Introduzione al ransomware Ymir
Negli ultimi mesi, la sicurezza informatica ha subito un duro colpo con l’emergere di un nuovo ransomware noto come Ymir. Questo malware, che si distingue per la sua sofisticatezza, è stato scoperto durante un’analisi condotta dagli esperti di Kaspersky. Ymir si attiva dopo che i cybercriminali hanno esfiltrato i dati utilizzando un altro strumento malevolo chiamato RustyStealer, un infostealer attivo da circa tre anni.
Come funziona Ymir
Il funzionamento di Ymir è particolarmente insidioso. Dopo aver infiltrato un sistema, il ransomware esegue una scansione approfondita per identificare eventuali processi attivi e la presenza di sandbox, che potrebbero ostacolare la sua operatività. Una volta completata questa fase, Ymir inizia a cifrare i file presenti sul dispositivo, escludendo solo quelli necessari per il funzionamento di Windows.
Utilizza l’algoritmo ChaCha20, noto per la sua robustezza, e aggiunge un’estensione casuale ai file cifrati.
Le tecniche dei cybercriminali
I criminali informatici che utilizzano Ymir non si limitano a cifrare i dati; sfruttano anche strumenti avanzati per ottenere il controllo completo sui sistemi compromessi. Tra questi, Windows Remote Management (WinRM) e PowerShell sono utilizzati per accedere ad altri dispositivi nella rete. Inoltre, installano software come Process Hacker e Advanced IP Scanner per facilitare le loro operazioni. Il collegamento con il server di comando e controllo (C2) avviene tramite SystemBC, che consente l’invio dei dati rubati.
Le conseguenze per le vittime
Una volta completata la cifratura, Ymir copia un documento PDF in ogni directory per informare la vittima della situazione e delle modalità di pagamento del riscatto.
I cybercriminali richiedono di essere contattati tramite qTox, un’applicazione di messaggistica sicura. Se il riscatto non viene pagato, i dati rubati possono essere pubblicati online o venduti nel dark web, aumentando il rischio per le vittime.
Come proteggersi da Ymir
La protezione contro ransomware come Ymir richiede un approccio proattivo. È fondamentale mantenere aggiornati i sistemi operativi e le applicazioni, utilizzare software antivirus affidabili e implementare strategie di backup regolari. Inoltre, è consigliabile formare il personale sulle pratiche di sicurezza informatica per ridurre il rischio di attacchi. La consapevolezza e la preparazione sono le chiavi per difendersi da queste minacce sempre più sofisticate.
