Un nuevo ransomware que sacude a Colombia: Ymir | Latinpyme
Slide de Texto

Un nuevo ransomware que sacude a Colombia: Ymir

Kaspersky, el gigante global de ciberseguridad, ha identificado en Colombia un nuevo y avanzado ransomware nunca antes visto, conocido como Ymir. Este malware, que afecta a organizaciones al robar credenciales de empleados, emplea técnicas de encriptación sofisticadas y métodos de sigilo que lo hacen especialmente peligroso. A continuación, te contamos todo sobre este ataque y las medidas para proteger tu empresa.

Técnicas Innovadoras para Evadir Detección

El ransomware Ymir utiliza un conjunto exclusivo de técnicas y tácticas que mejoran su efectividad. Una de las más destacadas es su uso de manipulaciones de memoria poco convencionales, empleando funciones como malloc, memmove y memcmp para ejecutar el código malicioso directamente en la memoria, evitando los flujos de ejecución secuenciales tradicionales. Este enfoque mejora considerablemente su sigilo, dificultando su detección por parte de los sistemas de seguridad.  Además, Ymir tiene la capacidad de buscar archivos en directorios específicos utilizando el comando –path. Si un archivo está en la lista blanca, no será encriptado, lo que otorga a los atacantes más control sobre el proceso de cifrado.

El Ataque: Uso de Malware para Robar Credenciales

En el caso de Colombia, los expertos de Kaspersky han identificado que los atacantes utilizaron RustyStealer, un malware diseñado para robar información confidencial, como credenciales de empleados. Estas credenciales fueron luego utilizadas para infiltrarse en los sistemas de la organización y mantener el acceso durante el tiempo necesario para desplegar Ymir.

Este tipo de ataque, denominado intermediación de acceso inicial, revela una nueva tendencia en la ciberseguridad, donde los atacantes no solo roban acceso, sino que continúan con el ataque desplegando el ransomware directamente, sin depender de los tradicionales grupos de Ransomware-as-a-Service (RaaS).

Ymir: Encriptación Avanzada y Estrategias de Ciberseguridad

El ransomware utiliza el algoritmo ChaCha20, un cifrador de flujo moderno conocido por su velocidad y seguridad, que incluso supera el estándar de encriptación AES. Este enfoque avanzado de encriptación lo hace aún más peligroso para las empresas afectadas.

A pesar de no haber hecho públicas las demandas ni filtrado los datos robados, los investigadores continúan monitoreando de cerca cualquier nueva actividad relacionada con Ymir. La pregunta sobre qué grupo criminal está detrás de este ataque sigue abierta, y aunque no se han encontrado foros de subasta de datos, se sospecha que este grupo podría estar desarrollando una nueva campaña de ciberataques.

Recomendaciones para Mitigar los Riesgos de Ransomware

Si bien Ymir sigue siendo un riesgo emergente, las organizaciones pueden tomar medidas para mitigar los ataques de ransomware y proteger sus sistemas. Kaspersky recomienda las siguientes prácticas:

  • Copias de seguridad regulares: Implementa un programa de copias de seguridad frecuentes y realiza pruebas periódicas para asegurar la disponibilidad de los datos críticos.
  • Formación continua en ciberseguridad: Educa a los empleados sobre las amenazas cibernéticas, como el malware que roba datos, y las estrategias efectivas para mitigar estos riesgos.
  • Evitar pagar el rescate: No pagues el rescate, ya que esto solo fomenta la continuación de los ataques sin garantizar la devolución segura de los archivos.
  • Soluciones de seguridad avanzadas: Utiliza soluciones de seguridad como las de la línea Kaspersky Next para protección en tiempo real, visibilidad de amenazas y capacidades de respuesta a incidentes (EDR y XDR).

Además, considera implementar servicios de seguridad gestionados como Evaluación de Compromiso y Detección y Respuesta Gestionada (MDR), que brindan protección continua y remediación ante ataques evasivos.

El ransomware Ymir es una amenaza seria que resalta la necesidad de estar preparado para los ciberataques modernos. Adoptar una estrategia de ciberseguridad proactiva, invertir en formación para el personal y utilizar soluciones avanzadas de protección es fundamental para reducir el riesgo de ser víctima de este tipo de ataques.

Scroll al inicio

Categorías

Eventos

Nosotros