La multinacional Kaspersky informó que ha identificado en Colombia una nueva variante de ransomware que nunca antes se había visto en uso activo, desplegado en un ataque posterior al robo de credenciales de empleados. El ransomware, «Ymir», emplea métodos avanzados de sigilo y encriptación. También selecciona archivos específicos y trata de evadir la detección.
La firma explicó que los actores de la amenaza utilizaron una mezcla de funciones de gestión de memoria para ejecutar el código malicioso directamente en la memoria. Este enfoque se desvía del flujo de ejecución secuencial típico visto en los tipos de ransomware más comunes, mejorando sus capacidades de sigilo. Además, Ymir es flexible: mediante el comando –path, los atacantes pueden especificar un directorio donde el ransomware debe buscar archivos. Si un archivo está en la lista blanca, el ransomware lo omite y lo deja sin encriptar. Esta característica otorga a los atacantes más control sobre qué se encripta y qué no.
Puedes leer: Para Ualá cerró ronda de inversión por 300 millones de dólares
Por otra parte, en el ataque observado por los expertos, que tuvo lugar en una organización de Colombia, se observó que los actores de la amenaza utilizaban RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de empleados. Estas fueron luego utilizadas para acceder a los sistemas de la organización y mantener el control el tiempo suficiente para desplegar el ransomware.
Cuídese del ransomware
Este tipo de ataque se conoce como «intermediación de acceso inicial», donde los atacantes infiltran los sistemas y mantienen el acceso. Típicamente, los intermediarios de acceso inicial venden el acceso que obtienen en la dark web a otros ciberdelincuentes, pero en este caso parece que continuaron el ataque ellos mismos al desplegar el ransomware.
Eduardo Chavarro director del Grupo de Respuesta a Incidentes y forense digital para Américas, dijo que “si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)».
Puedes leer: En Colombia, red educativa tiene plan de expansión
