Rilevamento del Ransomware Yashma: l’Ultima Variante del Chaos Builder

Il costruttore di interfacce grafiche utente (GUI) di Chaos è sul mercato da meno di un anno, consentendo agli avversari di creare nuove varianti di ransomware. Una nuova variante di ransomware chiamata Yashma è la sua sesta versione, disponibile da maggio 2022. Yashma è la versione più raffinata di questo costruttore di ransomware GUI, noto per la sua flessibilità e il progresso continuo osservato in ogni iterazione.

Rileva il ransomware Yashma

Per rilevare l’attività sospetta associata al ransomware Yashma, i nuovi ed esistenti utenti della piattaforma Detection as Code di SOC Prime possono scaricare una regola Sigma dedicata creata dal nostro sviluppatore di Threat Bounty, Onur Atali:

Persistenza sospetta del ransomware Yashma aggiungendo una chiave Run al registro (via registry_event)

The Visualizza rilevamenti il pulsante ti porterà al repository di contenuti di rilevamento associati agli attacchi, sfruttando altre varianti del ransomware Chaos. Gli esperti di cybersecurity sono più che benvenuti a unirsi al programma Threat Bounty per pubblicare contenuti SOC sulla piattaforma leader del settore e ottenere ricompense per il loro prezioso contributo.

Visualizza rilevamenti Unisciti al Threat Bounty

Analisi del ransomware Yashma

The Il team di Ricerca e Intelligenza di BlackBerry ha rilasciato un’analisi approfondita della linea di ransomware Chaos. Chaos è un costruttore per ransomware basato su GUI che è stato sul mercato nero dall’estate scorsa. Originariamente, questo costruttore di ransomware è stato rilasciato sotto il nome di Ryuk .NET Builder, pubblicizzato come una versione .NET di Ryuk, successivamente ribattezzato e riemerso con la sua seconda versione sotto un nuovo nome, Chaos, con 11 mesi che separano la versione originale dall’ultima variante. Secondo l’ intelligence attuale, si sa che Chaos supporta la Russia nell’attuale aggressione militare e informatica contro l’Ucraina.

Diverse varianti di Chaos sono state avvistate ampiamente utilizzate in ambienti selvaggi, con molti operatori dietro gli attacchi. Gli avversari mirano principalmente a entità nei settori medico, agricolo, finanziario, delle costruzioni e ai fornitori di servizi di emergenza situati negli Stati Uniti.

La prima variante di Chaos rilasciata agiva più come un trojan che come ransomware. Con ogni nuovo rilascio, gli operatori di Chaos hanno riadattato il loro prodotto per funzionare come un classico ransomware, crittografando i file delle vittime, lasciando una nota di ransomware e richiedendo il pagamento in Bitcoin. La versione Yashma ha ottenuto nuove funzionalità che le permettono di terminare diversi servizi su un dispositivo compromesso, come software antivirus e di backup.

Le violazioni della sicurezza sono ora il principale problema che colpisce tutti gli utenti e le organizzazioni. In questo contesto, è saggio cogliere l’opportunità di migliorare la tua routine di difesa e rilevamento. Per aumentare la tua caccia alle minacce proattive e retrospettive, visita la piattaforma di SOC Prime.