{"id":3381,"date":"2024-11-12T07:38:08","date_gmt":"2024-11-12T12:38:08","guid":{"rendered":"https:\/\/zidrave.net\/?p=3381"},"modified":"2024-11-12T07:38:08","modified_gmt":"2024-11-12T12:38:08","slug":"el-nuevo-ransomware-ymir-se-asocia-con-rustystealer-en-sus-ataques","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/11\/12\/el-nuevo-ransomware-ymir-se-asocia-con-rustystealer-en-sus-ataques\/","title":{"rendered":"El nuevo ransomware Ymir se asocia con RustyStealer en sus ataques"},"content":{"rendered":"\n

Los investigadores han descubierto una nueva amenaza cibern\u00e9tica con la aparici\u00f3n del ransomware ‘Ymir’, que est\u00e1 atacando sistemas previamente comprometidos por el malware ladr\u00f3n de informaci\u00f3n conocido como RustyStealer. Esta peligrosa combinaci\u00f3n revela c\u00f3mo los ciberdelincuentes est\u00e1n uniendo esfuerzos para llevar a cabo ataques m\u00e1s complejos y devastadores.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Una nueva amenaza: el ransomware Ymir<\/h3>\n\n\n\n

Seg\u00fan el an\u00e1lisis realizado por Kaspersky, ‘Ymir’ se lanz\u00f3 en julio de 2024, centr\u00e1ndose en empresas a nivel global. Este ransomware tiene caracter\u00edsticas \u00fanicas, como su ejecuci\u00f3n totalmente en memoria, lo que dificulta su detecci\u00f3n por las soluciones de seguridad tradicionales. Adem\u00e1s, utiliza comentarios en el lenguaje africano lingala en su c\u00f3digo y emplea archivos PDF para las notas de rescate, una t\u00e1ctica inusual que podr\u00eda ayudar a evadir an\u00e1lisis automatizados.<\/p>\n\n\n\n

Aunque se ha detectado que ‘Ymir’ se conecta a servidores externos, no se ha encontrado evidencia de exfiltraci\u00f3n directa de datos por parte del ransomware en s\u00ed. Sin embargo, el hecho de que los atacantes hayan empleado RustyStealer previamente sugiere que el robo de datos pudo haber ocurrido antes del despliegue de Ymir.<\/p>\n\n\n\n

La relaci\u00f3n con RustyStealer<\/h3>\n\n\n\n

Antes de lanzar ‘Ymir’, los atacantes utilizaron RustyStealer, un malware dise\u00f1ado para robar credenciales y obtener acceso no autorizado a sistemas cr\u00edticos. Al comprometer cuentas con altos privilegios, los ciberdelincuentes lograron un movimiento lateral en la red utilizando herramientas como Windows Remote Management (WinRM) y PowerShell, adem\u00e1s de utilidades como Process Hacker y Advanced IP Scanner para mapear la infraestructura comprometida.<\/p>\n\n\n\n

Tras obtener acceso, los atacantes consolidaron su presencia mediante scripts del malware SystemBC, creando canales ocultos que les permitieron ejecutar comandos y potencialmente exfiltrar informaci\u00f3n.<\/p>\n\n\n\n

C\u00f3mo funciona Ymir: Un enfoque sofisticado de cifrado en memoria<\/h3>\n\n\n\n

A diferencia de otros ransomware, ‘Ymir’ opera exclusivamente desde la memoria del sistema utilizando funciones avanzadas como ‘malloc’, ‘memmove’ y ‘memcmp’, lo que le permite evadir la mayor\u00eda de los mecanismos de detecci\u00f3n basados en archivos.<\/p>\n\n\n\n

Al ejecutarse, ‘Ymir’ realiza un an\u00e1lisis detallado del sistema, verificando la fecha, hora y tiempo de actividad, para asegurarse de que no se est\u00e1 ejecutando en un entorno controlado o de an\u00e1lisis. Tambi\u00e9n revisa los procesos en ejecuci\u00f3n y excluye ciertas extensiones de archivo para evitar da\u00f1ar componentes cr\u00edticos que podr\u00edan inutilizar el sistema.<\/p>\n\n\n\n

El cifrado de los archivos se realiza mediante el algoritmo ChaCha20, conocido por su eficiencia y robustez. Los archivos cifrados reciben una extensi\u00f3n aleatoria, como \u00ab.6C5oy2dVr6\u00bb, y en cada directorio afectado se genera una nota de rescate titulada \u00abINCIDENT_REPORT.pdf\u00bb. Adem\u00e1s, el ransomware modifica el valor \u00ablegalnoticecaption\u00bb en el Registro de Windows, mostrando una nota de extorsi\u00f3n antes de que el usuario inicie sesi\u00f3n.<\/p>\n\n\n\n

T\u00e1cticas avanzadas para evitar la detecci\u00f3n<\/h3>\n\n\n\n

‘Ymir’ emplea PowerShell para eliminar su propio ejecutable una vez que ha completado su trabajo, lo que complica a\u00fan m\u00e1s su detecci\u00f3n y an\u00e1lisis. Esto lo convierte en una amenaza sofisticada, capaz de evadir herramientas de ciberseguridad tradicionales.<\/p>\n\n\n\n

Aunque a\u00fan no se ha creado un sitio de filtraci\u00f3n de datos espec\u00edfico para ‘Ymir’, la evidencia sugiere que los actores detr\u00e1s de esta operaci\u00f3n podr\u00edan estar en las primeras etapas de acumulaci\u00f3n de datos de sus v\u00edctimas. Kaspersky advierte que, si esta t\u00e1ctica se convierte en una tendencia, podr\u00edamos ver un aumento significativo en la frecuencia y severidad de estos ataques en el futuro cercano.<\/p>\n\n\n\n

Medidas preventivas<\/h3>\n\n\n\n

Para mitigar el riesgo de infecciones como ‘Ymir’, se recomienda a las organizaciones:<\/p>\n\n\n\n