Una empresa del sector financiero en Colombia ha sido víctima de un sofisticado ataque de ciberseguridad en el que se desplegó el nuevo ransomware conocido como ‘Ymir’. Este malware encripta datos críticos tras aprovechar infecciones previas del malware RustyStealer, que actúa como herramienta de acceso inicial.
Técnicas avanzadas empleadas en el ataque
El ataque fue caracterizado por el uso de tácticas avanzadas que permitieron el acceso, movimiento lateral y la posterior cifrado de información en la red de la empresa:
Técnica MITRE ATT&CK | Descripción |
---|---|
Servicios remotos (T1021.006) | Los atacantes utilizaron Windows Remote Management (WinRM) para acceder a sistemas clave de manera remota, empleando credenciales comprometidas. |
Cuentas válidas (T1078) | Se aprovecharon credenciales obtenidas previamente para infiltrarse en la red y acceder a sistemas críticos. |
Captura de credenciales Kerberos (T1558) | RustyStealer fue desplegado para extraer información confidencial y credenciales. |
Intérprete de comandos y scripts: PowerShell (T1059.001) | Se ejecutaron comandos maliciosos y scripts para el despliegue del ransomware. |
Transferencia lateral de herramientas (T1570) | Herramientas como Advanced IP Scanner facilitaron el movimiento lateral dentro de la red. |
Desactivación de defensas (T1562) | Los atacantes desactivaron herramientas de seguridad, abriendo el camino para el despliegue del ransomware. |
Modificación de procesos del sistema (T1547.001) | Se utilizaron herramientas como Process Hacker para reconocimiento y persistencia. |
Cifrado de datos para impacto (T1486) | Se aplicó el algoritmo de cifrado ChaCha20 para bloquear los archivos de las víctimas. |
Inyección de procesos (T1055) | Funciones como malloc, memmove y memcmp fueron empleadas para tareas en memoria, evadiendo detección. |
Exfiltración a través de canales de comando y control (T1041) | Datos específicos fueron transferidos a direcciones remotas mediante canales encubiertos. |
Descubrimiento de sistemas remotos (T1018) | Advanced IP Scanner permitió mapear dispositivos y servicios en la red. |
Eliminación de indicadores en el host (T1070) | Se borraron registros y trazas para dificultar la investigación. |
Cómo operó ‘Ymir’
El ransomware Ymir, que opera exclusivamente desde la memoria del sistema, desplegó técnicas avanzadas para evadir detección. Durante su ejecución, el malware realizó reconocimiento del sistema, identificó procesos en ejecución y verificó el entorno para evitar sandboxes.
El cifrado de archivos se realizó utilizando extensiones generadas aleatoriamente, como “.6C5oy2dVr6”, y se generó una nota de rescate en formato PDF titulada “INCIDENT_REPORT.pdf”. Además, el ransomware modificó valores en el registro de Windows para mostrar mensajes de extorsión antes de que el usuario iniciara sesión.
¿Qué podemos esperar de ‘Ymir’?
Aunque aún no se ha identificado un sitio de filtración de datos asociado con Ymir, este nuevo ransomware plantea una seria amenaza al combinar herramientas de acceso inicial como RustyStealer con avanzadas técnicas de persistencia, movimiento lateral y cifrado.
Es crucial que las empresas implementen medidas proactivas, como la supervisión de cuentas privilegiadas, el uso de autenticación multifactor y la actualización constante de sus herramientas de seguridad, para mitigar ataques similares.
Mantener una vigilancia activa y contar con protocolos de respuesta rápida será clave para enfrentar esta nueva amenaza.
Indicadores de compromiso