El ‘malware’, que fue descubierto por la empresa de ciberseguridad Kaspersky, representa una amenaza con sus técnicas avanzadas de sigilo y encriptación, que le permite a los atacantes seleccionar archivos estratégicamente sin ser detectados
Un nuevo tipo de ransomware, denominado Ymir, fue identificado en Colombia, según el equipo global de respuesta a emergencias de Kaspersky.
Este malware, que nunca antes había sido visto en uso activo, fue desplegado tras el robo de credenciales de empleados en una organización colombiana.
Ymir se distingue por su uso de técnicas avanzadas de sigilo y encriptación, lo que le permite seleccionar archivos específicos y evadir la detección.
El ransomware utiliza el algoritmo de cifrado ChaCha20, conocido por su velocidad y seguridad, superando incluso al Estándar de Encriptación Avanzada (AES, por su nombre en inglés).
Además, los atacantes pueden especificar un directorio donde el ransomware debe buscar archivos mediante el comando –path. Si un archivo está en la lista blanca, el ransomware lo omite, lo que otorga a los atacantes un control significativo sobre qué se encripta y qué no.Imagen de referencia. Ymir selecciona y encripta archivos utilizando el algoritmo ChaCha20 – crédito Visuales IA/Imagen ilustrativa Infobae
Los expertos de Kaspersky observaron que los autores de la amenaza emplearon una combinación poco convencional de funciones de gestión de memoria, como malloc, memmove y memcmp, para ejecutar el código malicioso directamente en la memoria. Este enfoque se desvía del flujo de ejecución secuencial típico de los ransomware más comunes, mejorando sus capacidades de sigilo.
En el ataque observado, los autores de este ransomware utilizaron RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de empleados. Estas credenciales fueron luego utilizadas para acceder a los sistemas de la organización y mantener el control el tiempo suficiente para desplegar el ransomware. Este tipo de ataque se conoce como “intermediación de acceso inicial”, donde los atacantes infiltran los sistemas y mantienen el acceso.
A pesar de la sofisticación del ataque, el grupo detrás de Ymir no ha compartido los datos robados públicamente ni ha hecho más demandas, lo que llevó a los investigadores a monitorear de cerca sus actividades para detectar nuevas acciones. Eduardo Chavarro, director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky, explicó que no se han identificado sitios de subasta de datos extraídos por parte de este grupo, lo cual es inusual en este tipo de ataques.Actores maliciosos usan combinaciones de funciones de memoria para ejecutar Ymir – crédito Andina
“Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)”, afirmó el director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky, Eduardo Chavarro.
Los productos de Kaspersky ahora pueden detectar este ransomware como Trojan-Ransom.Win64.Ymir.gen. La compañía recomienda implementar un programa de copias de seguridad frecuentes y realizar pruebas regulares, además de brindar a los empleados formación periódica en ciberseguridad para aumentar su conciencia sobre amenazas cibernéticas como el malware que roba datos.
Finalmente, Kaspersky sugiere no pagar el rescate en caso de ser víctima de ransomware, ya que esto fomenta que los creadores de malware continúen con sus operaciones sin asegurar la devolución segura y confiable de los archivos. Recomiendan también adoptar servicios de seguridad gestionados que cubren todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección continua y la remediación.
Qué es un malware y cuál es su impacto en la seguridad digital actual: desafíos para proteger datos personales y financierosEl malware es una amenaza creciente que compromete datos personales y financieros de víctimas alrededor del mundo – crédito Visuales IA/Imagen Ilustrativa Infobae
En el mundo digital actual, el malware se ha convertido en una amenaza omnipresente, capaz de comprometer una amplia gama de datos personales y financieros. Este tipo de software malicioso es utilizado por ciberdelincuentes para obtener información valiosa que puede ser empleada para extorsionar a las víctimas, buscando así beneficios económicos. Los datos comprometidos pueden incluir desde información financiera hasta registros médicos, correos electrónicos personales y contraseñas, según informes recientes.
El término malware abarca cualquier software diseñado con la intención de dañar o explotar dispositivos, servicios o redes programables. Su uso se ha expandido a medida que la tecnología avanza, y los delincuentes encuentran nuevas formas de infiltrarse en sistemas vulnerables. Este tipo de software no solo afecta a individuos, sino también a organizaciones, lo que puede resultar en pérdidas significativas de datos y recursos.
“Malware es un término que abarca cualquier tipo de software malicioso diseñado para dañar o explotar cualquier dispositivo, servicio o red programable”, se indica desde la compañía experta en ciberseguridad McAfee.
La capacidad del malware para infiltrarse en sistemas y extraer información crítica ha llevado a un aumento en la preocupación por la seguridad cibernética. Las empresas y los individuos deben estar constantemente alertas y tomar medidas preventivas para proteger sus datos. Esto incluye el uso de software de seguridad actualizado, la implementación de contraseñas robustas y la educación continua sobre las tácticas de los ciberdelincuentes.
La variedad de información que puede ser comprometida por el malware es prácticamente ilimitada, lo que subraya la importancia de la protección de datos en el entorno digital actual. A medida que los ciberdelincuentes desarrollan métodos más sofisticados para atacar, la necesidad de estrategias de defensa efectivas se vuelve más crítica que nunca.
tomado de infobae