El Equipo de Respuesta a Emergencias Global de Kaspersky ha identificado una cepa de ransomware nunca vista y utilizada en un ataque tras el robo de credenciales de empleados. El ransomware, denominado Ymir, emplea métodos avanzados de sigilo y cifrado. Además, selecciona archivos específicos y trata de evadir la detección.
De acuerdo con los expertos de Kaspersky, el ransomware Ymir introduce una combinación única de características técnicas y tácticas que mejoran su efectividad.
Características Ymir ransomware
- Técnicas poco comunes de manipulación de memoria para el sigilo. Los ciberdelincuentes utilizaron una combinación poco convencional de funciones de administración de memoria –malloc, memmove y memcmp– para ejecutar código malicioso. Este enfoque se desvía del flujo de ejecución secuencial típico de los tipos de ransomware comunes, mejorando sus capacidades de sigilo. Además, Ymir es flexible: usando el comando –path, los atacantes pueden especificar un directorio donde el ransomware buscará archivos. Si un archivo está en la lista blanca, el ransomware lo omitirá y no lo cifrará. Esta característica permite a los atacantes tener más control sobre lo que se cifra o no.
- Uso de malware para robo de datos. En el ataque observado por los expertos de Kaspersky, que tuvo lugar en una organización de Colombia, se observó que los actores de la amenaza usaron RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de los empleados. Luego, las utilizaron para acceder a los sistemas de la organización y mantener el control el tiempo suficiente para desplegar el ransomware. Este tipo de ataque se conoce como “corretaje de acceso inicial”, en el que los atacantes se infiltran en los sistemas y mantienen el acceso. Normalmente, los corredores de acceso inicial venden el acceso que obtienen en la dark web a otros ciberdelincuentes, pero, en este caso, parecen haber continuado el ataque por sí mismos desplegando el ransomware.“Si los propios corredores son realmente los mismos actores que desplegaron el ransomware, esto podría indicar una nueva tendencia, dando lugar a situaciones de secuestro sin depender de los grupos tradicionales de Ransomware como Servicio (RaaS)”, explica Cristian Souza, especialista en Respuesta ante Incidentes del Equipo Global de Respuesta ante Emergencias de Kaspersky.
- Algoritmo de cifrado avanzado. El ransomware emplea ChaCha20, un cifrado de flujo moderno conocido por su velocidad y seguridad, superando incluso al Estándar de Cifrado Avanzado (AES).
Aunque el actor detrás de este ataque no ha compartido datos robados públicamente ni ha hecho más peticiones, los analistas lo están siguiendo de cerca en busca de nuevas actividades. “Aún no hemos observado la aparición de nuevos grupos de ransomware en el mercado clandestino. Por lo general, los atacantes usan foros o portales clandestinos para filtrar información como una forma de presionar a las víctimas para que paguen el rescate, lo cual no es el caso con Ymir. Con todo ello, sigue abierta la pregunta de qué grupo está detrás del ransomware”, añade Souza.
El nombre ‘Ymir’ fue elegido por los expertos de Kaspersky tomando como inspiración la luna de Saturno. Es una luna «irregular» que viaja en dirección opuesta a la rotación del planeta, un rasgo que se asemeja a la combinación poco convencional de funciones de administración de memoria utilizadas en el nuevo ransomware.
Los expertos comparten algunas medidas generales para mitigar los ataques de ransomware:
- Implementar un cronograma de respaldo frecuente y realizar pruebas periódicas.
- Brindar a los empleados capacitación regular en ciberseguridad para aumentar su conciencia sobre amenazas y enseñarles estrategias efectivas de mitigación.
- Si has sido víctima de ransomware y aún no existe un descifrador conocido, guarde tus archivos críticos cifrados, en caso de que más adelante surja alguna solución de descifrado o de que las autoridades logren tomar el control del actor detrás de la amenaza.
- Se recomienda no pagar el rescate. Pagar fomenta que los creadores de malware continúen sus operaciones, pero no garantiza una devolución segura y fiable de los archivos.
- Para proteger a la empresa contra una amplia gama de amenazas, utiliza soluciones que ofrezcan protección en tiempo real, visibilidad de amenazas, análisis y las capacidades de respuesta de EDR y XDR para organizaciones de cualquier tamaño e industria. Dependiendo de las necesidades actuales y recursos disponibles, es posible elegir el nivel de producto más relevante, con la flexibilidad de migrar fácilmente a otro a medida que evolucionan sus requisitos de ciberseguridad. Además, es recomendable reducir la superficie de ataque deshabilitando servicios y puertos no utilizados.
Te puede interesar
- 6 consejos para evitar ser víctima del ransomware
- Las 5 verdades del ransomware que actualmente desconocen las empresas españolas
- Ante un ciberataque de ransomware, ¿pagar o no pagar?
- Predicciones para el panorama del ransomware en 2025
- 2025: más ataques de ransomware y cinco tendencias más en ciberseguridad
