Aparece en Colombia una nueva amenaza de ransomware sin precedentes
Kaspersky, una de las principales compañías de soluciones en ciberseguridad, identificó la primera detección de “Ymir” en una organización en el país.
Juan Carlos Becerra
De acuerdo con los reportes del informe anual de predicciones sobre ciberseguridad de Google Cloud Security, el ransomware seguirá siendo uno de los modelos predilectos a nivel mundial utilizados por los ciberatacantes debido al volumen de incidentes que puede lograr y al alcance del daño potencial que genera cada ataque. Según pronostican los autores del estudio, aumentará en más regiones fuera de Estados Unidos en los próximos años.
La propagación a escala global, que prevé Google para 2025, ya hace eco en Colombia. Según el equipo global de respuestas a emergencias de Kaspersky, se identificó una nueva variante de ransomware que nunca antes se había visto en uso activo, desplegado en un ataque posterior al robo de credenciales de empleados. El ransomware, denominado “Ymir”, emplea métodos avanzados de sigilo y encriptación. También selecciona archivos específicos y trata de evadir la detección.
Los actores que ejecutan amenazas implementaron una estrategia poco común para dominar la discreción en la memoria mediante funciones como malloc, memmove y memcmp. Estas funciones son generalmente utilizadas para administrar y mover datos en memoria, pero en este caso se emplean para ejecutar código malicioso directamente en la memoria para evitar la secuencia lineal de ejecución que usualmente caracteriza a los ransomware tradicionales.
Además, el ransomware Ymir es altamente personalizable. Kaspersky explica que a través del comando --path, los atacantes pueden indicar el directorio donde el ransomware debe buscar archivos para encriptar. Esta flexibilidad permite que los atacantes especifiquen archivos o directorios específicos que deben ser ignorados y dejados sin encriptar, mediante una lista blanca. La capacidad de control detallado sobre qué archivos serán afectados y cuáles no representa un nivel de precisión inusual, lo cual es particularmente útil para realizar ataques más discretos o dirigidos.
En el ataque observado por los expertos de la solución de ciberseguridad, que tuvo lugar en una organización de Colombia, se observó que los actores de la amenaza utilizaban RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de empleados. Estas fueron luego utilizadas para acceder a los sistemas de la organización y mantener el control el tiempo suficiente para desplegar el ransomware.
Le recomendamos leer: IA, espionaje y ransomware: principales amenazas de ciberseguridad para 2025
RustyStealer es una conocida familia de malware documentada por primera vez en 2021, pero su aparición con ransomware demuestra otro ejemplo de la tendencia reciente de que las operaciones de ciberdelito trabajen juntas.
Este tipo de ataque se conoce como “intermediación de acceso inicial”, donde los atacantes infiltran los sistemas y mantienen el acceso. Típicamente, los intermediarios de acceso inicial venden el acceso que obtienen en la dark web a otros ciberdelincuentes, pero en este caso parece que continuaron el ataque ellos mismos al desplegar el ransomware. “Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)”, explicó Eduardo Chavarro director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky, en el comunicado.
Ymir emplea técnicas de encriptación avanzadas para asegurar sus actividades maliciosas, utilizando un algoritmo moderno y altamente eficiente llamado ChaCha20. Este cifrador de flujo fue diseñado como una alternativa al popular Estándar de Encriptación Avanzada (AES), y se ha destacado por su combinación de velocidad y seguridad, lo que le permite superar incluso a AES en algunos escenarios.
Le podría interesar: Apple protege los iPhone con un reinicio de inactividad para evitar hackeos
ChaCha20 se diferencia de AES en su estructura y funcionamiento: mientras AES opera como un bloque cifrado, ChaCha20 actúa como un flujo cifrado. Esta metodología lo hace especialmente rápido y difícil de descifrar sin la clave correcta. Debido a su diseño eficiente, ha ganado popularidad en aplicaciones de alta seguridad y en sistemas que demandan velocidad sin comprometer la protección de los datos.
El actor detrás de este Ymir ha optado por no publicar datos robados públicamente ni hacer nuevas demandas adicionales. Esta falta de acciones adicionales puede ser parte de su estrategia o simplemente una pausa temporal. No obstante, los investigadores de Kaspersky están monitoreando de cerca esta situación para detectar cualquier posible actividad futura. “No hemos identificado sitios de subasta de datos extraídos por parte de este grupo. Típicamente, los atacantes utilizan foros o portales ocultos para filtrar información como una forma de presionar a las víctimas para que paguen el rescate, lo cual no es el caso con Ymir. Dado esto, la pregunta de qué grupo está detrás del ransomware sigue abierta, y sospechamos que esto puede ser una nueva campaña”, aseguró Chavarro.
Recomendaciones para evitar los ataques de Ransomware
Los expertos de la compañía recomiendan las siguientes medidas generales para mitigar los ataques de ransomware:
- Implementar un programa de copias de seguridad frecuentes y realizar pruebas regulares.
- Brindar a los empleados formación periódica en ciberseguridad para aumentar su conciencia sobre amenazas cibernéticas como el malware que roba datos, y enseñar estrategias efectivas de mitigación.
- Si ha sido víctima de ransomware y aún no existe un descifrador conocido, guarde sus archivos críticos cifrados.
- Se recomienda no pagar el rescate. Pagar fomenta que los creadores de malware continúen con sus operaciones, pero no asegura la devolución segura y confiable de los archivos.
- Para proteger a la empresa contra una amplia gama de amenazas, lo mejor es utilizar soluciones de ciberseguridad. Dependiendo de las necesidades actuales y recursos disponibles, puede elegir el nivel de producto más relevante, con flexibilidad para migrar fácilmente a otro a medida que evolucionen sus requisitos de ciberseguridad.
