Los investigadores de ciberseguridad de Kaspersky han dado la voz de alarma sobre una nueva familia de ransomware denominada Ymir.
Dicha cepa se implementó en un ataque después de que los sistemas fueran comprometidos por un malware stealer llamado RustyStealer, una familia reconocida desde 2021.
"El ransomware Ymir presenta una combinación única de características técnicas y tácticas que mejoran su efectividad", ha señalado la firma de origen ruso.
"Los actores de amenazas aprovecharon una combinación poco convencional de funciones de administración de memoria (malloc, memmove y memcmp) para ejecutar código malicioso directamente en la memoria. Este enfoque se desvía del típico flujo de ejecución secuencial que se observa en los tipos de ransomware generalizados, mejorando sus capacidades de sigilo", ha añadido.
Otra curiosidad es que incorpora el idioma africano lingala en un comentario de código y el uso de archivos PDF como notas de rescate.
El ransomware utiliza el algoritmo de cifrado de flujo ChaCha20 para cifrar archivos y, a continuación, añade la extensión ".6C5oy2dVr6" a los nombres de los archivos cifrados.
La empresa fundada por Eugene Kaspersky reveló haber usado el ransomware en un ciberataque dirigido a una organización no identificada en Colombia, con los actores de amenazas entregando previamente el malware RustyStealer para recopilar credenciales corporativas.
Estas credenciales robadas se habrían usado para conseguir acceso no autorizado a la red de la empresa con el fin de implementar el ransomware.
Christian Souza, investigador de Kaspersky, ha subrayado que los brokers son los mismos actores que desplegaron el ransomware esto podría indicar una nueva tendencia, creando opciones de secuestro adicionales sin depender de los grupos tradicionales de ransomware-as-a-service (Raas).
Un ransomware que amenaza a todo tipo de empresas
Ymir se comporta de manera flexible. A través del uso del comando-path los atacantes pueden especificar un directorio donde el ransomware debería buscar archivos. Si uno está en la lista blanca lo omite y lo deja sin cifrar. De esa forma les da a los atacantes más control sobre lo que está o no encriptado.
"El desarrollo de Ymir representa una amenaza para todo tipo de empresas y confirma la existencia de grupos emergentes que pueden impactar en negocios y organizaciones con un malware configurable, robusto y bien desarrollado", concluye el informe de la compañía de ciberseguridad.
La operación de ransomware se habría iniciado en julio de 2024, con ataques a empresas en todo el mundo.