Los investigadores de ciberseguridad han detectado una nueva familia de ransomware llamada Ymir que se implementó en un ataque dos días después de que los sistemas se vieran comprometidos por un malware ladrón llamado RustyStealer.
“Ymir ransomware presenta una combinación única de características técnicas y tácticas que mejoran su efectividad”, dijo el proveedor ruso de ciberseguridad Kaspersky. dicho.
“Los actores de amenazas aprovecharon una combinación poco convencional de funciones de administración de memoria (malloc, memmove y memcmp) para ejecutar código malicioso directamente en la memoria. Este enfoque se desvía del flujo de ejecución secuencial típico que se ve en los tipos de ransomware más extendidos, lo que mejora sus capacidades sigilosas”.
Kaspersky dijo que observó el ransomware utilizado en un ciberataque dirigido a una organización anónima en Colombia, y que los actores de la amenaza habían entregado previamente el RustyStealer malware para recopilar credenciales corporativas.
Se cree que el credenciales robadas se utilizaron para obtener acceso no autorizado a la red de la empresa con el fin de implementar el ransomware. Si bien normalmente existe un traspaso entre un intermediario de acceso inicial y el equipo de ransomware, no está claro si ese es el caso aquí.
“Si los intermediarios son de hecho los mismos actores que implementaron el ransomware, esto podría indicar una nueva tendencia, creando opciones de secuestro adicionales sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)”, dijo el investigador de Kaspersky, Cristian Souza.
El ataque se destaca por instalar herramientas como Advanced IP Scanner y Process Hacker. También se utilizan dos scripts que forman parte del malware SystemBC, que permiten configurar un canal encubierto hacia una dirección IP remota para extraer archivos que tienen un tamaño superior a 40 KB y se crean después de una fecha específica.
El binario de ransomware, por su parte, utiliza el algoritmo de cifrado de flujo ChaCha20 para cifrar archivos, añadiendo la extensión “.6C5oy2dVr6” a cada archivo cifrado.
“Ymir es flexible: al usar el comando –path, los atacantes pueden especificar un directorio donde el ransomware debe buscar archivos”, dijo Kaspersky. “Si un archivo está en la lista blanca, el ransomware lo omitirá y lo dejará sin cifrar. Esta característica les da a los atacantes más control sobre lo que está o no cifrado”.
El desarrollo se produce cuando se ha descubierto que los atacantes detrás del ransomware Black Basta utilizan mensajes de chat de Microsoft Teams para interactuar con posibles objetivos e incorporan códigos QR maliciosos para facilitar el acceso inicial al redirigirlos a un dominio fraudulento.
“Es probable que la motivación subyacente siente las bases para técnicas de ingeniería social de seguimiento, convenza a los usuarios para que descarguen herramientas de administración y monitoreo remoto (RMM) y obtengan acceso inicial al entorno objetivo”, ReliaQuest dicho. “En última instancia, el objetivo final de los atacantes en estos incidentes es casi con certeza el despliegue de ransomware”.
La compañía de ciberseguridad dijo que también identificó casos en los que los actores de amenazas intentaron engañar a los usuarios haciéndose pasar por personal de soporte de TI y engañándolos para que usaran Quick Assist para obtener acceso remoto, una técnica sobre la que Microsoft advirtió en mayo de 2024.
Como parte del ataque de vishing, los actores de amenazas indican a la víctima que instale un software de escritorio remoto como AnyDesk o que inicie Quick Assist para obtener acceso remoto al sistema.
Vale la pena mencionar aquí que un iteración anterior Uno de los ataques empleó tácticas de malspam, inundando las bandejas de entrada de los empleados con miles de correos electrónicos y luego llamando al empleado haciéndose pasar por el servicio de asistencia de TI de la empresa para supuestamente ayudar a resolver el problema.
Los ataques de ransomware que involucran a las familias Akira y Fog también se han beneficiado de los sistemas que ejecutan VPN SSL de SonicWall sin parches contra CVE-2024-40766 para violar las redes de las víctimas. Se han detectado hasta 30 nuevas intrusiones aprovechando esta táctica entre agosto y mediados de octubre de 2024, por lobo ártico.
Estos acontecimientos reflejan la evolución continua de ransomware y el amenaza persistente plantea para organizaciones de todo el mundo, incluso cuando esfuerzos de aplicación de la ley para desarticular a los grupos de ciberdelincuentes ha llevado a una mayor fragmentación.
El mes pasado, Secureworks, que será adquirida por Sophos a principios del próximo año, reveló que el número de grupos de ransomware activos ha experimentado un aumento interanual del 30%, impulsado por la aparición de 31 nuevos grupos en el ecosistema.
“A pesar de este crecimiento de los grupos de ransomware, el número de víctimas no aumentó al mismo ritmo, lo que muestra un panorama significativamente más fragmentado que plantea la cuestión de qué tan exitosos podrían ser estos nuevos grupos”, dijo la firma de ciberseguridad. dicho.
Datos compartidos por el Grupo NCC muestra que se registraron un total de 407 casos de ransomware en septiembre de 2024, frente a 450 en agosto, una caída del 10% mes tras mes. Por el contrario, en septiembre de 2023 se registraron 514 ataques de ransomware. Algunos de los principales sectores atacados durante el período incluyen el industrial, el consumo discrecional y la tecnología de la información.
Eso no es todo. En los últimos meses, el uso de ransomware se ha extendido a grupos hacktivistas con motivaciones políticas como CyberVolkque han utilizado “el ransomware como herramienta de represalia”.
Mientras tanto, los funcionarios estadounidenses están buscando nuevas formas de contrarrestar el ransomware, incluido instar a las compañías de seguros cibernéticos a detener los reembolsos por los pagos de rescate en un intento de disuadir a las víctimas de pagar en primer lugar.
“Algunas pólizas de compañías de seguros, que cubren, por ejemplo, el reembolso de pagos de ransomware, incentivan el pago de rescates que alimentan los ecosistemas de delitos cibernéticos”, dijo Anne Neuberger, asesora adjunta de seguridad nacional de EE. UU. para tecnologías cibernéticas y emergentes. escribió en un artículo de opinión del Financial Times. “Esta es una práctica preocupante que debe terminar”.
About the Author
