Neue Ransomware Ymir nutzt Speicher für verdeckte Angriffe auf Unternehmensnetzwerke

BOGOTÁ / MÜNCHEN (IT BOLTWISE) –

In der sich ständig weiterentwickelnden Welt der Cyberkriminalität hat eine neue Ransomware-Familie namens Ymir die Aufmerksamkeit von Sicherheitsexperten auf sich gezogen. Diese Ransomware wurde in einem Angriff eingesetzt, nur zwei Tage nachdem Systeme durch eine Stealer-Malware namens RustyStealer kompromittiert wurden. Laut dem russischen Cybersecurity-Anbieter Kaspersky kombiniert Ymir Ransomware einzigartige technische Merkmale und Taktiken, die ihre Effektivität erhöhen.

Die Bedrohungsakteure nutzen eine unkonventionelle Mischung von Speicherverwaltungsfunktionen wie malloc, memmove und memcmp, um bösartigen Code direkt im Speicher auszuführen. Dieser Ansatz weicht vom typischen sequentiellen Ausführungsfluss ab, der bei weit verbreiteten Ransomware-Typen zu beobachten ist, und verbessert so die Tarnfähigkeiten der Ransomware erheblich. Kaspersky beobachtete den Einsatz der Ransomware in einem Cyberangriff auf eine ungenannte Organisation in Kolumbien, wobei die Angreifer zuvor die RustyStealer-Malware einsetzten, um Unternehmensanmeldedaten zu sammeln.

Es wird angenommen, dass die gestohlenen Anmeldedaten genutzt wurden, um unbefugten Zugang zum Netzwerk des Unternehmens zu erlangen und die Ransomware zu installieren. Während normalerweise eine Übergabe zwischen einem Initial Access Broker und der Ransomware-Gruppe erfolgt, ist unklar, ob dies hier der Fall war. Sollte es sich bei den Brokern tatsächlich um dieselben Akteure handeln, die die Ransomware eingesetzt haben, könnte dies einen neuen Trend signalisieren, der zusätzliche Entführungsmöglichkeiten schafft, ohne auf traditionelle Ransomware-as-a-Service (RaaS)-Gruppen angewiesen zu sein.

Der Angriff ist bemerkenswert, da Werkzeuge wie Advanced IP Scanner und Process Hacker installiert wurden. Außerdem wurden zwei Skripte verwendet, die Teil der SystemBC-Malware sind und die Einrichtung eines verdeckten Kanals zu einer entfernten IP-Adresse ermöglichen, um Dateien zu exfiltrieren, die größer als 40 KB sind und nach einem bestimmten Datum erstellt wurden. Die Ransomware-Binärdatei verwendet den Stromchiffre-Algorithmus ChaCha20, um Dateien zu verschlüsseln und die Erweiterung „.6C5oy2dVr6“ an jede verschlüsselte Datei anzuhängen.

Ymir ist flexibel: Mit dem Befehl –path können Angreifer ein Verzeichnis angeben, in dem die Ransomware nach Dateien suchen soll. Wenn eine Datei auf der Whitelist steht, wird sie von der Ransomware übersprungen und bleibt unverschlüsselt. Diese Funktion gibt den Angreifern mehr Kontrolle darüber, was verschlüsselt wird und was nicht. Die Entwicklung kommt zu einem Zeitpunkt, an dem die Angreifer hinter der Black Basta Ransomware Microsoft Teams-Chatnachrichten nutzen, um mit potenziellen Zielen zu kommunizieren und bösartige QR-Codes zu integrieren, um den Erstzugang zu erleichtern, indem sie auf eine betrügerische Domain umleiten.

