Il team di Talos ha recentemente identificato un nuovo attore minaccioso che utilizza il ransomware Yashma. Questo attore sembra mirare alle vittime in paesi di lingua inglese, Bulgaria, Cina e Vietnam.
Analisi dell’attore minaccioso
Talos valuta con alta fiducia che questo attore minaccioso stia prendendo di mira le vittime nei paesi menzionati, poiché l’account GitHub dell’attore, “nguyenvietphat”, ha note di riscatto scritte nelle lingue di questi paesi. La presenza di una versione in inglese potrebbe indicare l’intenzione dell’attore di mirare a una vasta gamma di aree geografiche.
Inoltre, Talos valuta con moderata fiducia che l’attore minaccioso possa essere di origine vietnamita. Questa valutazione si basa sul nome dell’account GitHub e sull’indirizzo email di contatto sulle note di riscatto, che imita il nome di un’organizzazione vietnamita legittima. La nota di riscatto chiede anche alle vittime di contattarli tra le 7 e le 11 p.m. UTC+7, che coincide con il fuso orario del Vietnam.
Dettagli sul ransomware Yashma
L’attore ha distribuito una variante del ransomware Yashma, compilato il 4 giugno 2023. Yashma è un eseguibile a 32 bit scritto in .Net ed è una versione rinominata del ransomware Chaos V5, apparso nel maggio 2022. Questa variante di Yashma esegue un file batch incorporato, che ha i comandi per scaricare la nota di riscatto dal repository GitHub controllato dall’attore. Questa modifica elude le soluzioni di rilevamento degli endpoint e il software antivirus, che di solito rilevano le stringhe di note di riscatto incorporate nel binario.
Le note di riscatto di Yashma ricordano la nota di riscatto ben nota di WannaCry, forse per offuscare l’identità dell’attore minaccioso e confondere i responsabili degli incidenti. Dopo la cifratura, la variante del ransomware Yashma imposta lo sfondo sulla macchina della vittima. Sembra che l’operatore abbia scaricato questa immagine da www[.]FXXZ[.]com e l’abbia incorporata nella variante binaria di Yashma. Lo sfondo impostato dalla variante Yashma nella macchina della vittima imita anche il ransomware WannaCry.