Los investigadores de ciberseguridad han detectado una nueva familia de ransomware llamada Ymir que se implement\u00f3 en un ataque dos d\u00edas despu\u00e9s de que los sistemas se vieran comprometidos por un malware ladr\u00f3n llamado RustyStealer.<\/p>\n
“Ymir ransomware presenta una combinaci\u00f3n \u00fanica de caracter\u00edsticas t\u00e9cnicas y t\u00e1cticas que mejoran su efectividad”, dijo el proveedor ruso de ciberseguridad Kaspersky. dicho<\/a>.<\/p>\n “Los actores de amenazas aprovecharon una combinaci\u00f3n poco convencional de funciones de administraci\u00f3n de memoria (malloc, memmove y memcmp) para ejecutar c\u00f3digo malicioso directamente en la memoria. Este enfoque se desv\u00eda del flujo de ejecuci\u00f3n secuencial t\u00edpico que se ve en los tipos de ransomware m\u00e1s extendidos, lo que mejora sus capacidades sigilosas”.<\/p>\n Kaspersky dijo que observ\u00f3 el ransomware utilizado en un ciberataque dirigido a una organizaci\u00f3n an\u00f3nima en Colombia, y que los actores de la amenaza hab\u00edan entregado previamente el RustyStealer<\/a> malware para recopilar credenciales corporativas.<\/p>\n Se cree que el credenciales robadas<\/a> se utilizaron para obtener acceso no autorizado a la red de la empresa con el fin de implementar el ransomware. Si bien normalmente existe un traspaso entre un intermediario de acceso inicial y el equipo de ransomware, no est\u00e1 claro si ese es el caso aqu\u00ed.<\/p>\n “Si los intermediarios son de hecho los mismos actores que implementaron el ransomware, esto podr\u00eda indicar una nueva tendencia, creando opciones de secuestro adicionales sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)”, dijo el investigador de Kaspersky, Cristian Souza.<\/p>\n El ataque se destaca por instalar herramientas como Advanced IP Scanner y Process Hacker. Tambi\u00e9n se utilizan dos scripts que forman parte del malware SystemBC, que permiten configurar un canal encubierto hacia una direcci\u00f3n IP remota para extraer archivos que tienen un tama\u00f1o superior a 40 KB y se crean despu\u00e9s de una fecha espec\u00edfica.<\/p>\n El binario de ransomware, por su parte, utiliza el algoritmo de cifrado de flujo ChaCha20 para cifrar archivos, a\u00f1adiendo la extensi\u00f3n “.6C5oy2dVr6” a cada archivo cifrado.<\/p>\n “Ymir es flexible: al usar el comando –path, los atacantes pueden especificar un directorio donde el ransomware debe buscar archivos”, dijo Kaspersky. “Si un archivo est\u00e1 en la lista blanca, el ransomware lo omitir\u00e1 y lo dejar\u00e1 sin cifrar. Esta caracter\u00edstica les da a los atacantes m\u00e1s control sobre lo que est\u00e1 o no cifrado”.<\/p>\n El desarrollo se produce cuando se ha descubierto que los atacantes detr\u00e1s del ransomware Black Basta utilizan mensajes de chat de Microsoft Teams para interactuar con posibles objetivos e incorporan c\u00f3digos QR maliciosos para facilitar el acceso inicial al redirigirlos a un dominio fraudulento.<\/p>\n “Es probable que la motivaci\u00f3n subyacente siente las bases para t\u00e9cnicas de ingenier\u00eda social de seguimiento, convenza a los usuarios para que descarguen herramientas de administraci\u00f3n y monitoreo remoto (RMM) y obtengan acceso inicial al entorno objetivo”, ReliaQuest dicho<\/a>. “En \u00faltima instancia, el objetivo final de los atacantes en estos incidentes es casi con certeza el despliegue de ransomware”.<\/p>\n La compa\u00f1\u00eda de ciberseguridad dijo que tambi\u00e9n identific\u00f3 casos en los que los actores de amenazas intentaron enga\u00f1ar a los usuarios haci\u00e9ndose pasar por personal de soporte de TI y enga\u00f1\u00e1ndolos para que usaran Quick Assist para obtener acceso remoto, una t\u00e9cnica sobre la que Microsoft advirti\u00f3 en mayo de 2024.