El equipo global de respuesta a emergencias de Kaspersky identificó una nueva variante de ransomware, denominada "Ymir", desplegada en un ataque posterior al robo de credenciales de empleados. Este ransomware se destaca por sus métodos avanzados de sigilo, manejo de memoria poco convencional y el uso del algoritmo de encriptación ChaCha20, reconocido por su velocidad y seguridad.
Por lo observado en un ataque ocurrido en una organización en Colombia, los ciberdelincuentes emplearon RustyStealer, un malware especializado en el robo de información, para obtener credenciales corporativas. Este acceso permitió a los atacantes infiltrar los sistemas y desplegar "Ymir", sin evidencia de intermediarios externos.
Según Eduardo Chavarro, director del grupo de respuesta a incidentes y forense digital para Américas en Kaspersky, esta acción puede indicar "una nueva tendencia" entre los atacantes. "Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)", comentó Chavarro a NotiPress.
Este ransomware utiliza funciones específicas de gestión de memoria, como malloc, memmove y memcmp, para ejecutar el código directamente en la memoria y eludir detecciones tradicionales. Además, ofrece flexibilidad mediante un comando que permite seleccionar qué archivos se cifran y cuáles se omiten, mejorando el control de los atacantes sobre las operaciones.
.jpg)
Aunque no se registró la filtración de datos robados ni demandas adicionales, los expertos advierten que el monitoreo de este ransomware continúa. Desde Kaspersky, subrayan que "la pregunta de qué grupo está detrás del ransomware sigue abierta". Es por eso que ofrecen una serie de recomendaciones para mitigar ataques de ransomware. La primera medida preventiva que la empresa sugiere es realizar copias de seguridad frecuentes y educar a los empleados en ciberseguridad. Luego, se sugiere mantener soluciones avanzadas de protección en tiempo real como Kaspersky Next.
Se recomienda también evitar el pago de rescates y conservar archivos cifrados en espera de posibles soluciones. Pagar fomenta a los creadores de malware a continuar con sus operaciones, pero no asegura la devolución segura y confiable de los archivos.
Para mitigar estos riesgos se pueden utilizar herramientas como la evaluación de compromiso, detección y respuesta gestionada (MDR) y/o respuesta a incidentes que ayudan a proteger la compañía contra ciberataques evasivos, investigar incidentes y obtener experiencia adicional incluso si una empresa carece de trabajadores de seguridad. Así como otros productos de Kaspersky que ya detectan "Ymir" como Trojan-Ransom.Win64.Ymir.gen, reforzando la necesidad de mantener sistemas actualizados para prevenir este tipo de amenazas avanzadas. (NotiPress)
.gif)