Allerta Yashma: ransomware il "anomalo" in rapida diffusione

Una versione modificata e che agisce in maniera anomala del ransomware Yashma è in rapida diffusione a livello mondiale.

Tra i paesi più colpiti al momento figurano Cina, Vietnam ma anche una nazione europea, ovvero la Bulgaria. L’offensiva, individuata lo scorso 4 giugno per la prima volta, sembra essere opera di un gruppo di hacker vietnamiti, come riportato da Cisco Talos.

“L’autore della minaccia utilizza una tecnica insolita per consegnare la richiesta di riscatto” afferma il ricercatore di sicurezza Chetan Raghuprasad. “Invece di incorporare le stringhe della nota di riscatto nel file binario, questa viene scaricata dal repository GitHub controllato dai cybercriminali eseguendo un file batch incorporato“.

Yashma, descritto per la prima volta dal team di ricerca e intelligence di BlackBerry nel maggio 2022, è una versione derivata da un altro ceppo di ransomware conosciuto come Chaos.

Yashma gestisce le richieste di riscatto in modo diverso rispetto ad altri ransomware

Il modus operandi di Yashma, con l’anomala richiesta di riscatto, lo rende molto simile a un altro agente malevolo già conosciuto, ovvero WannaCry.

Questa somiglianza, secondo gli esperti di sicurezza, è voluta dagli hacker per confondere le acque e rendere più difficile l’attribuzione del ransomware a un preciso gruppo.

Questo tipo di minaccia informatica ha dimostrato una forte crescita negli ultimi anni. In tal senso, basti pensare che Malwarebytes ha registrato ben 1.900 casi di ransomware nei soli Stati Uniti, Regno Unito, Francia e Germania.

A rendere ancora più efficaci questi attacchi sono le falle di sicurezza zero-day e one-day, con un aumento di vittime del 143% nel primo trimestre del 2023 rispetto allo stesso periodo dell’anno precedente.

Per gli utenti, le precauzioni al fine di evitare i ransomware restano sempre le stesse. Evitare siti Web e allegati e-mail sospetti, abbinando a queste precauzioni l’utilizzo di un antivirus affidabile.