<\/p>\n Como parte del ataque de vishing, los actores de amenazas indican a la v\u00edctima que instale un software de escritorio remoto como AnyDesk o que inicie Quick Assist para obtener acceso remoto al sistema. <\/p>\n Vale la pena mencionar aqu\u00ed que un iteraci\u00f3n anterior<\/a> Uno de los ataques emple\u00f3 t\u00e1cticas de malspam, inundando las bandejas de entrada de los empleados con miles de correos electr\u00f3nicos y luego llamando al empleado haci\u00e9ndose pasar por el servicio de asistencia de TI de la empresa para supuestamente ayudar a resolver el problema.<\/p>\n Los ataques de ransomware que involucran a las familias Akira y Fog tambi\u00e9n se han beneficiado de los sistemas que ejecutan VPN SSL de SonicWall sin parches contra CVE-2024-40766 para violar las redes de las v\u00edctimas. Se han detectado hasta 30 nuevas intrusiones aprovechando esta t\u00e1ctica entre agosto y mediados de octubre de 2024, por lobo \u00e1rtico<\/a>.<\/p>\n Estos acontecimientos reflejan la evoluci\u00f3n continua<\/a> de ransomware y el amenaza persistente<\/a> plantea para organizaciones de todo el mundo, incluso cuando esfuerzos de aplicaci\u00f3n de la ley<\/a> para desarticular a los grupos de ciberdelincuentes ha llevado a una mayor fragmentaci\u00f3n.<\/p>\n El mes pasado, Secureworks, que ser\u00e1 adquirida por Sophos a principios del pr\u00f3ximo a\u00f1o, revel\u00f3 que el n\u00famero de grupos de ransomware activos ha experimentado un aumento interanual del 30%, impulsado por la aparici\u00f3n de 31 nuevos grupos en el ecosistema.<\/p>\n “A pesar de este crecimiento de los grupos de ransomware, el n\u00famero de v\u00edctimas no aument\u00f3 al mismo ritmo, lo que muestra un panorama significativamente m\u00e1s fragmentado que plantea la cuesti\u00f3n de qu\u00e9 tan exitosos podr\u00edan ser estos nuevos grupos”, dijo la firma de ciberseguridad. dicho<\/a>.<\/p>\n Datos compartidos por el Grupo NCC muestra<\/a> que se registraron un total de 407 casos de ransomware en septiembre de 2024, frente a 450 en agosto, una ca\u00edda del 10% mes tras mes. Por el contrario, en septiembre de 2023 se registraron 514 ataques de ransomware. Algunos de los principales sectores atacados durante el per\u00edodo incluyen el industrial, el consumo discrecional y la tecnolog\u00eda de la informaci\u00f3n.<\/p>\n Eso no es todo. En los \u00faltimos meses, el uso de ransomware se ha extendido a grupos hacktivistas con motivaciones pol\u00edticas como CyberVolk<\/a>que han utilizado “el ransomware como herramienta de represalia”.<\/p>\n Mientras tanto, los funcionarios estadounidenses est\u00e1n buscando nuevas formas de contrarrestar el ransomware, incluido instar a las compa\u00f1\u00edas de seguros cibern\u00e9ticos a detener los reembolsos por los pagos de rescate en un intento de disuadir a las v\u00edctimas de pagar<\/a> en primer lugar.<\/p>\n “Algunas p\u00f3lizas de compa\u00f1\u00edas de seguros, que cubren, por ejemplo, el reembolso de pagos de ransomware, incentivan el pago de rescates que alimentan los ecosistemas de delitos cibern\u00e9ticos”, dijo Anne Neuberger, asesora adjunta de seguridad nacional de EE. UU. para tecnolog\u00edas cibern\u00e9ticas y emergentes. escribi\u00f3<\/a> en un art\u00edculo de opini\u00f3n del Financial Times. “Esta es una pr\u00e1ctica preocupante que debe terminar”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/El-nuevo-Ymir-Ransomware-explota-la-memoria-para-realizar-ataques.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n