Un análisis reciente de Kaspersky ha revelado un nuevo ransomware llamado Ymir, que afecta a empresas en América Latina y destaca por su capacidad de evadir la detección a través de técnicas de manipulación de memoria y un sistema de encriptación robusto.
Jonathan Munizaga
Esta amenaza, observada en un ataque en Colombia, podría anticipar un cambio en las tácticas de los cibercriminales, que ahora logran mantener el acceso y control durante más tiempo. La nueva variante evidencia una evolución en los métodos de ransomware, dirigiéndose a archivos específicos y minimizando su exposición a sistemas de seguridad corporativa.
El ransomware Ymir se caracteriza por su capacidad de operar en silencio, utilizando funciones de gestión de memoria inusuales como malloc, memmove y memcmp. Estas técnicas le permiten ejecutar su código directamente en la memoria, logrando un nivel de sigilo superior al de otros ransomware. Además, Ymir ofrece a los atacantes la flexibilidad de especificar qué directorios y archivos encriptar mediante el comando --path, permitiéndoles mayor control sobre sus objetivos y limitando los daños visibles.
Juan Andrés
En el ataque registrado en Colombia, los ciberdelincuentes emplearon RustyStealer, un malware especializado en el robo de información, para obtener credenciales de acceso. Esto les permitió infiltrarse y desplegar el ransomware, manteniendo el control de los sistemas durante el tiempo suficiente para ejecutar el ataque. Esta estrategia, conocida como "intermediación de acceso inicial," suele incluir la venta de acceso a terceros en la dark web; sin embargo, en este caso, los mismos infiltrados completaron el ataque.
Eduardo Chavarro, director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky, comentó:
"Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)".
Jonathan Munizaga
Para la protección de sus archivos, Ymir utiliza el algoritmo de encriptación ChaCha20, un cifrador moderno y rápido que supera al AES en eficiencia y seguridad. Aunque aún no se han identificado actividades de venta de datos robados asociadas a este ransomware, los expertos de Kaspersky se mantienen atentos a posibles movimientos del grupo detrás de Ymir.
Kaspersky insta a las empresas a reforzar sus defensas contra este tipo de ransomware. La compañía sugiere la implementación de copias de seguridad frecuentes, la capacitación en ciberseguridad para empleados y el uso de soluciones avanzadas de protección como los productos Kaspersky Next, que incluyen capacidades de detección y respuesta en tiempo real, así como servicios gestionados de seguridad. Entre las medidas recomendadas, destaca la adopción de soluciones como Evaluación de Compromiso y Respuesta a Incidentes, esenciales para detectar y mitigar amenazas complejas.
¿Qué estrategias de ciberseguridad considera su empresa para enfrentar amenazas como el ransomware Ymir?
Juan Andrés
