Nueva variante de Ransomware se hace presente

Se ha descubierto una nueva familia de Ransomware, Ymir.

Se trata de una combinación poco convencional de funciones de gestión de memoria (como malloc, memmove y memcmp) que ejecuta código malicioso directamente en la memoria.

¿Cuál es la amenaza?

Ymir es una variante del Ransomware que permite personalizaciones. Utiliza el comando “-path” para permitir a los atacantes especificar un directorio donde el Ransomware debe buscar archivos. Un archivo de lista “Permitido” puede dejarse sin cifrar, lo que da a los atacantes control sobre que archivos cifrar. Se observo un ciberataque reciente que utiliza Ymir, donde los actores de la amenaza habían distribuido previamente el malware RustyStealer para recopilar credenciales corporativas. Parece que el ataque fue orquestado por dos grupos, donde el primer grupo establece la persistencia inicial y roba información; el segundo grupo ingresa para cifrar los sistemas.

¿Por qué es de relevancia?

Esta variante del Ransomware utiliza herramientas como Advanced IP Scanner y Process Hacker. El ataque utiliza a los atacantes configurar canales encubiertos a direcciones IP remotas para extraer archivos de 40 KB o más.

Ymir también se destaca por su ejecución en memoria. La ejecución en memoria es una técnica que utiliza el malware para evadir la detección del software antivirus. También utiliza archivos PDF como notas de rescate, así como el idioma africano lingala en su codificación.

¿Cuál es el riesgo?

Esta variante del Ransomware utiliza herramientas como Advanced IP Scanner y Process Hacker. El ataque utiliza dos scripts del malware SystemBC, lo que permite a los atacantes configurar canales encubiertos a direcciones IP remotas para extraer archivos de 40KB o más. Ymir también se destaca por su ejecución en memoria. La ejecución en memoria es una técnica que utiliza el malware para evadir la detección del software antivirus. También utiliza archivos PDF como notas de rescate, así como el idioma africano lingala en su codificación.

Recomendaciones

Se recomienda realizar las siguientes acciones para tomar medidas adicionales y reducir el riesgo de explotación protegiendo su infraestructura critica de esta y otras amenazas similares:

• Utiliza una solución de detección y respuesta de endpoints (EDR), como barracuda XDR Endpoint Security, para la detección proactiva de Malware y Ransomware.

• Realice copias de seguridad de sus datos en un almacenamiento en la nube o fuera de línea con regularidad

• Actualice los parches de seguridad con prontitud para reducir la vulnerabilidad en su entorno.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR