Nieuwe Ymir-ransomware maakt gebruik van geheugen voor stealth-aanvallen; Richt zich op bedrijfsnetwerken

Cybersecurity-onderzoekers hebben een nieuwe ransomware-familie genaamd Ymir opgemerkt die werd ingezet bij een aanval twee dagen nadat systemen waren gecompromitteerd door stealer-malware genaamd RustyStealer.

“Ymir ransomware introduceert een unieke combinatie van technische kenmerken en tactieken die de effectiviteit ervan vergroten”, aldus de Russische cyberbeveiligingsleverancier Kaspersky.

“Bedreigingsactoren maakten gebruik van een onconventionele mix van geheugenbeheerfuncties – malloc, memmove en memcmp – om kwaadaardige code rechtstreeks in het geheugen uit te voeren. Deze aanpak wijkt af van de typische sequentiële uitvoeringsstroom die wordt gezien bij wijdverbreide ransomware-typen, waardoor de stealth-mogelijkheden ervan worden vergroot.”

Kaspersky zei dat het de ransomware heeft waargenomen die werd gebruikt bij een cyberaanval gericht op een niet nader genoemde organisatie in Colombia, waarbij de bedreigingsactoren eerder de RustyStealer-malware leverden om bedrijfsreferenties te verzamelen.

Er wordt aangenomen dat de gestolen inloggegevens werden gebruikt om ongeautoriseerde toegang te krijgen tot het netwerk van het bedrijf om de ransomware in te zetten. Hoewel er doorgaans sprake is van een overdracht tussen een initiële toegangsmakelaar en de ransomware-ploeg, is het niet duidelijk of dat hier het geval is.

“Als de makelaars inderdaad dezelfde actoren zijn die de ransomware hebben ingezet, zou dit een nieuwe trend kunnen signaleren, waardoor extra kapingsopties ontstaan ​​zonder afhankelijk te zijn van traditionele Ransomware-as-a-Service (RaaS)-groepen”, aldus Kaspersky-onderzoeker Cristian Souza.

De aanval valt op door het installeren van tools als Advanced IP Scanner en Process Hacker. Er worden ook twee scripts gebruikt die deel uitmaken van de SystemBC-malware, waarmee een geheim kanaal naar een extern IP-adres kan worden opgezet voor het exfiltreren van bestanden die groter zijn dan 40 KB en die na een bepaalde datum zijn gemaakt.

De binaire ransomware gebruikt op zijn beurt het stream cipher ChaCha20-algoritme om bestanden te coderen, waarbij de extensie “.6C5oy2dVr6” aan elk gecodeerd bestand wordt toegevoegd.

“Ymir is flexibel: door het commando –path te gebruiken, kunnen aanvallers een map opgeven waar de ransomware naar bestanden moet zoeken”, aldus Kaspersky. “Als een bestand op de witte lijst staat, slaat de ransomware het over en laat het onversleuteld. Deze functie geeft aanvallers meer controle over wat wel of niet versleuteld is.”

Deze ontwikkeling komt nadat de aanvallers achter de Black Basta-ransomware zijn opgemerkt met behulp van Microsoft Teams-chatberichten om met potentiële doelwitten in contact te komen en kwaadaardige QR-codes te integreren om de initiële toegang te vergemakkelijken door ze om te leiden naar een frauduleus domein.

“De onderliggende motivatie zal waarschijnlijk de basis leggen voor vervolgtechnieken op het gebied van social engineering, gebruikers overtuigen om tools voor monitoring en beheer op afstand (RMM) te downloaden en initiële toegang te krijgen tot de beoogde omgeving”, aldus ReliaQuest. “Uiteindelijk is het einddoel van de aanvallers bij deze incidenten vrijwel zeker de inzet van ransomware.”

Het cyberbeveiligingsbedrijf zei dat het ook gevallen heeft geïdentificeerd waarin de bedreigingsactoren gebruikers probeerden te misleiden door zich voor te doen als IT-ondersteuningspersoneel en hen te misleiden om Quick Assist te gebruiken om externe toegang te verkrijgen, een techniek waarvoor Microsoft in mei 2024 waarschuwde.

Als onderdeel van de vishing-aanval instrueren de bedreigingsactoren het slachtoffer om externe desktopsoftware zoals AnyDesk te installeren of Quick Assist te starten om externe toegang tot het systeem te verkrijgen.

Ymir-ransomware

Het is de moeite waard hier te vermelden dat bij een eerdere versie van de aanval gebruik werd gemaakt van malspam-tactieken, waarbij de inbox van werknemers werd overspoeld met duizenden e-mails en vervolgens de werknemer werd opgebeld door zich voor te doen als de IT-helpdesk van het bedrijf om zogenaamd te helpen het probleem op te lossen.

Ransomware-aanvallen waarbij Akira- en Fog-families betrokken zijn, hebben ook geprofiteerd van systemen met SonicWall SSL VPN’s die niet zijn gepatcht tegen CVE-2024-40766 om slachtoffernetwerken te doorbreken. Per poolwolf zijn er tussen augustus en half oktober 2024 maar liefst dertig nieuwe indringers gedetecteerd die gebruik maakten van deze tactiek.

Deze gebeurtenissen weerspiegelen de voortdurende evolutie van ransomware en de aanhoudende dreiging die deze vormt voor organisaties over de hele wereld, ook al hebben de inspanningen van wetshandhavingsinstanties om de cybercriminaliteitsgroepen te ontwrichten tot verdere fragmentatie geleid.

Vorige maand onthulde Secureworks, dat begin volgend jaar door Sophos zal worden overgenomen, dat het aantal actieve ransomware-groepen jaar-op-jaar met 30% is gestegen, gedreven door de opkomst van 31 nieuwe groepen in het ecosysteem.

“Ondanks deze groei van ransomware-groepen steeg het aantal slachtoffers niet in hetzelfde tempo, wat een aanzienlijk meer gefragmenteerd landschap laat zien, wat de vraag doet rijzen hoe succesvol deze nieuwe groepen zouden kunnen zijn”, aldus het cyberbeveiligingsbedrijf.

Uit gegevens gedeeld door NCC Group blijkt dat er in september 2024 in totaal 407 gevallen van ransomware zijn geregistreerd, tegen 450 in augustus, een daling van 10% op maandbasis. Daarentegen werden er in september 2023 514 ransomware-aanvallen geregistreerd. Enkele van de belangrijkste sectoren waarop deze periode het doelwit was, zijn onder meer de industriële sector, de duurzame consumptiegoederensector en de informatietechnologie.

Dat is niet alles. De afgelopen maanden heeft het gebruik van ransomware zich uitgebreid naar politiek gemotiveerde hacktivistische groepen zoals CyberVolk, die ‘ransomware als een instrument voor vergelding hebben ingezet’.

Amerikaanse functionarissen zoeken intussen naar nieuwe manieren om ransomware tegen te gaan, waaronder het aansporen van cyberverzekeringsmaatschappijen om te stoppen met de terugbetaling van losgeld, in een poging slachtoffers ervan te weerhouden om überhaupt te betalen.

“Sommige polissen van verzekeringsmaatschappijen – bijvoorbeeld die de terugbetaling van betalingen voor ransomware dekken – stimuleren de betaling van losgeld dat ecosystemen voor cybercriminaliteit voedt”, schreef Anne Neuberger, plaatsvervangend nationaal veiligheidsadviseur voor cyber- en opkomende technologie van de VS, in een opiniestuk van de Financial Times. “Dit is een verontrustende praktijk waar een einde aan moet komen.”

Thijs Van der Does