14 de noviembre de 2024

Kaspersky identifica un nuevo ransomware inédito en Colombia

Nicolás Schiller 14 de noviembre de 2024
Escucha este Artículo

El equipo global de respuesta a emergencias de Kaspersky ha descubierto en Colombia una nueva variante de ransomware llamada «Ymir», que no había sido vista en uso activo hasta ahora. Este ransomware fue utilizado en un ataque posterior al robo de credenciales de empleados.

Ymir se distingue por sus avanzados métodos de sigilo y encriptación, seleccionando archivos específicos y tratando de evitar la detección. Emplea técnicas inusuales de manipulación de memoria para eludir la detección. Los atacantes usaron una combinación poco convencional de funciones de gestión de memoria como malloc, memmove y memcmp para ejecutar el código malicioso directamente en la memoria, desviándose del flujo de ejecución secuencial típico de los ransomware más comunes, lo que mejora sus capacidades de ocultamiento.

Además, Ymir es altamente flexible: con el comando –path, los atacantes pueden especificar un directorio para que el ransomware busque archivos. Si un archivo está en una lista blanca, el ransomware lo omite y no lo encripta, permitiendo a los atacantes más control sobre qué se encripta y qué no. En el ataque observado por los expertos de Kaspersky en una organización colombiana, los atacantes utilizaron RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de los empleados. Estas credenciales se utilizaron para acceder a los sistemas de la organización, manteniendo el control el tiempo suficiente para desplegar el ransomware.

Este ataque es un ejemplo de «intermediación de acceso inicial», donde los atacantes se infiltran en los sistemas y mantienen acceso. Normalmente, los intermediarios de acceso inicial venden el acceso obtenido en la dark web a otros ciberdelincuentes, pero en este caso parecen haber continuado el ataque ellos mismos, desplegando el ransomware directamente.

«Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)», explica Eduardo Chavarro director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky.

Más historias

Salesforce presenta Agentforce: Inteligencia artificial independiente y confiable

Nicolás Schiller 8 de noviembre de 2024

Tres iniciativas TIC lideradas por mujeres, triunfadoras de ConectaRSE para Crecer 2024, recibieron galardones de Telefónica y American Tower

Nicolás Schiller 31 de octubre de 2024

Predicciones sobre Ciberseguridad para 2025: IA, riesgos cuánticos y el uso indebido de las redes sociales

Nicolás Schiller 30 de octubre de 2024
PortalGeek YT
TikTok
Instagram
Lo llamamos Twitter
Facebook