En el ataque observado por los expertos de Kaspersky afect\u00f3 a una organizaci\u00f3n de Colombia; se trata del ransomware Ymir que utiliza una combinaci\u00f3n \u00fanica de t\u00e9cnicas y t\u00e1cticas que mejoran su efectividad.<\/p>\n\n\n\n
El equipo global de respuesta a emergencias de Kaspersky ha identificado una nueva variante de ransomware que nunca antes se hab\u00eda visto en uso activo, desplegado en un ataque posterior al robo de credenciales de empleados. El ransomware, denominado \u00abYmir\u00bb, emplea m\u00e9todos avanzados de sigilo y encriptaci\u00f3n. Tambi\u00e9n selecciona archivos espec\u00edficos y trata de evadir la detecci\u00f3n.<\/strong><\/p>\n\n\n\n T\u00e9cnicas poco comunes de manipulaci\u00f3n de memoria para el sigilo<\/strong>. Los actores de la amenaza utilizaron una mezcla poco convencional de funciones de gesti\u00f3n de memoria \u2013 malloc, memmove y memcmp \u2013 para ejecutar el c\u00f3digo malicioso directamente en la memoria. Este enfoque se desv\u00eda del flujo de ejecuci\u00f3n secuencial t\u00edpico visto en los tipos de ransomware m\u00e1s comunes, mejorando sus capacidades de sigilo. Adem\u00e1s, Ymir es flexible: mediante el comando –path, los atacantes pueden especificar un directorio donde el ransomware debe buscar archivos. Si un archivo est\u00e1 en la lista blanca, el ransomware lo omite y lo deja sin encriptar. Esta caracter\u00edstica otorga a los atacantes m\u00e1s control sobre qu\u00e9 se encripta y qu\u00e9 no.<\/p>\n\n\n\n Uso de malware para robar datos.<\/strong> En el ataque observado por los expertos de Kaspersky, que tuvo lugar en una organizaci\u00f3n de Colombia, se observ\u00f3 que los actores de la amenaza utilizaban RustyStealer, un tipo de malware que roba informaci\u00f3n, para obtener credenciales corporativas de empleados. Estas fueron luego utilizadas para acceder a los sistemas de la organizaci\u00f3n y mantener el control el tiempo suficiente para desplegar el ransomware. Este tipo de ataque se conoce como \u00abintermediaci\u00f3n de acceso inicial\u00bb, donde los atacantes infiltran los sistemas y mantienen el acceso. T\u00edpicamente, los intermediarios de acceso inicial venden el acceso que obtienen en la dark web a otros ciberdelincuentes, pero en este caso parece que continuaron el ataque ellos mismos al desplegar el ransomware. \u00abSi los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podr\u00eda se\u00f1alar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)\u00bb, <\/em>explica Eduardo Chavarro director del Grupo de Respuesta a Incidentes y forense digital para Am\u00e9ricas en Kaspersky.<\/strong><\/p>\n\n\n\n Algoritmo de encriptaci\u00f3n avanzado<\/strong>. El ransomware emplea ChaCha20, un moderno cifrador de flujo conocido por su velocidad y seguridad, superando incluso al Est\u00e1ndar de Encriptaci\u00f3n Avanzada (AES).<\/p>\n\n\n\n Aunque el actor detr\u00e1s de este ataque no ha compartido datos robados p\u00fablicamente ni ha hecho m\u00e1s demandas, los investigadores lo est\u00e1n monitoreando de cerca para detectar nuevas actividades. \u00abNo hemos identificado sitios de subasta de datos extra\u00eddos por parte de este grupo. T\u00edpicamente, los atacantes utilizan foros o portales ocultos para filtrar informaci\u00f3n como una forma de presionar a las v\u00edctimas para que paguen el rescate, lo cual no es el caso con Ymir. Dado esto, la pregunta de qu\u00e9 grupo est\u00e1 detr\u00e1s del ransomware sigue abierta, y sospechamos que esto puede ser una nueva campa\u00f1a\u00bb,<\/em> explica Ovalle.<\/strong><\/p>\n\n\n\n Buscando un nombre para la nueva amenaza, los expertos de Kaspersky consideraron una luna de Saturno llamada Ymir. Es una luna \u00abirregular\u00bb que viaja en direcci\u00f3n opuesta a la rotaci\u00f3n del planeta, una caracter\u00edstica que curiosamente recuerda la mezcla poco convencional de funciones de gesti\u00f3n de memoria utilizadas en el nuevo ransomware.<\/p>\n\n\n\n Los productos de Kaspersky ahora pueden detectar este ransomware como Trojan-Ransom.Win64.Ymir.gen. Los expertos de la compa\u00f1\u00eda recomiendan las siguientes medidas generales para mitigar los ataques de ransomware:<\/p>\n\n\n\n\n