Die zugrunde liegende Motivation besteht wahrscheinlich darin, den Grundstein für nachfolgende Social-Engineering-Techniken zu legen, Benutzer davon zu überzeugen, Remote-Monitoring- und Management-Tools herunterzuladen und initialen Zugang zur Zielumgebung zu erlangen. Letztendlich ist das Endziel der Angreifer in diesen Vorfällen fast sicher die Bereitstellung von Ransomware. Das Cybersicherheitsunternehmen ReliaQuest identifizierte auch Fälle, in denen die Bedrohungsakteure versuchten, Benutzer zu täuschen, indem sie sich als IT-Support-Personal ausgaben und sie dazu brachten, Quick Assist zu verwenden, um Fernzugriff zu erhalten, eine Technik, vor der Microsoft im Mai 2024 warnte.

Im Rahmen des Vishing-Angriffs weisen die Bedrohungsakteure das Opfer an, Remote-Desktop-Software wie AnyDesk zu installieren oder Quick Assist zu starten, um Fernzugriff auf das System zu erhalten. Erwähnenswert ist, dass eine frühere Iteration des Angriffs Malspam-Taktiken einsetzte, um die Postfächer der Mitarbeiter mit Tausenden von E-Mails zu überfluten und dann den Mitarbeiter anzurufen, indem sie sich als IT-Helpdesk des Unternehmens ausgaben, um angeblich bei der Lösung des Problems zu helfen.

Ransomware-Angriffe, die die Akira- und Fog-Familien betreffen, haben ebenfalls von Systemen profitiert, die SonicWall SSL VPNs verwenden, die nicht gegen CVE-2024-40766 gepatcht sind, um in die Netzwerke der Opfer einzudringen. Zwischen August und Mitte Oktober 2024 wurden laut Arctic Wolf bis zu 30 neue Einbrüche mit dieser Taktik entdeckt. Diese Ereignisse spiegeln die kontinuierliche Entwicklung von Ransomware und die anhaltende Bedrohung wider, die sie für Organisationen weltweit darstellt, selbst wenn die Bemühungen der Strafverfolgungsbehörden zur Störung der Cyberkriminalitätsgruppen zu weiterer Fragmentierung geführt haben.

Im vergangenen Monat enthüllte Secureworks, das Anfang nächsten Jahres von Sophos übernommen werden soll, dass die Zahl der aktiven Ransomware-Gruppen um 30 % im Jahresvergleich gestiegen ist, angetrieben durch das Auftreten von 31 neuen Gruppen im Ökosystem. Trotz dieses Wachstums bei den Ransomware-Gruppen stieg die Zahl der Opfer nicht im gleichen Maße, was eine deutlich fragmentiertere Landschaft zeigt und die Frage aufwirft, wie erfolgreich diese neuen Gruppen sein könnten. Daten, die von der NCC Group geteilt wurden, zeigen, dass im September 2024 insgesamt 407 Ransomware-Fälle registriert wurden, ein Rückgang von 450 im August, ein Rückgang von 10 % im Monatsvergleich. Im Gegensatz dazu wurden im September 2023 514 Ransomware-Angriffe registriert.

Einige der wichtigsten Sektoren, die in diesem Zeitraum ins Visier genommen wurden, sind Industrie, zyklische Konsumgüter und Informationstechnologie. Das ist noch nicht alles. In den letzten Monaten hat sich der Einsatz von Ransomware auf politisch motivierte Hacktivistengruppen wie CyberVolk ausgeweitet, die „Ransomware als Werkzeug der Vergeltung“ eingesetzt haben. In der Zwischenzeit suchen US-Beamte nach neuen Wegen, um das Erpressungsschema zu bekämpfen, einschließlich der Aufforderung an Cyber-Versicherungsunternehmen, die Erstattung von Lösegeldzahlungen einzustellen, um die Opfer davon abzuhalten, überhaupt zu zahlen.

„Einige Versicherungspolicen – zum Beispiel die Erstattung von Ransomware-Zahlungen – fördern die Zahlung von Lösegeldern, die Cyberkriminalitätsökosysteme befeuern“, schrieb Anne Neuberger, stellvertretende nationale Sicherheitsberaterin der USA für Cyber- und Emerging Technology, in einem Meinungsartikel der Financial Times. „Dies ist eine besorgniserregende Praxis, die beendet werden muss.“