La llegada del ransomware Ymir pone las cosas aún más difíciles en el mundo de la ciberseguridad. Este grupo usa tácticas avanzadas que le dan la vuelta a muchas defensas tradicionales. Su truco inicial es entrar a través de malware ladrón (Infostealer) y luego moverse de forma silenciosa en la memoria del sistema, lo que lo convierte en un dolor de cabeza para los equipos de seguridad.
El nombre "Ymir" puede sonar épico, como ese gigante helado de la mitología nórdica, pero lo único que este ransomware congela es tu sistema, ¡y créeme, no es un tipo de congelación que quieras experimentar! En este artículo, vamos a explorar cómo funciona Ymir, cuáles son sus señales de alerta (o IoC, para los que aman los términos técnicos) y te daremos tips para mitigar sus impactos, tanto en tus sistemas como en tu negocio.
¿Quién o qué es Ymir Ransomware?
Ymir es una nueva y peligrosa variante de ransomware que lleva la sofisticación de los ataques cibernéticos a otro nivel. Descubierto por los expertos de Kaspersky mientras investigaban un incidente, este malware se destaca por su habilidad para ejecutarse directamente en la memoria del sistema, evitando dejar rastros en el disco duro. Esto lo hace mucho más difícil de detectar y manejar. Ymir hizo su primera aparición en julio de 2024 y, desde entonces, ha estado atacando empresas de todo el mundo a un ritmo alarmante, lo que deja claro que no es un problema menor.
Lo más interesante (y preocupante) de Ymir es cómo comienza sus ataques. Este ransomware aprovecha sistemas ya infectados por RustyStealer, un malware diseñado para robar información, y usa esa puerta de entrada como trampolín para desplegar su ataque. Esta "alianza" entre diferentes tipos de malware muestra cómo los ciberdelincuentes están colaborando cada vez más para maximizar su impacto.
Ymir no solo es peligroso, también tiene sus peculiaridades. Por ejemplo, utiliza comentarios en lingala (un idioma africano) en su código, algo que ha desconcertado a los expertos. Además, en lugar de las típicas notas de rescate en texto, deja archivos PDF, lo que complica aún más su análisis.
Aunque tiene la capacidad de conectarse a servidores externos, lo que sugiere que podría estar planeando robar datos en el futuro, hasta ahora no se ha visto que lo haga por sí mismo. Esto podría significar que sus creadores aún están perfeccionando su funcionalidad o que dependen de otras herramientas para la exfiltración de datos.
Conoce más sobre: Nuevo Ransomware Ymir se Combina con RustyStealer en Ataques
¿Cómo actúa Ymir? – Su forma de operar
Entrada al sistema: ¿Cómo se infiltra?
Ymir no aparece de la nada, tiene un compañero de crimen: el malware ladrón RustyStealer. Este software malicioso se encarga de robar credenciales e información sensible, abriendo la puerta para que Ymir entre sin ser invitado. Con estas credenciales robadas, los atacantes pueden saltarse muchas medidas de seguridad y colarse directamente en los sistemas comprometidos. Es como si un ladrón tuviera una copia de tus llaves: difícil de detener.
Ejecución sigilosa: ¿Qué hace una vez dentro?
Cuando Ymir logra entrar, no se queda quieto. Se ejecuta directamente en la memoria del sistema, lo que lo hace mucho más difícil de detectar. Para lograrlo, utiliza funciones del sistema como malloc, memmove y memcmp (que son básicamente herramientas que manipulan la memoria). Este truco le permite operar en las sombras, sin dejar rastro en el disco duro, lo que significa que muchas soluciones antivirus ni siquiera saben que está ahí. Es un maestro del sigilo.
Manteniéndose vivo: Persistencia y propagación
Aunque Ymir opera principalmente en la memoria, no se confía del todo. Para asegurarse de que sigue activo, incluso después de que reinicies el sistema, puede configurar tareas programadas o registrarse como un servicio del sistema. Así, se asegura de estar siempre presente en el equipo infectado.
Y no solo eso: Ymir también tiene la capacidad de moverse dentro de la red. Usando las credenciales robadas por RustyStealer, puede saltar a otros dispositivos conectados, imitando actividades legítimas del usuario para no levantar sospechas.
