Detección de Ransomware Yashma: la Última Variante del Constructor Chaos

El constructor de interfaz gráfica de usuario (GUI) Chaos lleva en el mercado menos de un año, permitiendo a los adversarios crear nuevas variantes de ransomware. Una nueva variante de ransomware llamada Yashma es su sexta versión, disponible desde mayo de 2022. Yashma es la versión más refinada de este constructor de ransomware GUI, conocido por su flexibilidad y avance continuo observado en cada iteración.

Detectar el Ransomware Yashma

Para detectar la actividad sospechosa asociada con el ransomware Yashma, los nuevos y existentes usuarios de la plataforma Detection as Code de SOC Prime pueden descargar una regla Sigma dedicada creada por nuestro desarrollador de Threat Bounty, Onur Atali:

Persistencia Sospechosa del Ransomware Yashma al Añadir una Clave de Ejecución al Registro (a través de registry_event)

The Ver Detecciones El botón te llevará al repositorio de contenido de detección asociado con los ataques, aprovechando otras variantes del ransomware Chaos. Los expertos en ciberseguridad son más que bienvenidos a unirse al programa Threat Bounty para publicar contenido de SOC en la plataforma líder de la industria y ser recompensados por su valiosa contribución.

Ver Detecciones Unirse a Threat Bounty

Análisis del Ransomware Yashma

The Equipo de Investigación e Inteligencia de BlackBerry lanzó un análisis exhaustivo de la línea de ransomware Chaos. Chaos es un constructor basado en GUI para ransomware que ha estado en el mercado negro desde el verano pasado. Originalmente, este constructor de ransomware se lanzó bajo el nombre de Ryuk .NET Builder, anunciado como una versión .NET de Ryuk, luego se renombró y resurgió su segunda versión bajo un nuevo nombre, Chaos, con 11 meses separando la versión original de la última variante. Según la inteligencia actual, se sabe que Chaos apoya a Rusia en la actual agresión militar y cibernética contra Ucrania.

Se han observado diferentes variantes de Chaos utilizadas masivamente en la naturaleza, con múltiples operadores detrás de los ataques. Los adversarios principalmente tienen como objetivo entidades en los sectores médico, agrícola, financiero, de la construcción y proveedores de servicios de emergencia ubicados en los EE. UU.

La primera variante de Chaos lanzada actuó más como un troyano que como ransomware. Con cada nuevo lanzamiento, los operadores de Chaos reequiparon su producto para que actuara como un ransomware clásico, cifrando los archivos de la víctima, dejando una nota de ransomware y exigiendo el pago en Bitcoins. La versión Yashma ganó nueva funcionalidad que le permite matar diferentes servicios en un dispositivo comprometido, como software antivirus y de respaldo.

Las brechas de seguridad son ahora el principal problema que afecta a todos los usuarios y organizaciones. En este entorno, solo es prudente aprovechar la oportunidad para llevar su rutina de defensa y detección a otro nivel. Para aumentar su búsqueda de amenazas proactiva y retrospectiva, visite la plataforma SOC Prime.