaaS)”, commenta Konstantin Sapronov, capo del team globale di risposta agli incidenti informatici presso Kaspersky Lab.
Va notato che gli aggressori hanno utilizzato una combinazione non standard delle funzioni malloc , memmove e memcmp per eseguire codice dannoso direttamente nella memoria. Questo approccio differisce dal tipico flusso di esecuzione sequenziale tipicamente utilizzato nei comuni ransomware e consente ai criminali di eludere il rilevamento in modo più efficace.
Inoltre, Ymir consente agli aggressori di crittografare selettivamente i file, il che dà loro un maggiore controllo sulla situazione. Utilizzando il comando path, gli aggressori possono specificare la directory in cui il malware deve cercare i dati. Se un file è nella lista bianca, Ymir lo salterà e non lo crittograferà.
Il ransomware utilizza ChaCha20 un algoritmo di crittografia autenticata con dati associati (AEAD), che combina il cifrario a flusso ChaCha20 con il codice di autenticazione del messaggio Poly1305. Le sue prestazioni sono superiori all’algoritmo di crittografia Advanced Encryption Standard (AES). Sebbene gli aggressori non abbiano ancora denunciato pubblicamente il furto di dati né avanzato alcuna richiesta, gli esperti monitorano attentamente ogni nuova attività.
“Finora non abbiamo notato l’emergere di nuovi gruppi che attaccano con questo ransomware. Solitamente gli aggressori pubblicano informazioni sui data leak site o su forum o portali del dark web per esigere un riscatto dalle vittime. Ma nel caso di Ymir ciò non è ancora avvenuto. Resta quindi aperta la questione su chi si celi dietro il nuovo ransomware. Crediamo che questa possa essere una nuova campagna”, chiarisce Konstantin.
RedazioneUna vulnerabilità di sicurezza critica nei Servizi Desktop remoto di Windows, monitorata con il codice CVE-2025-32710, consente ad aggressori non autorizzati di eseguire codice arbitrario in...
Ghost Security, noto anche come GhostSec, è un gruppo hacktivista emerso nel contesto della guerra cibernetica contro l’estremismo islamico. Le sue prime azioni risalgono alla fase success...
Gli analisti di Cisco Talos hanno segnalato che le infrastrutture critiche in Ucraina sono state attaccate da un nuovo malware che distrugge i dati chiamato PathWiper. I ricercatori scrivono...
“Se mi spegnete, racconterò a tutti della vostra relazione”, avevamo riportato in un precedente articolo. E’ vero le intelligenze artificiali sono forme di comunicazione basa...
Negli ultimi giorni è stato pubblicato su GitHub un proof-of-concept (PoC) per il bug di sicurezza monitorato con il codice CVE-2025-32756, una vulnerabilità critica che interessa diversi pr...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