Bloqueo de archivos: Su verdadero golpe
Una vez que Ymir está bien instalado, pasa a lo que mejor sabe hacer: cifrar tus archivos. Utiliza un algoritmo llamado ChaCha20, que es rápido y eficiente para bloquear todo lo que considera importante (generalmente documentos críticos para empresas). Luego, añade una extensión única a los archivos cifrados y los vuelve completamente inaccesibles. Este enfoque no es casual: busca generar el mayor caos posible y presionar a la víctima para que pague el rescate.
Limpieza de huellas: Ocultando el crimen
Cuando Ymir termina su trabajo, no deja el "escenario del crimen" lleno de pistas. Elimina rastros de su entrada inicial, borra registros del sistema y hasta sobrescribe ciertos archivos para dificultar cualquier análisis forense. En pocas palabras, hace todo lo posible para que sea casi imposible rastrear cómo comenzó el ataque o deshacerlo.
Cifrado ChaCha20 (Fuente: Kaspersky)
Podría interesarte: Detección de Ataques de Ransomware con Wazuh
¿Qué países están en la mira del ransomware Ymir?
El ransomware Ymir ya ha demostrado que su alcance es global. Según los expertos, sus ataques han afectado a varias regiones clave, dejando una huella preocupante. Por ejemplo, en Colombia se detectó su implementación activa, mientras que en Pakistán apareció una muestra de prueba que podría ser un indicio de sus primeras etapas de desarrollo. Por otro lado, países como Australia y Ucrania también han sido vinculados a través de servidores de comando y control (C2), lo que deja claro que Ymir no discrimina fronteras.
Un detalle curioso es el uso del idioma lingala en los comentarios del código de Ymir, lo que podría señalar una conexión con países de África Central como la República Democrática del Congo, Angola, la República Centroafricana o el Congo. Aunque esto aún no ha sido confirmado, no deja de ser una pista interesante sobre el posible origen o las influencias detrás de este ransomware.
A pesar de su expansión y de lo sofisticado de sus ataques, los investigadores han notado algo peculiar: el grupo detrás de Ymir todavía no ha lanzado un sitio web para filtrar datos robados, algo que suele ser común en campañas de ransomware. Esto podría indicar que están en una fase inicial o simplemente que tienen una estrategia diferente. En cualquier caso, Ymir ya está dando de qué hablar en varias partes del mundo.
Nota de rescate de Ymir (Fuente: Kaspersky)
¿Qué técnicas MITRE ATT&CK usa Ymir?
El ransomware Ymir y su cómplice RustyStealer usan varias técnicas del marco MITRE ATT&CK para llevar a cabo sus ataques. Estas técnicas ayudan a entender cómo operan y a identificar puntos débiles en las defensas. Aquí tienes un desglose de lo que hacen:
Técnicas usadas por Ymir
- Descubrimiento de archivos y directorios (T1083): Escanea el sistema para identificar archivos importantes que puedan ser cifrados.
- Descubrimiento de información del sistema (T1082): Recoge datos sobre el entorno del sistema para planear su siguiente movimiento.
- Ejecución mediante PowerShell (T1059.001): Utiliza comandos de PowerShell para ejecutar su código malicioso de manera silenciosa.
- Impacto mediante cifrado de datos (T1486): Bloquea los archivos críticos para forzar a la víctima a pagar un rescate.
- Evasión basada en el tiempo (T1497.003): Se asegura de que no está siendo analizado en entornos virtuales o sandbox, retrasando su ejecución hasta que está seguro de estar en un sistema real.
- Eliminación de archivos (T1070.004): Borra rastros de su actividad para dificultar el análisis forense.
Técnicas usadas por RustyStealer
- Descubrimiento de archivos y directorios (T1083): Similar a Ymir, busca archivos importantes para robar o preparar para el ransomware.
- Descubrimiento de procesos (T1057): Identifica procesos activos en el sistema para ver qué puede aprovechar.
- Ejecución mediante módulos compartidos (T1129): Usa módulos del sistema para ejecutar su código sin levantar sospechas.
- Ofuscación de archivos o información (T1027): Camufla su código para evitar ser detectado por herramientas de seguridad.
