Ymir: Ransomware mit ausgeklügelter Verschleierung

Laut dem Kaspersky Emergency Response Team kombiniert die Ymir-Ransomware besondere technische Merkmale und Taktiken, die ihre Wirksamkeit steigern. Angreifer nutzten eine ungewöhnliche Kombination von Speicherverwaltungsfunktionen – malloc, memmove und memcmp –, um Schadcode direkt im Speicher auszuführen. Dieser Ansatz weicht vom typischen Ablauf anderer Ransomware ab und verbessert so die Verschleierung. Mit der –path-Kommandozeile können die Angreifer zudem gezielt festlegen, in welchem Verzeichnis die Ransomware nach Dateien sucht. Dateien auf der Whitelist werden dabei übersprungen und nicht verschlüsselt, was den Angreifern gezielte Kontrolle über die Verschlüsselung ermöglicht.

Initial Access Brokerage

Dem Ransomware-Angriff ging ein Einsatz eines Infostealers voraus: Im von Kaspersky beobachteten Angriff nutzten die Angreifer RustyStealer, um Zugangsdaten von Mitarbeitern zu stehlen. Damit konnten sich die Angreifer Zugriff auf die Systeme des Unternehmens verschaffen und lange genug die Kontrolle behalten, um in einem weiteren Schritt die Ransomware zu installieren. Diese Art von Angriff ist als Initial Access Brokerage bekannt, bei dem die Angreifer in Systeme eindringen und einen Zugang längerfristig sicherstellen. Normalerweise verkaufen Initial Access Broker solch einen Zugang im Dark Web an andere Cyberkriminelle weiter; in diesem Fall scheinen die Angreifer jedoch selbst aktiv geworden zu sein und die Ransomware direkt eingesetzt zu haben.

Die Ransomware verwendet ChaCha20, ein modernes Strom-Chiffre-Verfahren, das für seine Geschwindigkeit und Sicherheit bekannt ist und sogar den Advanced Encryption Standard (AES) in einigen Aspekten übertrifft.

Unklar, wer hinter der Ransomware steckt

„Wenn die Initial Access Broker tatsächlich dieselben Akteure sind, die die Ransomware installiert haben, könnte dies der Beginn eines neuen Trends sein, der ohne traditionelle Ransomware-as-a-Service (RaaS)-Gruppen auskommt“, sagt Cristian Souza von Kaspersky. „Wir haben bisher keine neuen Ransomware-Gruppen auf dem Untergrundmarkt entdeckt. Üblicherweise nutzen Angreifer Schattenforen oder Portale, um Informationen zu leaken und so Druck auf die Betroffenen auszuüben, damit sie das Lösegeld zahlen. Bei Ymir ist dies jedoch bisher nicht der Fall. Daher bleibt unklar, wer hinter der Ransomware steckt.“

Roger Homrich

Recent Posts

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

17 Stunden ago

Digitale Produkte „cyberfit“ machen

Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.

17 Stunden ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…

22 Stunden ago

Apple schließt Zero-Day-Lücken in iOS, iPadOS und macOS

Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…

1 Tag ago

Gefährliche Anzeigen für Passwortmanager Bitwarden verbreiten Malware

Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…

2 Tagen ago

Public Cloud: Gartner erwartet 2025 weltweite Ausgaben von 723 Milliarden Dollar

Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.

2 Tagen ago