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.
De acuerdo con los reportes del informe anual de predicciones sobre ciberseguridad de Google Cloud Security, el ransomware seguirá siendo uno de los modelos predilectos a nivel mundial utilizados por los ciberatacantes debido al volumen de incidentes que puede lograr y al alcance del daño potencial que genera cada ataque. Según pronostican los autores del estudio, aumentará en más regiones fuera de Estados Unidos en los próximos años.
La propagación a escala global, que prevé Google para 2025, ya hace eco en Colombia. Según el equipo global de respuestas a emergencias de Kaspersky, se identificó una nueva variante de ransomware que nunca antes se había visto en uso activo, desplegado en un ataque posterior al robo de credenciales de empleados. El ransomware, denominado “Ymir”, emplea métodos avanzados de sigilo y encriptación. También selecciona archivos específicos y trata de evadir la detección.
Los actores que ejecutan amenazas implementaron una estrategia poco común para dominar la discreción en la memoria mediante funciones como malloc, memmove y memcmp. Estas funciones son generalmente utilizadas para administrar y mover datos en memoria, pero en este caso se emplean para ejecutar código malicioso directamente en la memoria para evitar la secuencia lineal de ejecución que usualmente caracteriza a los ransomware tradicionales.
Además, el ransomware Ymir es altamente personalizable. Kaspersky explica que a través del comando --path, los atacantes pueden indicar el directorio donde el ransomware debe buscar archivos para encriptar. Esta flexibilidad permite que los atacantes especifiquen archivos o directorios específicos que deben ser ignorados y dejados sin encriptar, mediante una lista blanca. La capacidad de control detallado sobre qué archivos serán afectados y cuáles no representa un nivel de precisión inusual, lo cual es particularmente útil para realizar ataques más discretos o dirigidos.
En el ataque observado por los expertos de la solución de ciberseguridad, que tuvo lugar en una organización de Colombia, se observó que los actores de la amenaza utilizaban RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de empleados. Estas fueron luego utilizadas para acceder a los sistemas de la organización y mantener el control el tiempo suficiente para desplegar el ransomware.
Le recomendamos leer: IA, espionaje y ransomware: principales amenazas de ciberseguridad para 2025
RustyStealer es una conocida familia de malware documentada por primera vez en 2021, pero su aparición con ransomware demuestra otro ejemplo de la tendencia reciente de que las operaciones de ciberdelito trabajen juntas.
Este tipo de ataque se conoce como “intermediación de acceso inicial”, donde los atacantes infiltran los sistemas y mantienen el acceso. Típicamente, los intermediarios de acceso inicial venden el acceso que obtienen en la dark web a otros ciberdelincuentes, pero en este caso parece que continuaron el ataque ellos mismos al desplegar el ransomware. “Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)”, explicó Eduardo Chavarro director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky, en el comunicado.
Ymir emplea técnicas de encriptación avanzadas para asegurar sus actividades maliciosas, utilizando un algoritmo moderno y altamente eficiente llamado ChaCha20. Este cifrador de flujo fue diseñado como una alternativa al popular Estándar de Encriptación Avanzada (AES), y se ha destacado por su combinación de velocidad y seguridad, lo que le permite superar incluso a AES en algunos escenarios.
Le podría interesar: Apple protege los iPhone con un reinicio de inactividad para evitar hackeos
ChaCha20 se diferencia de AES en su estructura y funcionamiento: mientras AES opera como un bloque cifrado, ChaCha20 actúa como un flujo cifrado. Esta metodología lo hace especialmente rápido y difícil de descifrar sin la clave correcta. Debido a su diseño eficiente, ha ganado popularidad en aplicaciones de alta seguridad y en sistemas que demandan velocidad sin comprometer la protección de los datos.
El actor detrás de este Ymir ha optado por no publicar datos robados públicamente ni hacer nuevas demandas adicionales. Esta falta de acciones adicionales puede ser parte de su estrategia o simplemente una pausa temporal. No obstante, los investigadores de Kaspersky están monitoreando de cerca esta situación para detectar cualquier posible actividad futura. “No hemos identificado sitios de subasta de datos extraídos por parte de este grupo. Típicamente, los atacantes utilizan foros o portales ocultos para filtrar información como una forma de presionar a las víctimas para que paguen el rescate, lo cual no es el caso con Ymir. Dado esto, la pregunta de qué grupo está detrás del ransomware sigue abierta, y sospechamos que esto puede ser una nueva campaña”, aseguró Chavarro.
Recomendaciones para evitar los ataques de Ransomware
Los expertos de la compañía recomiendan las siguientes medidas generales para mitigar los ataques de ransomware:
- Implementar un programa de copias de seguridad frecuentes y realizar pruebas regulares.
- Brindar a los empleados formación periódica en ciberseguridad para aumentar su conciencia sobre amenazas cibernéticas como el malware que roba datos, y enseñar estrategias efectivas de mitigación.
- Si ha sido víctima de ransomware y aún no existe un descifrador conocido, guarde sus archivos críticos cifrados.
- Se recomienda no pagar el rescate. Pagar fomenta que los creadores de malware continúen con sus operaciones, pero no asegura la devolución segura y confiable de los archivos.
- Para proteger a la empresa contra una amplia gama de amenazas, lo mejor es utilizar soluciones de ciberseguridad. Dependiendo de las necesidades actuales y recursos disponibles, puede elegir el nivel de producto más relevante, con flexibilidad para migrar fácilmente a otro a medida que evolucionen sus requisitos de ciberseguridad.
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.