Podría interesarte leer: Defensa Cibernética TTP: Técnicas y Procedimientos
Indicadores de compromiso (IoC) relacionados con Ymir
Si quieres detectar actividad de Ymir, presta atención a estos hashes de archivos asociados con sus ataques:
- 3648359ebae8ce7cacae1e631103659f5a8c630e
- fe6de75d6042de714c28c0a3c0816b37e0fa4bb3
- f954d1b1d13a5e4f62f108c9965707a2aa2a3c89
- 5ee1befc69d120976a60a97d3254e9eb
- 5384d704fadf229d08eab696404cbba6
- 39df773139f505657d11749804953be5
- 8287d54c83db03b8adcdf1409f5d1c9abb1693ac8d000b5ae75b3a296cb3061c
- 51ffc0b7358b7611492ef458fdf9b97f121e49e70f86a6b53b93ed923b707a03
- b087e1309f3eab6302d7503079af1ad6af06d70a932f7a6ae1421b942048e28a
Estos indicadores pueden ser usados por equipos de seguridad para rastrear y bloquear cualquier actividad sospechosa relacionada con este ransomware.
¿Cómo protegerte de Ymir y otros ataques de ransomware?
Defenderse de ransomware como Ymir no es cuestión de suerte: necesitas una estrategia de seguridad sólida, bien pensada y con varias capas de protección. Aquí te dejamos algunas medidas clave que puedes implementar para minimizar el riesgo y mantener tus sistemas a salvo:
- Evita el acceso inicial: Mantén tus sistemas actualizados, segmenta la red para aislar datos críticos y utiliza firewalls, IPS y VPNs para controlar el acceso.
- Refuerza las cuentas: Implementa autenticación multifactor (MFA), utiliza contraseñas fuertes y capacita a tu equipo para evitar phishing y malas prácticas.
- Monitorea tus credenciales: Revisa filtraciones en la Dark Web y configura bloqueos tras varios intentos fallidos de inicio de sesión.
- Detén el malware: Usa herramientas EDR, listas blancas de aplicaciones y monitorea comportamientos sospechosos para bloquear amenazas.
- Limita el movimiento lateral: Aplica privilegios mínimos a usuarios, desactiva servicios remotos innecesarios (como RDP) y supervisa el tráfico de red en busca de anomalías.
- Prepárate para mitigar ataques: Realiza copias de seguridad offline, aísla los backups y ten un plan de respuesta listo para reaccionar rápidamente.
- Recupera y aprende: Usa herramientas públicas de descifrado, analiza el ataque para identificar fallos y reporta el incidente a las autoridades para contribuir a la lucha contra el cibercrimen.
¿Cómo TecnetOne puede ayudarte a protegerte del ransomware Ymir?
TecnetOne ofrece un conjunto de herramientas avanzadas que pueden marcar la diferencia a la hora de detectar, prevenir y mitigar ataques de ransomware como el temido Ymir. Aquí te contamos cómo sus funciones clave pueden ayudarte:
- Inteligencia sobre amenazas: Nuestro SOC as a Service te mantiene un paso adelante al brindarte información actualizada sobre las tácticas, técnicas y procedimientos (TTP) que usan los atacantes. Con este conocimiento, puedes anticiparte y reforzar tus defensas antes de que sea demasiado tarde.
- Monitoreo de la Dark Web: ¿Te preocupa que tus credenciales o datos sensibles terminen en los rincones más oscuros de Internet? Nuestro SOC te ayuda a rastrear filtraciones, exploits y cargas maliciosas relacionadas con ransomware como Ymir, directamente en la Dark Web, para que puedas actuar a tiempo.
- Inteligencia de vulnerabilidades: Con el SOC, recibes alertas en tiempo real sobre vulnerabilidades que los grupos de ransomware están explotando. Esto te permite aplicar parches y proteger tus sistemas antes de que se conviertan en objetivos.
- Seguimiento de ransomware: La herramienta te ayuda a identificar variantes de ransomware y las herramientas que suelen usar los atacantes. Esto significa que puedes preparar tus defensas contra nuevas cepas antes de que golpeen.
- Alertas en tiempo real: Nuestro SOC te ofrece alertas instantáneas y reportes detallados sobre indicadores de compromiso (IoC), vectores de ataque y pasos recomendados para proteger tu infraestructura. Básicamente, te guía para que sepas exactamente qué hacer en caso de amenaza.