viernes, agosto 29, 2025
Walmart
Grupo Hotelero Islazul
AVA Resorts
Realidad Turística
Irtra
MAD-HAV Enjoy Travel Group
Nestle
Intecap
Walmart
Barceló Solymar
MAD-HAV Enjoy Travel Group
Tigo
Irtra
Herbalife
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
AVA Resorts
Hoteles Gran Caribe
CUN-HAV Enjoy Travel Group
Hoteles Gran Caribe
Grupo Hotelero Islazul
Realidad Turística
blackanddecker
Instituto Hondureño de Turismo
INOR
Los Portales
Cervecería Centroamericana S.A.
Servicios Médicos Cubanos
Agexport

Descubren nuevo ransomware nunca antes visto operando en América Latina

En el ataque observado por los expertos de Kaspersky afectó a una organización de Colombia; se trata del ransomware Ymir que utiliza una combinación única de técnicas y tácticas que mejoran su efectividad.

El equipo global de respuesta a emergencias de Kaspersky ha identificado una nueva variante de ransomware que nunca antes se había visto en uso activo, desplegado en un ataque posterior al robo de credenciales de empleados. El ransomware, denominado «Ymir», emplea métodos avanzados de sigilo y encriptación. También selecciona archivos específicos y trata de evadir la detección.

Técnicas poco comunes de manipulación de memoria para el sigilo. Los actores de la amenaza utilizaron una mezcla poco convencional de funciones de gestión de memoria – malloc, memmove y memcmp – para ejecutar el código malicioso directamente en la memoria. Este enfoque se desvía del flujo de ejecución secuencial típico visto en los tipos de ransomware más comunes, mejorando sus capacidades de sigilo. Además, Ymir es flexible: mediante el comando –path, los atacantes pueden especificar un directorio donde el ransomware debe buscar archivos. Si un archivo está en la lista blanca, el ransomware lo omite y lo deja sin encriptar. Esta característica otorga a los atacantes más control sobre qué se encripta y qué no.

Uso de malware para robar datos. En el ataque observado por los expertos de Kaspersky, que tuvo lugar en una organización de Colombia, se observó que los actores de la amenaza utilizaban RustyStealer, un tipo de malware que roba información, para obtener credenciales corporativas de empleados. Estas fueron luego utilizadas para acceder a los sistemas de la organización y mantener el control el tiempo suficiente para desplegar el ransomware. Este tipo de ataque se conoce como «intermediación de acceso inicial», donde los atacantes infiltran los sistemas y mantienen el acceso. Típicamente, los intermediarios de acceso inicial venden el acceso que obtienen en la dark web a otros ciberdelincuentes, pero en este caso parece que continuaron el ataque ellos mismos al desplegar el ransomware. «Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podría señalar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)», explica Eduardo Chavarro director del Grupo de Respuesta a Incidentes y forense digital para Américas en Kaspersky.

Algoritmo de encriptación avanzado. El ransomware emplea ChaCha20, un moderno cifrador de flujo conocido por su velocidad y seguridad, superando incluso al Estándar de Encriptación Avanzada (AES).

Aunque el actor detrás de este ataque no ha compartido datos robados públicamente ni ha hecho más demandas, los investigadores lo están monitoreando de cerca para detectar nuevas actividades. «No hemos identificado sitios de subasta de datos extraídos por parte de este grupo. Típicamente, los atacantes utilizan foros o portales ocultos para filtrar información como una forma de presionar a las víctimas para que paguen el rescate, lo cual no es el caso con Ymir. Dado esto, la pregunta de qué grupo está detrás del ransomware sigue abierta, y sospechamos que esto puede ser una nueva campaña», explica Ovalle.

Buscando un nombre para la nueva amenaza, los expertos de Kaspersky consideraron una luna de Saturno llamada Ymir. Es una luna «irregular» que viaja en dirección opuesta a la rotación del planeta, una característica que curiosamente recuerda la mezcla poco convencional de funciones de gestión de memoria utilizadas en el nuevo ransomware.

Los productos de Kaspersky ahora pueden detectar este ransomware como Trojan-Ransom.Win64.Ymir.gen.

Fuente. Kaspersky

Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Instituto Hondureño de Turismo
Barceló Solymar
Irtra
Servicios Médicos Cubanos
Agexport
CUN-HAV Enjoy Travel Group
blackanddecker
Grupo Hotelero Islazul
Hoteles Gran Caribe
Hoteles Gran Caribe
MAD-HAV Enjoy Travel Group
INOR
Herbalife
Tigo
Cervecería Centroamericana S.A.
Los Portales
Intecap
Nestle
Walmart
Realidad Turística
AVA Resorts

Related Articles

blackanddecker
Grupo Hotelero Islazul
INOR
Cervecería Centroamericana S.A.
Hoteles Gran Caribe
Walmart
Servicios Médicos Cubanos
Irtra
Realidad Turística
Instituto Hondureño de Turismo
Agexport
AVA Resorts
CUN-HAV Enjoy Travel Group
Intecap
Tigo
Los Portales
Nestle
Herbalife
MAD-HAV Enjoy Travel Group
Hoteles Gran Caribe
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Barceló Solymar

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí
Captcha verification failed!
La puntuación de usuario de captcha falló. ¡por favor contáctenos!

Servicios Médicos Cubanos
Intecap
Tigo
Agexport
Herbalife
Cervecería Centroamericana S.A.
Nestle
Realidad Turística
CUN-HAV Enjoy Travel Group
Barceló Solymar
AVA Resorts
blackanddecker
Irtra
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Hoteles Gran Caribe
Hoteles Gran Caribe
INOR
Instituto Hondureño de Turismo
MAD-HAV Enjoy Travel Group
Walmart
Grupo Hotelero Islazul
Los Portales
- Advertisement -
Cubacel
Havanatur
Vuelos a Cuba
Intecap
Tigo
AirEuropa
Barcelo Guatemala City
Revista Colombiana de Turismo Passport
Hotel Barcelo Solymar
Irtra
Maggi - GLUTEN-FREE

Lo más leído...

- Advertisement -
Intecap
Cubacel
Havanatur
Vuelos a Cuba
Irtra
AirEuropa
Hotel Barcelo Solymar
Revista Colombiana de Turismo Passport
Barcelo Guatemala City
Maggi - GLUTEN-FREE
Tigo