Noua variantă Yashma Ransomware vizează mai multe țări vorbitoare de limbă engleză
Un rău-făcător, cel puțin din 4 iunie 2023, folosește o variantă a ransomware-ului Yashma pentru a viza diverse entități din țările vorbitoare de limbă engleză precum Bulgaria, China și Vietnam.
Cisco Talos, într-o nouă scriere, a atribuit operațiunea cu încredere moderată unui adversar de origine probabilă vietnameză.
„Atacatorul folosește o tehnică neobișnuită pentru a livra nota de răscumpărare„, a declarat cercetătorul în domeniul securității Chetan Raghuprasad. „În loc să încorporeze șirurile notei de răscumpărare în binar, ei descarcă nota de răscumpărare din depozitul GitHub controlat de atacator prin executarea unui fișier batch încorporat.„
Yashma, descris pentru prima dată de echipa de cercetare și informații BlackBerry în mai 2022, este o versiune rebranduită a unei alte tulpini de ransomware numită Chaos. Cu o lună înainte de apariția sa, constructorul de ransomware Chaos a fost scăpat în mediul online.
Un aspect notabil al notei de răscumpărare este asemănarea sa cu binecunoscutul ransomware WannaCry, posibil făcută astfel în încercarea de a ascunde identitatea atacatorului și de a confunda eforturile de atribuire. În timp ce nota menționează o adresă de portofel la care trebuie făcută plata, nu specifică suma.
Dezvăluirea vine în contextul în care compania de securitate cibernetică a declarat că scurgeri de cod sursă și de constructori de ransomware duc la accelerarea apariției unor noi variante de ransomware, ducând astfel la mai multe atacuri.
„Constructorii de ransomware au, de obicei, o interfață de utilizator care permite utilizatorilor să aleagă caracteristicile de bază și să personalizeze configurațiile pentru a construi un nou executabil binar de ransomware fără a expune codul sursă sau fără a avea nevoie de un compilator instalat„, a subliniat compania.
„Disponibilitatea unor astfel de constructori permite atacatorilor începători să își genereze propriile variante de ransomware personalizate.„
De asemenea, această evoluție vine în urma unei creșteri majore a atacurilor ransomware, Malwarebytes înregistrând până la 1.900 de incidente în ultimul an în SUA, Germania, Franța și Marea Britanie, alimentate în principal de „ascensiunea grupului Cl0p – care a exploatat efectiv vulnerabilitățile de tip zero-day pentru a-și amplifica atacurile„.
Într-un raport conex, Akamai a constatat că o creștere a utilizării deficiențelor de securitate de tip „zero-day” și „one-day” a dus la o creștere cu 143% a numărului de victime ale ransomware-ului în primul trimestru al anului 2023, comparativ cu aceeași perioadă a anului trecut.
„Grupul de ransomware Cl0p dezvoltă agresiv vulnerabilități de tip zero-day, crescând numărul victimelor sale de 9 ori de la an la an„, a declarat compania. „Victimele atacurilor multiple de ransomware au fost de peste 6 ori mai predispuse să experimenteze al doilea atac în termen de trei luni de la primul atac„.
Dar, în ceea ce reprezintă un alt semn al evoluției peisajului amenințărilor, Trend Micro a dezvăluit detalii despre un atac ransomware TargetCompany (alias Mallox sau Xollam) care a utilizat o iterație a unui motor de ofuscare complet nedetectabil (FUD) numit BatCloak pentru a infecta sistemele vulnerabile cu troieni de acces la distanță precum Remcos RAT și pentru a menține o prezență invizibilă în rețelele vizate.
„Ulterior, Remcos RAT își va relua rutina finală, deoarece descarcă și implementează ransomware-ul TargetCompany încă învelit într-un împachetător FUD„, a declarat compania.
„Utilizarea malware-ului FUD limitează deja majoritatea soluțiilor disponibile pentru această tactică menționată, cu atât mai mult în cazul tehnologiilor de serie susceptibile probabil la alte atacuri (nu doar ransomware). Acest set de împachetători nu va fi probabil singurul care va fi dezvoltat în viitorul apropiat„.
Sursa: TheHackerNews.com
Tradus și adaptat cu www.DeepL.com/Translator (free version)