Ymir, una nueva cepa de ransomware
- Actualidad

El nuevo tipo de ransomware fue utilizado para infiltrarse en una organización colombiana y secuestrar sus datos, después de haber robado las credenciales corporativas de sus empleados, y se sirve de una combinación poco común de técnicas y tácticas que mejorar su sigilo y su efectividad.
Kaspersky ha dado a conocer una nueva cepa de ransomware que ha identificado su Equipo de Respuesta a Emergencias Global. Bautizada como Ymir, ya ha sido capaz de infiltrarse y robar los datos de una organización en Colombia, aunque todavía no se han hecho públicos los datos robados ni han realizado peticiones de rescate. Es solo una más de las anomalías que presenta este ransomware.
Para realizar la infiltración, utilizaron el malware RustyStealer para robar las credenciales corporativas de los empleados para infiltrarse en el sistema y mantener el acceso. Normalmente, este “corretaje de acceso inicial” se utiliza para vender el acceso a otros ciberdelincuentes en la dark web. En este caso, sin embargo, los mismos que lograron el acceso desplegaron el ransomware.
Para éste utilizaron ChaCha20, “un cifrado de flujo moderno conocido por su velocidad y seguridad, superando incluso al Estándar de Cifrado Avanzado”. También utilizaron las funciones de administración de memoria, una variación sobre el flujo de ejecución secuencial habitual, lo que lo hizo más sigiloso y difícil de detectar. Además, Ymir puede concretar el directorio en el que buscar los archivos que va a cifrar.
Un conjunto de características que lo convierten en un tipo de ransomware muy novedoso. Cristian Souza, especialista en Respuesta ante Incidentes del Equipo Global de Respuesta ante Emergencias de Kaspersky, señala que todavía no se ha observado “la aparición de nuevos grupos de ransomware en el mercado clandestino. Por lo general, los atacantes usan foros o portales clandestinos para filtrar información como una forma de presionar a las víctimas para que paguen el rescate, lo cual no es el caso con Ymir. Con todo ello, sigue abierta la pregunta de qué grupo está detrás del ransomware”.