Kaspersky ha identificado una cepa de ransomware nunca vista y utilizada en un ataque tras el robo de credenciales de empleados. El ransomware, denominado Ymir, emplea métodos avanzados de sigilo y cifrado. Además, selecciona archivos específicos y trata de evadir la detección.
Cómo funciona este ransomware
De acuerdo con los expertos, Ymir introduce una combinación única de características técnicas y tácticas que mejoran su efectividad:
- Técnicas poco comunes de manipulación de memoria para el sigilo. Los ciberdelincuentes utilizaron una combinación poco convencional de funciones de administración de memoria –malloc, memmove y memcmp– para ejecutar código malicioso. Este enfoque se desvía del flujo de ejecución secuencial típico de los tipos de ransomware comunes, mejorando sus capacidades de sigilo. Además, Ymir es flexible: usando el comando –path, los atacantes pueden especificar un directorio donde el ransomware buscará archivos. Si un archivo está en la lista blanca, el ransomware lo omitirá y no lo cifrará. Esta característica permite a los atacantes tener más control sobre lo que se cifra o no.
- Uso de malware para robo de datos. En el ataque observado por los expertos de Kaspersky, que tuvo lugar en una organización de Colombia, se observó que los actores de la amenaza usaron RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de los empleados. Luego, las utilizaron para acceder a los sistemas de la organización y mantener el control el tiempo suficiente para desplegar el ransomware. Este tipo de ataque se conoce como “corretaje de acceso inicial”, en el que los atacantes se infiltran en los sistemas y mantienen el acceso.
- Normalmente, los corredores de acceso inicial venden el acceso que obtienen en la dark web a otros ciberdelincuentes, pero, en este caso, parecen haber continuado el ataque por sí mismos desplegando el ransomware. “Si los propios corredores son realmente los mismos actores que desplegaron el ransomware, esto podría indicar una nueva tendencia, dando lugar a situaciones de secuestro sin depender de los grupos tradicionales de Ransomware como Servicio (RaaS)”, explica Cristian Souza, especialista en Respuesta ante Incidentes del Equipo Global de Respuesta ante Emergencias de Kaspersky.
- Algoritmo de cifrado avanzado. El ransomware emplea ChaCha20, un cifrado de flujo moderno conocido por su velocidad y seguridad, superando incluso al Estándar de Cifrado Avanzado (AES).
Aunque el actor detrás de este ataque no ha compartido datos robados públicamente ni ha hecho más peticiones, los analistas lo están siguiendo de cerca en busca de nuevas actividades. “Aún no hemos observado la aparición de nuevos grupos de ransomware en el mercado clandestino. Por lo general, los atacantes usan foros o portales clandestinos para filtrar información como una forma de presionar a las víctimas para que paguen el rescate, lo cual no es el caso con Ymir. Con todo ello, sigue abierta la pregunta de qué grupo está detrás del ransomware”, añade Souza.
El nombre ‘Ymir’ fue elegido por los expertos de Kaspersky tomando como inspiración la luna de Saturno. Es una luna «irregular» que viaja en dirección opuesta a la rotación del planeta, un rasgo que se asemeja a la combinación poco convencional de funciones de administración de memoria utilizadas en el nuevo ransomware.
