Fortschrittliche Verschleierung und Verschlüsselung Kaspersky entdeckt hochentwickelte Malware Ymir

Analysten von Kaspersky haben eine neue, hochentwickelte Ransomware entdeckt. Wer hinter der Malware steckt, ist bisher noch unbekannt, könnte aber möglicherweise künftig als Initial Access Broker tätig werden.

Eine neue, sehr fortschrittliche Malware haben die Sicherheitsforschenden von Kaspersky entdeckt und beobachtet. „Ymir“, wie sie von den Analysten benannt wurde, kam im Rahmen eines zielgerichteten Cyberangriffs in Kolumbien zum Einsatz. Dabei setzte der Akteur den Infostealer RustyStealer ein, um an Zugangsdaten von Mitarbeitenden des Opfer-Unternehmens zu gelangen und sie zu kompromittieren. Über PowerShell-Fernsteuerungsbefehle griff er auf das Zielsystem zu. Danach installierte er mehrere Tools wie Process Hacker und Advanced IP Scanner mit denen der Angreifer die Systemsicherheit verringerte. Danach führte er schließlich Ymir aus, um Daten zu verschlüsseln, IT- und Betriebsprozesse zu unterbrechen und letztendlich Kryptos als Lösegeld für die Daten zu erzwingen.

Ransomware-Report

Deutsche Firmen zahlen bereitwillig Lösegeld

Ymir bleibt lange versteckt

Den Forschenden zufolge kombiniert die Ymir-Ransomware besondere technische Merkmale und Taktiken, um ihre Wirksamkeit zu steigern. So nutzten die Angreifer eine ungewöhnliche Kombination von Speicherverwaltungsfunktionen, „malloc“, „memmove“ und „memcmp“. Damit können sie Schadcode direkt im Speicher ausführen. Dieser Ansatz weiche vom typischen Ablauf anderer Ransomware ab und verbessere so die Verschleierung. Mit der „--path“-Kommandozeile können die Angreifer Kaspersky zufolge zudem gezielt festlegen, in welchem Verzeichnis die Ransomware nach Dateien sucht. Dateien auf der Whitelist würden dabei übersprungen und nicht verschlüsselt, was den Angreifern gezielte Kontrolle über die Verschlüsselung ermögliche.

Zudem konnten die Analysten beobachten, dass Ymir das moderne Strom-Chiffre-Verfahren „ChaCha20“ einsetzte. Dieses ist für seine Geschwindigkeit und Sicherheit bekannt und übertreffe sogar den Advanced Encryption Standard (AES) in einigen Aspekten. Bisher konnte Ymir in keinem weiteren Fall beobachtet werden.

Embargo Ransomware

Raffinierte Ransomware-Bande killt Security-Lösungen

Initial Access Brokerage

Die Art und Weise wie Ymir angreift, bezeichnen die Analysten von Kaspersky als Initial Access Brockerage. Hierbei dringen Cyberkriminelle in Systeme ein und wollen einen langfristigen Zugang sicherstellen. In der Regel verkaufen die Initial Access Broker diese Zugänge im Dark Web an andere Kriminelle. Im Falle der Akteure hinter Ymir scheinen die Broker selbst aktiv geworden zu sein und die Ransomware direkt eingesetzt zu haben.

„Wenn die Initial Access Broker tatsächlich dieselben Akteure sind, die die Ransomware installiert haben, könnte dies ein Zeichen für einen neuen Trend sein, der zusätzliche Hijacking-Optionen schafft, ohne auf traditionelle Ransomware-as-a-Service-Gruppen angewiesen zu sein“, erläutert Cristian Souza, Incident Response Specialist im Kaspersky Global Emergency Response Team. Die Frage, welche Gruppe hinter der Ransomware steckt, bleibt allerdings noch unbeantwortet.

Unterschiede zwischen Initial Access Brokerage und RaaS

Sowohl Initial Access Brokerage wie auch Ransomware as a Service sind Geschäftsmodelle, die sich großer Beliebtheit unter Cyberkriminellen erfreuen. Während bei RaaS ein Tool zur Kompromittierung bereitgestellt wird, wird bei Initial Access Brokerage der Zugang zu einem Ziel ermöglicht. Dies sind die Unterschiede der beiden Geschäftsmodelle:

Empfehlungen zum Schutz vor Ransomware

Im Rahmen der Analysen dieser neuen Malware hat Kaspersky eine Liste mit Maßnahmen veröffentlicht, die der Prävention von Ransomware-Angriffen dienen:

• Regelmäßig Backups erstellen und diese testen.

• Mitarbeiterschulungen zur Cybersicherheit durchführen, um das Bewusstsein für Bedrohungen wie Daten stehlende Malware zu erhöhen und effektive Schutzstrategien zu vermitteln.

• Bei einem Ransomware-Befall und fehlender Entschlüsselungs­möglichkeit sollten kritische, verschlüsselte Dateien dennoch aufbewahrt werden um eine spätere Entschlüsselung vielleicht doch noch zu ermöglichen. Denn oft finden Forscher doch noch einen Fehler in der Verschlüsselung der Ransomware oder Täter geben bei einer Verhaftung die Schlüssel heraus, als Gegenleistung für mildere Strafen.

• Es wird empfohlen, kein Lösegeld zu zahlen, da dies die Täter zu weiteren Angriffen ermutigen könnte und keine Garantie für die sichere Wiederherstellung der Daten bietet.

• Umfassende Lösungen wie Kaspersky Next bieten Echtzeitschutz, Transparenz von Bedrohungen, Untersuchungen und die Reaktionsmöglichkeiten von EDR und XDR für Unternehmen jeder Größe und Branche.

• Managed Security Services nutzen, die alle Bereiche eines Angriffs abdecken – von der Entdeckung bis zur Beseitigung. Kaspersky bietet beispielsweise Compromise Assessment, Managed Detection and Response und Incident Response an.

Zscaler ThreatLabz Ransomware-Report 2024

Was ist 2025 von Ransomware zu erwarten?

(ID:50234618)