Recientemente se ha identificado un nuevo ransomware conocido como Ymir en Colombia, que presenta características avanzadas para evadir la detección y comprometer sistemas. Este ransomware a menudo se despliega tras una infección inicial por RustyStealer, un malware especializado en robar credenciales. Éste se infiltra en los sistemas a través de correos electrónicos de phishing y vulnerabilidades de software, permitiendo a los atacantes obtener acceso privilegiado. Posteriormente, Ymir utiliza comandos de PowerShell y técnicas de gestión de memoria para ejecutar herramientas maliciosas y cifrar datos críticos en los sistemas afectados.
¿Por qué ajustar la postura de seguridad?
Si no se ajustan los controles y la postura de seguridad para prevenir ataques de ransomware, las entidades y organizaciones pueden enfrentar incidentes de seguridad que causen la pérdida permanente de datos críticos, interrupciones significativas en sus operaciones y costos económicos elevados. Además, pueden sufrir daños a su reputación, sanciones legales y la exposición de datos sensibles de clientes y empleados, lo que puede llevar a fraudes y robo de identidad. La recuperación de un ataque de este tipo puede ser lenta y costosa, afectando gravemente la capacidad para operar normalmente. Características del Ransomware Ymir
Nota de rescate: Genera un archivo PDF llamado INCIDENT_REPORT.pdf en cada directorio afectado, informando a la víctima sobre el ataque y las instrucciones para contactar a los atacantes.
Método de infección: Los atacantes utilizan comandos de PowerShell para acceder a los sistemas y ejecutar el ransomware.
Estrategia de evasión: Ymir realiza operaciones en memoria, lo que dificulta su detección por software antivirus.
Cifrado de archivos: Utiliza el algoritmo ChaCha20 para cifrar archivos, añadiendo la extensión .6C5oy2dVr6 a los archivos afectados.
