Cuando dos amenazas peligrosas del mundo cibernético se juntan, el resultado es devastador. Recientemente se ha detectado un nuevo ransomware llamado Ymir, que aprovecha sistemas previamente infectados por el malware roba-datos RustyStealer. Básicamente, los atacantes usan RustyStealer para robar información valiosa antes de lanzar el ataque de cifrado con Ymir, creando un combo bastante peligroso.
RustyStealer no es precisamente nuevo; se le conoce desde 2021 como un malware especializado en robar credenciales. Sin embargo, su reciente asociación con ransomware como Ymir muestra cómo los ciberdelincuentes están colaborando cada vez más para maximizar el daño.
Según los expertos de Kaspersky, quienes detectaron Ymir mientras investigaban un incidente de seguridad, este ransomware tiene algunos detalles interesantes. Por ejemplo, se ejecuta directamente en la memoria (lo que lo hace más difícil de detectar), incluye comentarios en el idioma lingala (de África central) en su código, utiliza archivos PDF como notas de rescate y permite configurar extensiones para los archivos cifrados. Una amenaza que, sin duda, está diseñada para destacar y hacer mucho daño.
Se ha descubierto que Ymir puede conectarse a servidores externos, lo que hace pensar que podría exfiltrar datos, pero curiosamente no tiene esa capacidad (al menos por ahora). Lo que sí se sabe es que este ransomware empezó a hacer ruido en julio de 2024, y desde entonces ha estado atacando a empresas en todo el mundo, dejando claro que su objetivo no es pequeño.
El ransomware Ymir no actúa solo. Antes de que entre en escena, el malware RustyStealer ya se ha infiltrado en los sistemas, generalmente un par de días antes del ataque principal. RustyStealer es una herramienta diseñada para robar credenciales y proporcionar acceso a cuentas con privilegios elevados, lo que les facilita a los atacantes moverse por la red sin levantar sospechas.
Para moverse lateralmente dentro de la infraestructura atacada, los ciberdelincuentes utilizan herramientas comunes como Windows Remote Management (WinRM) y PowerShell, que permiten controlar los sistemas de manera remota. Además, instalan aplicaciones como Process Hacker y Advanced IP Scanner para monitorear procesos y explorar la red.
Como parte del ataque, también despliegan scripts relacionados con el malware SystemBC, que ayuda a establecer canales ocultos para enviar comandos o, potencialmente, extraer datos hacia los servidores de los atacantes. Una vez que han consolidado su posición y han recopilado toda la información valiosa con RustyStealer, lanzan a Ymir como el golpe final.
Ymir es una nueva variante de ransomware diseñada para atacar sistemas Windows. Lo curioso de este ransomware es que opera completamente desde la memoria, lo que significa que evita dejar rastros en el disco duro y se vuelve más difícil de detectar. Para mantenerse bajo el radar, utiliza funciones como malloc, memove y memcmp, que le permiten realizar sus operaciones sin alertar a las soluciones de seguridad.
Cuando se activa, Ymir comienza analizando el sistema: verifica la fecha, la hora, los procesos en ejecución y el tiempo que la máquina ha estado encendida. Esto le permite determinar si está siendo ejecutado en un entorno controlado, como un sandbox o un laboratorio de análisis.
Ymir es bastante inteligente. Antes de comenzar a cifrar archivos, identifica ciertas extensiones que debe evitar, como aquellas relacionadas con el sistema operativo. Esto asegura que la máquina pueda seguir funcionando (aunque de manera limitada) después del ataque, probablemente para que las víctimas puedan leer la nota de rescate sin problemas.
Para el cifrado, Ymir utiliza el algoritmo ChaCha20, conocido por ser rápido y seguro. Los archivos cifrados reciben una extensión aleatoria, algo como ".6C5oy2dVr6", para que sea obvio que han sido comprometidos. Al mismo tiempo, Ymir deja una nota de rescate en formato PDF, llamada "INCIDENT_REPORT.pdf", en todos los directorios que contienen archivos cifrados. Esta nota explica a las víctimas cómo pueden "recuperar" sus archivos, usualmente a cambio de un pago en criptomonedas.
Podría interesarte leer: Detección de Ataques de Ransomware con Wazuh
Ymir no solo cifra tus archivos; también se mete con el Registro de Windows. Modifica el valor de "legalnoticecaption" para mostrar su mensaje de extorsión incluso antes de que puedas iniciar sesión en tu dispositivo. Básicamente, la amenaza te recibe de frente nada más prender la computadora.
En su nota de rescate, los atacantes afirman haber robado datos del sistema de la víctima, y es probable que eso haya sucedido usando herramientas que instalaron antes de que Ymir entrara en acción. Una vez que se lanza, Ymir también busca PowerShell en el sistema y lo utiliza para eliminar su propio ejecutable. Esto no solo complica el análisis del malware, sino que también lo hace más difícil de detectar.
Proceso de ejecución de Ymir (Fuente: Kaspersky)
Por ahora, Ymir no tiene un sitio para filtrar datos robados, pero podría ser cuestión de tiempo. Es posible que los atacantes estén acumulando información para usarla después, ya sea para extorsión o para venderla. Lo preocupante es que el uso de ladrones de credenciales como RustyStealer para ganar acceso podría hacer que Ymir se convierta rápidamente en una de esas amenazas que se expanden como un incendio, afectando a muchas más víctimas en poco tiempo.
Lo más alarmante de Ymir no es solo su capacidad para cifrar archivos o evadir la detección, sino la forma en que se combina con RustyStealer para maximizar el daño. Primero roban datos confidenciales y credenciales, lo que podría ser usado para chantajes o vendido en mercados oscuros, y luego bloquean el acceso a tus sistemas con el ransomware. Es un ataque de doble filo que no solo compromete tu información, sino que también pone en riesgo tus operaciones y privacidad.
Esta nueva amenaza subraya la importancia de contar con sistemas actualizados, reforzar las medidas de seguridad y estar siempre alerta ante posibles intrusiones. Una estrategia sólida de ciberseguridad, que combine soluciones avanzadas como detección de amenazas en tiempo real, autenticación multifactor y respaldo constante de datos, es clave para protegerte de ataques cada vez más sofisticados como este. Contáctanos y te ayudaremos a implementar medidas de seguridad efectivas para blindar tus sistemas frente a estas amenazas.