Kaspersky ha identificado una nueva amenaza de ransomware en América Latina llamada "Ymir," desplegada tras un robo de credenciales en una organización colombiana. Este ransomware emplea sofisticadas técnicas de sigilo y encriptación, diseñadas para maximizar su efectividad sin ser detectado. A diferencia de otros ransomware convencionales, Ymir usa un enfoque no lineal en su código malicioso, ejecutándose en la memoria mediante funciones de gestión como malloc, memmove y memcmp. Esta estrategia de ejecución directa en memoria permite a los atacantes eludir sistemas de detección convencionales, logrando un alto grado de sigilo.
Una característica clave de Ymir es su flexibilidad: mediante el comando "–path," los atacantes pueden especificar carpetas y excluir archivos que estén en listas blancas. Esto proporciona un control preciso sobre qué se cifra y qué no, aumentando la efectividad del ataque. Para el acceso inicial, los atacantes usaron RustyStealer, un malware especializado en el robo de credenciales, con el que obtuvieron datos corporativos para comprometer la red de la organización.
Kaspersky también destacó una posible nueva tendencia en este tipo de ataques: los actores no vendieron el acceso inicial en la dark web, sino que continuaron ejecutando el ataque hasta completar el despliegue del ransomware. Eduardo Chavarro, director de Respuesta a Incidentes en Kaspersky, sugiere que esta tendencia podría desplazar a los modelos de Ransomware-as-a-Service (RaaS), donde los atacantes externos suelen ejecutar el ataque tras la compra de credenciales.
Ymir también destaca por utilizar ChaCha20, un cifrador moderno más rápido y seguro que el AES, incrementando así la resistencia del ransomware frente a métodos de descifrado tradicionales. Kaspersky recomienda implementar copias de seguridad periódicas, fortalecer la ciberconciencia de los empleados y utilizar soluciones de seguridad gestionadas como Evaluación de Compromiso y Respuesta a Incidentes, además de evitar el pago de rescates, que alientan la actividad criminal.
En esta nota