Detecção do Ransomware Yashma: a Mais Recente Variante do Construtor Chaos

O construtor de interface gráfica de usuário (GUI) Chaos está no mercado há menos de um ano, permitindo que adversários criem novas variantes de ransomware. Uma nova variante de ransomware chamada Yashma é a sua 6ª versão, disponível desde maio de 2022. O Yashma é a versão mais refinada deste construtor de ransomware GUI, conhecido por sua flexibilidade e avanço contínuo observado em cada iteração.

Detectar Ransomware Yashma

Para detectar a atividade suspeita associada ao ransomware Yashma, os usuários novos e existentes da plataforma Detecção como Código da SOC Prime podem baixar uma regra Sigma dedicada criada pelo nosso desenvolvedor do Threat Bounty, Onur Atali:

Persistência suspeita do Ransomware Yashma pela adição de chave de execução ao Registro (via registry_event)

The Ver Detecções o botão levará você ao repositório de conteúdo de detecção associado aos ataques, aproveitando outras variantes do ransomware Chaos. Adeptos em cibersegurança são mais do que bem-vindos a juntar-se ao programa Threat Bounty para publicar conteúdo SOC na plataforma líder do setor e serem recompensados por suas valiosas contribuições.

Ver Detecções Participe do Threat Bounty

Análise do Ransomware Yashma

The Equipe de Pesquisa e Inteligência da BlackBerry lançou uma análise abrangente da linha de ransomware Chaos. Chaos é um construtor baseado em GUI para ransomware que tem estado no mercado negro desde o verão passado. Originalmente, este construtor de ransomware foi lançado sob o nome Ryuk .NET Builder, anunciado como uma versão .NET do Ryuk, depois rebranding e ressurgindo sua 2ª versão sob um novo nome, Chaos, com 11 meses separando a variante original e a última. De acordo com a inteligência atual, sabe-se que Chaos apoia a Rússia na contínua agressão militar e cibernética contra a Ucrânia.

Diferentes variantes do Chaos foram avistadas sendo usadas massivamente na natureza, com múltiplos operadores por trás dos ataques. Os adversários principalmente têm como alvo entidades nos setores médico, agrícola, financeiro, de construção civil e prestadores de serviços de emergência localizados nos EUA.

A primeira variante do Chaos lançada atuava mais como um trojan do que como ransomware. Com cada novo lançamento, os operadores do Chaos reequiparam seu produto para atuar como ransomware clássico, criptografando os arquivos da vítima, deixando uma nota de ransomware e exigindo o pagamento em Bitcoins. A versão Yashma ganhou nova funcionalidade que permite matar diferentes serviços em um dispositivo comprometido, como software antivírus e de backup.

Violações de segurança são agora a principal questão afetando todos os usuários e organizações. Nesse ambiente, é sábio aproveitar a oportunidade para elevar sua rotina de defesa e detecção. Para aumentar sua caça de ameaças proativa e retrospectiva, visite a plataforma SOC Prime.