Kaspersky descubrió un nuevo ransomware operando en América Latina

Esta novedosa amenaza se conoció como Ymir y fue descubierta luego de un robo de credenciales en una organización de Colombia. Este tipo de ataque emplea métodos avanzados de sigilo y encriptación para ejecutar el código malicioso que mejoran su efectividad.

Eduardo Chavarro, especialista en respuesta de incidentes de Kaspersky. Foto: Prensariotila - evento. Portal ERP LATAM

El equipo global de respuesta a emergencias de Kaspersky, una empresa global de ciberseguridad y privacidad digital, ha identificado una nueva variante de ransomware, denominada Ymir, que nunca antes se había visto en uso activo. Esta amenaza se desplegó tras el robo de credenciales de empleados y utiliza técnicas avanzadas de sigilo y encriptación para seleccionar archivos específicos y evitar su detección.

Los atacantes emplearon una combinación inusual de funciones de gestión de memoria, como malloc, memmove y memcmp, para ejecutar el código malicioso directamente en la memoria. Este enfoque se aparta del flujo secuencial común en otras variantes de ransomware, mejorando significativamente sus capacidades de ocultación.

Kaspersky destacó la flexibilidad de Ymir, que permite a los atacantes especificar un directorio de búsqueda mediante el comando –path. Esta función permite omitir archivos en la lista blanca, dejando sin encriptar aquellos que los atacantes elijan, lo que otorga un mayor control sobre las operaciones.

En un ataque observado en una organización de Colombia, los expertos de Kaspersky detectaron el uso de RustyStealer, un malware diseñado para robar información, que permitió a los atacantes obtener credenciales corporativas. Estas credenciales se utilizaron para acceder a los sistemas de la empresa y mantener el control el tiempo suficiente para desplegar Ymir, en un proceso conocido como intermediación de acceso inicial, donde se infiltran y retienen el acceso.

A diferencia de otros casos, Kaspersky estima que los atacantes no vendieron el acceso en la dark web, sino que llevaron a cabo el ataque completo ellos mismos. "Si los intermediarios son los mismos que desplegaron el ransomware, esto podría indicar una nueva tendencia, abriendo más opciones de secuestro sin depender de los grupos de Ransomware-as-a-Service (RaaS)", explicó Eduardo Chavarro, director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky.

Además, Kaspersky señaló que Ymir emplea ChaCha20, un cifrador moderno conocido por su rapidez y seguridad, superior al Estándar de Encriptación Avanzada (AES).

Las soluciones de Kaspersky pueden detectar variantes como Trojan-Ransom.Win64.Ymir.gen. La compañía recomienda medidas preventivas para mitigar el riesgo de ataques de ransomware:

• Implementar copias de seguridad frecuentes y realizar pruebas periódicas.
• Capacitar regularmente a los empleados en ciberseguridad para aumentar la conciencia sobre amenazas y estrategias de mitigación.
• Conservar archivos críticos en caso de un ataque, aunque no exista un descifrador conocido.