ciberseguridad

Ymir: El nuevo ransomware que amenaza a Colombia con técnicas avanzadas y sigilo extremo



Dirección copiada

Ymir, el nuevo ransomware identificado por Kaspersky en Colombia, marca un hito en la evolución de las amenazas digitales. Con técnicas avanzadas de manipulación de memoria, este malware destaca por su capacidad de operar sigilosamente y atacar datos específicos. Los expertos advierten sobre su potencial de expansión.

Publicado el 3 de dic. de 2024



El nuevo ransomware que amenaza a Colombia con técnicas avanzadas y sigilo extremo
El nuevo ransomware que amenaza a Colombia con técnicas avanzadas y sigilo extremo

En un nuevo capítulo de la creciente batalla contra los ciberataques, el equipo de Kaspersky ha identificado en Colombia una nueva variante de ransomware denominada Ymir. Este ransomware, descrito como un avance en la sofisticación y evasión, fue desplegado en un ataque posterior al robo de credenciales corporativas. 

Su aparición marca un hito en la evolución de las amenazas digitales, combinando técnicas avanzadas de gestión de memoria, cifrado moderno y control selectivo sobre los datos encriptados.

Una nueva era de ransomware

Ymir destaca por su capacidad para operar de manera sigilosa, utilizando técnicas poco comunes de manipulación de memoria. Estas incluyen las funciones ‘malloc’, ‘memmove’ y ‘memcmp’, que permiten ejecutar el código malicioso directamente en la memoria. Este enfoque evita los flujos de ejecución típicos, complicando su detección. Eduardo Chavarro, director del Grupo de Respuesta a Incidentes y Forense Digital para las Américas en Kaspersky, explica:

Este ransomware no solo emplea técnicas avanzadas de gestión de memoria para evitar la detección, sino que también tiene la capacidad de seleccionar archivos específicos mediante el comando –path. Esto les da a los atacantes un control sin precedentes, adaptando el ataque a los objetivos más valiosos del entorno corporativo”.

Además, Ymir utiliza el algoritmo de cifrado ChaCha20, que supera al Estándar de Encriptación Avanzada (AES) en velocidad y seguridad. Esto representa un desafío significativo para los equipos de recuperación de datos y los esfuerzos por desarrollar herramientas de descifrado.

El ataque en Colombia

El caso identificado en Colombia involucró el uso de RustyStealer, un malware especializado en el robo de credenciales. Los atacantes utilizaron las credenciales obtenidas para infiltrarse en los sistemas de una organización y desplegar Ymir directamente. A diferencia de la práctica común de vender el acceso a otros actores en la dark web, los mismos atacantes ejecutaron el ataque completo.

Esta estrategia podría marcar una nueva tendencia en la que los actores de amenazas omiten la intermediación y ejecutan los ataques directamente, creando opciones adicionales sin depender de los modelos tradicionales de Ransomware-as-a-Service (RaaS)“, señala Chavarro.

Ymir: una amenaza sin precedentes

La elección del nombre Ymir, en referencia a una luna irregular de Saturno, resalta la singularidad de esta amenaza. Hasta el momento, no se han identificado demandas públicas ni filtraciones de datos relacionadas con este ransomware. Sin embargo, los expertos advierten que el grupo detrás de Ymir podría estar preparando nuevas campañas.

Aunque no hemos detectado actividades adicionales de este ransomware fuera de Colombia, sabemos que su diseño y efectividad lo convierten en una amenaza con potencial de reactivarse y expandirse a otros sectores e industrias“, concluye Chavarro. En un panorama donde las amenazas evolucionan constantemente, Ymir no solo representa un reto técnico, sino también un llamado a reforzar las defensas digitales en todos los niveles organizacionales.

Implicaciones y recomendaciones

El sigilo de Ymir y su capacidad para operar de manera dirigida lo convierten en una amenaza ante la cual prender alarmas.Su detección y eliminación requieren herramientas avanzadas como soluciones de Detección y Respuesta Extendida (XDR) que ofrecen monitoreo en tiempo real y análisis del comportamiento. Además, la autoeliminación del ransomware tras su ejecución complica aún más las investigaciones.  

Para mitigar riesgos, Kaspersky recomienda:

aAdemás de las recomendaciones innegociables en cuanto a ciberseguridad, frente a la amenaza de Ymir tenga en cuenta:

  • Implementar copias de seguridad frecuentes y realizar pruebas regulares de restauración.
  • Capacitar a los empleados en ciberseguridad para detectar amenazas como el malware de robo de datos.
  • Utilizar soluciones avanzadas de seguridad que combinen protección en tiempo real y análisis forense.
  • Reducir la superficie de ataque deshabilitando servicios y puertos innecesarios.
  • Adoptar servicios de seguridad gestionada como Detección y Respuesta Gestionada (MDR).

El ataque ha sido detectado originalmente en Infraestructuras Críticas (infraestructuras estratégicas que proporcionan servicios esenciales y cuyo funcionamiento es indispensable), pero debido al vector inicial de acceso, podemos indicar que puede dirigirse a cualquier tipo de Industria que no gestione adecuadamente la actividad de los usuarios en su infraestructura. Desafortunadamente, aunque mantenemos un monitoreo activo, no hemos identificado esta amenaza en otras regiones aún. Pero sabemos que se reactivará debido a sus capacidades y efectividad en el cifrado, concluyó el experto.

Artículos relacionados

Artículo 1 de 4