Neuer Trend, der ohne traditionelle Ransomware-as-a-Service-Gruppen auskommt
- Ransomware mit ausgeklügelten Verschleierungstechniken
- Ymir nutzt Whitelist-Funktion, um Entdeckung zu entgehen
- Initial Access Broker eventuell dieselben Akteure, die die Ransomware installiert haben
Das Kaspersky Global Emergency Response Team hat eine neue Ransomware-Variante entdeckt, die im Rahmen eines zielgerichteten Angriffs nach dem Diebstahl von Mitarbeiterzugangsdaten zum Einsatz kam [1]. Ymir nutzt fortschrittliche Verschleierungs- und Verschlüsselungsmethoden; so verschlüsselt sie bestimmte Dateien auf einer Whitelist nicht, um einer Entdeckung zu entgehen. Weiterhin wendet sie eine Kombination von Speicher-Manipulationstechniken an, um Schadcode direkt im Speicher auszuführen.
Die Ymir-Ransomware kombiniert besondere technische Merkmale und Taktiken, die ihre Wirksamkeit steigern. Angreifer nutzten eine ungewöhnliche Kombination von Speicherverwaltungsfunktionen – malloc, memmove und memcmp –, um Schadcode direkt im Speicher auszuführen. Dieser Ansatz weicht vom typischen Ablauf anderer Ransomware ab und verbessert so die Verschleierung. Mit der --path-Kommandozeile können die Angreifer zudem gezielt festlegen, in welchem Verzeichnis die Ransomware nach Dateien sucht. Dateien auf der Whitelist werden dabei übersprungen und nicht verschlüsselt, was den Angreifern gezielte Kontrolle über die Verschlüsselung ermöglicht.
Dem Ransomware-Angriff ging ein Einsatz eines Infostealers voraus: Im von Kaspersky beobachteten Angriff nutzten die Angreifer RustyStealer, um Zugangsdaten von Mitarbeitern zu stehlen. Damit konnten sich die Angreifer Zugriff auf die Systeme des Unternehmens verschaffen und lange genug die Kontrolle behalten, um in einem weiteren Schritt die Ransomware zu installieren. Diese Art von Angriff ist als Initial Access Brokerage bekannt, bei dem die Angreifer in Systeme eindringen und einen Zugang längerfristig sicherstellen. Normalerweise verkaufen Initial Access Broker solch einen Zugang im Dark Web an andere Cyberkriminelle weiter; in diesem Fall scheinen die Angreifer jedoch selbst aktiv geworden zu sein und die Ransomware direkt eingesetzt zu haben.
Die Ransomware verwendet ChaCha20 [2], ein modernes Strom-Chiffre-Verfahren, das für seine Geschwindigkeit und Sicherheit bekannt ist und sogar den Advanced Encryption Standard (AES) in einigen Aspekten übertrifft.
Ein neuer Trend in der Bedrohungslandschaft?
„Wenn die Initial Access Broker tatsächlich dieselben Akteure sind, die die Ransomware installiert haben, könnte dies der Beginn eines neuen Trends sein, der ohne traditionelle Ransomware-as-a-Service (RaaS)-Gruppen auskommt“, erläutert Cristian Souza, Incident Response Specialist im Kaspersky Global Emergency Response Team. „Wir haben bisher keine neuen Ransomware-Gruppen auf dem Untergrundmarkt entdeckt. Üblicherweise nutzen Angreifer Schattenforen oder Portale, um Informationen zu leaken und so Druck auf die Betroffenen auszuüben, damit sie das Lösegeld zahlen. Bei Ymir ist dies jedoch bisher nicht der Fall. Daher bleibt unklar, wer hinter der Ransomware steckt.“
Bei der Namenswahl für die neue Ransomware entschieden sich die Kaspersky-Experten für den Saturnmond Ymir. Ymir ist ein „irregulärer“ Mond, der sich entgegen der Rotation des Planeten bewegt – ein Merkmal, das auf den unkonventionellen Einsatz von Speicherverwaltungsfunktionen in der neuen Ransomware widerspiegelt.
Kaspersky-Empfehlungen zur Prävention von Ransomware-Angriffen
- Regelmäßig Backups erstellen und diese testen.
- Mitarbeiterschulungen zur Cybersicherheit durchführen [3], um das Bewusstsein für Bedrohungen wie Daten stehlende Malware zu erhöhen und effektive Schutzstrategien zu vermitteln.
- Bei einem Ransomware-Befall und fehlender Entschlüsselungsmöglichkeit sollten kritische, verschlüsselte Dateien aufbewahrt werden. Eine Lösung zur Entschlüsselung könnte später durch fortlaufende Forschungsbemühungen oder die Ergreifung der Täter durch Behörden verfügbar werden.
- Es wird empfohlen, kein Lösegeld zu zahlen, da dies die Täter zu weiteren Angriffen ermutigen könnte und keine Garantie für die sichere Wiederherstellung der Daten bietet.
- Umfassende Lösungen wie Kaspersky Next [4] bieten Echtzeitschutz, Transparenz von Bedrohungen, Untersuchungen und die Reaktionsmöglichkeiten von EDR und XDR für Unternehmen jeder Größe und Branche.
- Managed Security Services nutzen, die alle Bereiche eines Angriffs abdecken – von der Entdeckung bis zur Beseitigung. Kaspersky bietet beispielsweise Compromise Assessment [5], Managed Detection and Response [6] und Incident Response [7] an.
Kaspersky-Produkte erkennen diese Ransomware als Trojan-Ransom.Win64.Ymir.gen.
Weitere Informationen zur Ransomware sind verfügbar auf Securelist unter https://securelist.com/new-ymir-ransomware-found-in-colombia/114493
[1] https://securelist.com/new-ymir-ransomware-found-in-colombia/114493
[3] https://www.kaspersky.de/enterprise-security/security-awareness
[4] https://www.kaspersky.de/next
[5] https://www.kaspersky.com/enterprise-security/compromise-assessment
[6] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[7] https://www.kaspersky.de/enterprise-security/incident-response
Nützliche Links:
- Kaspersky-Analyse zu Ymir: https://securelist.com/new-ymir-ransomware-found-in-colombia/114493
- Kaspersky Next: https://www.kaspersky.de/next
- Kaspersky Compromise Assessment: https://www.kaspersky.de/enterprise-security/compromise-assessment
- Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
- Kaspersky Incident Response: https://www.kaspersky.de/enterprise-security/incident-response