Ciberseguridad

Kaspersky descubre en Colombia nuevo ransomware

0

El ransomware Ymir con método sofisticados para ser detectado.

El equipo global de respuesta a emergencias de Kaspersky ha identificado en Colombia una nueva variante de ransomware que nunca antes se había visto en uso activo, desplegado en un ataque posterior al robo de credenciales de empleados. El ransomware, denominado «Ymir», emplea métodos avanzados de sigilo y encriptación. También selecciona archivos específicos y trata de evadir la detección.

En el ataque observado por los expertos de Kaspersky, que tuvo lugar en una organización de Colombia, se observó que los actores de la amenaza utilizaban RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de empleados.

Estas fueron luego utilizadas para acceder a los sistemas de la organización y mantener el control el tiempo suficiente para desplegar el ransomware. Este tipo de ataque se conoce como «intermediación de acceso inicial», donde los atacantes infiltran los sistemas y mantienen el acceso.

Típicamente, los intermediarios de acceso inicial venden el acceso que obtienen en la dark web a otros ciberdelincuentes, pero en este caso parece que continuaron el ataque ellos mismos al desplegar el ransomware. «Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)»explica Eduardo Chavarro director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky.

Aunque el actor detrás de este ataque no ha compartido datos robados públicamente ni ha hecho más demandas, los investigadores lo están monitoreando de cerca para detectar nuevas actividades. « No hemos identificado sitios de subasta de datos extraídos por parte de este grupo. Típicamente, los atacantes utilizan foros o portales ocultos para filtrar información como una forma de presionar a las víctimas para que paguen el rescate, lo cual no es el caso con Ymir. Dado esto, la pregunta de qué grupo está detrás del ransomware sigue abierta, y sospechamos que esto puede ser una nueva campaña», explica Chavarro.

Buscando un nombre para la nueva amenaza, los expertos de Kaspersky consideraron una luna de Saturno llamada Ymir. Es una luna «irregular» que viaja en dirección opuesta a la rotación del planeta, una característica que curiosamente recuerda la mezcla poco convencional de funciones de gestión de memoria utilizadas en el nuevo ransomware.
Los productos de Kaspersky ahora pueden detectar este ransomware como Trojan-Ransom.Win64.Ymir.gen.

 

 

Marleny Fandiño

Encuentro académico para ingenieros biomédicos

Previous article

“Lectura y Cuidado” explora la transformación de Bogotá

Next article

You may also like

Comments

Comments are closed.