Kaspersky ha informado del descubrimiento de Ymir, un ransomware nunca antes observado que se caracteriza por una combinación única de técnicas de sigilo y cifrado. Su existencia salió a la luz cuando el Equipo de Respuesta a Emergencias Global de la compañía investigó un ataque en una organización de Colombia, en el que los ciberdelincuentes habían sustraído credenciales de empleados para mantener el control en los sistemas y, posteriormente, desplegar el malware.
El rasgo más notorio de Ymir es el empleo de una administración de memoria inusual, que recurre a funciones como malloc, memmove y memcmp en un orden no convencional para evadir la detección habitual en el flujo de ejecución de los ransomwares. Además, se ha identificado la posibilidad de que, mediante el comando –path, los atacantes delimiten el directorio donde actúa Ymir y definan qué archivos quedan excluidos del cifrado, otorgándoles una mayor capacidad de selección.
Robo de datos previo para un acceso reforzado
En el ataque analizado, los criminales emplearon RustyStealer, un tipo de malware que roba información con el fin de obtener credenciales corporativas. Este modus operandi, conocido como “corretaje de acceso inicial”, implica que, a menudo, los atacantes venden el acceso a otros grupos. Sin embargo, en este caso, parecen haber seguido con la ofensiva por sí mismos, preparando y activando el ransomware.
Según Cristian Souza, especialista en Respuesta ante Incidentes de Kaspersky, esta circunstancia podría anticipar un cambio de tendencia, en el que los mismos actores responsables de penetrar en los sistemas ejecuten su extorsión sin recurrir a grandes grupos de Ransomware como Servicio (RaaS).
Algoritmo de cifrado ChaCha20 y control selectivo de archivos
En cuanto a la encriptación, Ymir opta por ChaCha20, considerado un cifrado de flujo de alta velocidad y robustez. Tal implementación refuerza la seguridad de los datos, en ocasiones más allá del Estándar de Cifrado Avanzado (AES). Al mismo tiempo, esta pieza de ransomware permite eximir del cifrado documentos de relevancia para la víctima, ejerciendo una presión estratégica al dejar ilesas ciertas rutas o ficheros.
Por ahora, no se ha detectado la participación de un grupo de ciberdelincuentes que difunda públicamente datos filtrados o establezca contactos en foros clandestinos para presionar a la víctima. Tampoco se ha observado que Ymir pertenezca a un colectivo ya conocido, de modo que Kaspersky continúa vigilando la actividad en la red oscura para analizar posibles vínculos.
Medidas de mitigación y prevención
Los productos de Kaspersky reconocen Ymir bajo la denominación Trojan-Ransom.Win64.Ymir.gen. La compañía recomienda una serie de acciones preventivas para minimizar el riesgo:
- Mantener un cronograma de respaldo (backup) frecuente y validar periódicamente la eficacia de las copias.
- Asegurar la formación de los empleados en temas de ciberseguridad y concienciación ante técnicas de ingeniería social o phishing.
- Retener los archivos cifrados si todavía no existe herramienta de descifrado disponible, ya que en ocasiones, autoridades o empresas pueden lanzar soluciones en el futuro.
- Evitar el pago del rescate para no incentivar a los ciberdelincuentes, y tener claro que no garantiza la recuperación segura de los datos.
- Recurrir a soluciones de ciberseguridad como la línea Kaspersky Next, con tecnologías de protección en tiempo real, EDR y XDR según las necesidades de cada organización.
- Involucrar servicios de seguridad gestionada (Compromise Assessment, MDR o Incident Response) para identificar, investigar y responder a incidentes complejos.
El Equipo Global de Respuesta ante Emergencias de Kaspersky
Kaspersky subraya el papel de su Equipo Global de Respuesta ante Emergencias, integrado en los Servicios de Seguridad de la compañía, que asume la gestión de incidentes y participa en la comprensión de las tácticas utilizadas por los atacantes. Con una trayectoria de centenares de proyectos de seguridad al año, la empresa se mantiene en alerta ante la aparición de cualquier nueva variante de ransomware como Ymir, prestando asesoramiento y compartiendo indicaciones de seguridad con las organizaciones afectadas o en riesgo.