Yashma Ransomware-Erkennung: die neueste Chaos Builder-Variante

Der Chaos-graphische Benutzeroberflächen (GUI)-Builder ist seit weniger als einem Jahr auf dem Markt und ermöglicht es Angreifern, neue Ransomware-Stämme zu erstellen. Eine neue Ransomware-Variante namens Yashma ist die 6. Version, die ab Mai 2022 verfügbar ist. Yashma ist die ausgereifteste Version dieses GUI-Ransomware-Builders, der bekannt für seine Flexibilität und kontinuierliche Weiterentwicklung bei jeder Iteration ist.

Yashma Ransomware erkennen

Um die verdächtige Aktivität im Zusammenhang mit der Yashma-Ransomware zu erkennen, können neue und bestehende Benutzer der Detection-as-Code-Plattform von SOC Prime eine dedizierte Sigma-Regel herunterladen, die von unserem Threat Bounty-Entwickler erstellt wurde, Onur Atali:

Verdächtige Persistenz von Yashma Ransomware durch Hinzufügen eines Run-Schlüssels zur Registrierung (via registry_event)

The Erkennungen anzeigen Schaltfläche bringt Sie zum Repository der Erkennungsinhalte, die mit den Angriffen verbunden sind und andere Varianten der Chaos-Ransomware nutzen. Experten im Bereich Cybersicherheit sind herzlich eingeladen, dem Threat Bounty-Programm beizutreten, um SOC-Inhalte auf der führenden Plattform der Branche zu veröffentlichen und für ihren wertvollen Beitrag belohnt zu werden.

Erkennungen anzeigen Threat Bounty beitreten

Yashma-Ransomware-Analyse

The BlackBerry Research & Intelligence Team veröffentlichte eine umfassende Analyse der Chaos-Ransomware-Linie. Chaos ist ein GUI-basierter Builder für Ransomware, der seit letztem Sommer auf dem dunklen Markt ist. Ursprünglich wurde dieser Ransomware-Builder unter dem Namen Ryuk .NET Builderveröffentlicht, beworben als eine .NET-Version von Ryuk, später unter einem neuen Namen erneut aufgetaucht in der zweiten Version, Chaos, mit 11 Monaten zwischen der ursprünglichen und der neuesten Variante. Laut der aktuellen Aufklärungist Chaos bekannt dafür, Russland in der laufenden militärischen und cybernetischen Aggression gegen die Ukraine zu unterstützen.

Verschiedene Varianten von Chaos wurden massiv in freier Wildbahn entdeckt, mit mehrere Operators hinter den Angriffen. Gegner zielen hauptsächlich auf Unternehmen in den Bereichen Medizin, Landwirtschaft, Finanzen, Bauwesen und Notdienste in den USA.

Die erste veröffentlichte Chaos-Variante fungierte mehr als Trojaner denn als Ransomware. Mit jeder neuen Veröffentlichung rüsteten die Chaos-Operatoren ihr Produkt um, um als klassische Ransomware zu arbeiten, die die Dateien des Opfers verschlüsselt, eine Lösegeldnotiz hinterlässt und die Zahlung in Bitcoins verlangt. Die Yashma Version erhielt neue Funktionen, die es ihr ermöglichen, verschiedene Dienste auf einem kompromittierten Gerät zu beenden, wie etwa Antiviren- und Backup-Software.

Sicherheitsverletzungen sind nun das Hauptproblem, das alle Benutzer und Organisationen betrifft. In dieser Umgebung ist es nur klug, die Gelegenheit zu ergreifen, um Ihre Verteidigungs- und Erkennungsroutine zu verbessern. Um Ihr proaktives und retrospektives Bedrohungsjagen zu verbessern, besuchen Sie die SOC Prime Plattform.