Los investigadores han descubierto una nueva amenaza cibernética con la aparición del ransomware ‘Ymir’, que está atacando sistemas previamente comprometidos por el malware ladrón de información conocido como RustyStealer. Esta peligrosa combinación revela cómo los ciberdelincuentes están uniendo esfuerzos para llevar a cabo ataques más complejos y devastadores.
Una nueva amenaza: el ransomware Ymir
Según el análisis realizado por Kaspersky, ‘Ymir’ se lanzó en julio de 2024, centrándose en empresas a nivel global. Este ransomware tiene características únicas, como su ejecución totalmente en memoria, lo que dificulta su detección por las soluciones de seguridad tradicionales. Además, utiliza comentarios en el lenguaje africano lingala en su código y emplea archivos PDF para las notas de rescate, una táctica inusual que podría ayudar a evadir análisis automatizados.
Aunque se ha detectado que ‘Ymir’ se conecta a servidores externos, no se ha encontrado evidencia de exfiltración directa de datos por parte del ransomware en sí. Sin embargo, el hecho de que los atacantes hayan empleado RustyStealer previamente sugiere que el robo de datos pudo haber ocurrido antes del despliegue de Ymir.
La relación con RustyStealer
Antes de lanzar ‘Ymir’, los atacantes utilizaron RustyStealer, un malware diseñado para robar credenciales y obtener acceso no autorizado a sistemas críticos. Al comprometer cuentas con altos privilegios, los ciberdelincuentes lograron un movimiento lateral en la red utilizando herramientas como Windows Remote Management (WinRM) y PowerShell, además de utilidades como Process Hacker y Advanced IP Scanner para mapear la infraestructura comprometida.
Tras obtener acceso, los atacantes consolidaron su presencia mediante scripts del malware SystemBC, creando canales ocultos que les permitieron ejecutar comandos y potencialmente exfiltrar información.
Cómo funciona Ymir: Un enfoque sofisticado de cifrado en memoria
A diferencia de otros ransomware, ‘Ymir’ opera exclusivamente desde la memoria del sistema utilizando funciones avanzadas como ‘malloc’, ‘memmove’ y ‘memcmp’, lo que le permite evadir la mayoría de los mecanismos de detección basados en archivos.
Al ejecutarse, ‘Ymir’ realiza un análisis detallado del sistema, verificando la fecha, hora y tiempo de actividad, para asegurarse de que no se está ejecutando en un entorno controlado o de análisis. También revisa los procesos en ejecución y excluye ciertas extensiones de archivo para evitar dañar componentes críticos que podrían inutilizar el sistema.
El cifrado de los archivos se realiza mediante el algoritmo ChaCha20, conocido por su eficiencia y robustez. Los archivos cifrados reciben una extensión aleatoria, como «.6C5oy2dVr6», y en cada directorio afectado se genera una nota de rescate titulada «INCIDENT_REPORT.pdf». Además, el ransomware modifica el valor «legalnoticecaption» en el Registro de Windows, mostrando una nota de extorsión antes de que el usuario inicie sesión.
Tácticas avanzadas para evitar la detección
‘Ymir’ emplea PowerShell para eliminar su propio ejecutable una vez que ha completado su trabajo, lo que complica aún más su detección y análisis. Esto lo convierte en una amenaza sofisticada, capaz de evadir herramientas de ciberseguridad tradicionales.
Aunque aún no se ha creado un sitio de filtración de datos específico para ‘Ymir’, la evidencia sugiere que los actores detrás de esta operación podrían estar en las primeras etapas de acumulación de datos de sus víctimas. Kaspersky advierte que, si esta táctica se convierte en una tendencia, podríamos ver un aumento significativo en la frecuencia y severidad de estos ataques en el futuro cercano.
Medidas preventivas
Para mitigar el riesgo de infecciones como ‘Ymir’, se recomienda a las organizaciones:
- Actualizar sus sistemas y parches de seguridad para reducir vulnerabilidades.
- Implementar soluciones de seguridad avanzadas que puedan detectar y neutralizar amenazas en memoria.
- Monitorear de cerca el uso de herramientas como PowerShell y WinRM, ya que pueden ser utilizadas para el movimiento lateral por atacantes.
- Utilizar cifrado y autenticación multifactor para proteger cuentas privilegiadas.
La aparición de ‘Ymir’ junto con RustyStealer subraya la necesidad de que las empresas refuercen sus defensas contra las amenazas que evolucionan rápidamente en el panorama cibernético actual.
