El equipo global de respuesta a emergencias de Kaspersky ha identificado una nueva variante de ransomware que nunca antes se había visto en uso activo. Esta misma fue desplegada luego de un robo de credenciales de empleados. El ransomware, denominado «Ymir», emplea métodos avanzados de sigilo y encriptación. También selecciona archivos específicos y trata de evadir la detección.
Los actores de la amenaza utilizaron una mezcla poco convencional de funciones de gestión de memoria – malloc, memmove y memcmp – para ejecutar el código malicioso directamente en la memoria. Este enfoque se desvía del flujo de ejecución secuencial típico visto en las variantes de ransomware más comunes, mejorando sus capacidades de sigilo.
Cabe destacar que desde la compañía afirmaron que este ransomware es flexible. Mediante el comando –path, los atacantes pueden especificar un directorio donde se establece la búsqueda de archivos para ser atacados. Por ejemplo, si un archivo está en la lista blanca, Ymir lo omite y lo deja sin encriptar, otorgando a los atacantes más control sobre qué se encripta y qué no.
En el ataque observado por los expertos de Kaspersky, que tuvo lugar en una organización de Colombia, se observó que los actores de la amenaza utilizaban RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de empleados. Posteriormente, estas fueron utilizadas para acceder a los sistemas de la organización y mantener el control el tiempo suficiente para desplegar el ransomware. Este tipo de ataque se conoce como «intermediación de acceso inicial», donde los atacantes infiltran los sistemas y mantienen el acceso.
A diferencia de lo que ocurre comúnmente, desde la compañía estiman que los atacantes no vendieron el acceso inicial en la dark web, sino que continuaron ellos mismos hasta despegar el ransomware. «Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)», explicó Eduardo Chavarro director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky.
A su vez, Kaspersky detectó que este ransomware utiliza ChaCha20, un moderno cifrador conocido por su velocidad y seguridad, superando al Estándar de Encriptación Avanzada (AES).
Desde la compañía aseguraron que sus soluciones pueden detectar ransomware como Trojan-Ransom.Win64.Ymir.gen. Además, dieron a conocer una serie de recomendaciones para mitigar los ataques de ransomware:
- Implementar un programa de copias de seguridad frecuentes y realizar pruebas regulares.
- Brindar a los empleados formación periódica en ciberseguridad para aumentar su conciencia sobre amenazas cibernéticas como el malware que roba datos, y enseñar estrategias efectivas de mitigación.
- Si ha sido víctima de ransomware y aún no existe un descifrador conocido, guarde sus archivos críticos cifrados.
- Una solución de descifrado puede surgir dentro de un esfuerzo de investigación de amenazas en curso o si las autoridades logran apoderarse del actor detrás de la amenaza.
- Se recomienda no pagar el rescate. Pagar fomenta que los creadores de malware continúen con sus operaciones, pero no asegura la devolución segura y confiable de los archivos.
- Adoptar servicios de seguridad gestionados de Kaspersky, como Evaluación de Compromiso, Detección y Respuesta Gestionada (MDR) y/o Respuesta a Incidentes, que cubren todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección continua y la remediación.
Para conocer más información sobre ciberseguridad, se puede visitar el siguiente enlace.