{"id":14574,"date":"2024-11-14T14:25:07","date_gmt":"2024-11-14T19:25:07","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=14574"},"modified":"2024-11-14T14:25:19","modified_gmt":"2024-11-14T19:25:19","slug":"kaspersky-descubre-en-colombia-nuevo-ransomware-nunca-visto-en-uso-activo","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/kaspersky-descubre-en-colombia-nuevo-ransomware-nunca-visto-en-uso-activo\/","title":{"rendered":"Kaspersky descubre en Colombia nuevo ransomware nunca visto en uso activo"},"content":{"rendered":"\n<p class=\"\"><em>En el ataque observado por los expertos de la compa\u00f1\u00eda afect\u00f3 a una organizaci\u00f3n en el pa\u00eds; se trata del ransomware Ymir que utiliza una combinaci\u00f3n \u00fanica de t\u00e9cnicas y t\u00e1cticas que mejoran su efectividad.<\/em><\/p>\n\n\n\n<p class=\"\">Noviembre de 2024<\/p>\n\n\n\n<p class=\"\"><strong>El equipo global de respuesta a emergencias de Kaspersky ha identificado en Colombia una nueva variante de ransomware que nunca antes se hab\u00eda visto en uso activo, desplegado en un ataque posterior al robo de credenciales de empleados. El ransomware, denominado &#8220;Ymir&#8221;, emplea m\u00e9todos avanzados de sigilo y encriptaci\u00f3n. Tambi\u00e9n selecciona archivos espec\u00edficos y trata de evadir la detecci\u00f3n.<\/strong><\/p>\n\n\n\n<p class=\"\">T\u00e9cnicas poco comunes de manipulaci\u00f3n de memoria para el sigilo. Los actores de la amenaza utilizaron una mezcla poco convencional de funciones de gesti\u00f3n de memoria \u2013 malloc, memmove y memcmp \u2013 para ejecutar el c\u00f3digo malicioso directamente en la memoria. Este enfoque se desv\u00eda del flujo de ejecuci\u00f3n secuencial t\u00edpico visto en los tipos de ransomware m\u00e1s comunes, mejorando sus capacidades de sigilo. Adem\u00e1s, Ymir es flexible: mediante el comando &#8211;path, los atacantes pueden especificar un directorio donde el ransomware debe buscar archivos. Si un archivo est\u00e1 en la lista blanca, el ransomware lo omite y lo deja sin encriptar. Esta caracter\u00edstica otorga a los atacantes m\u00e1s control sobre qu\u00e9 se encripta y qu\u00e9 no.<\/p>\n\n\n\n<p class=\"\"><strong>Uso de malware para robar datos.<\/strong> En el ataque observado por los expertos de Kaspersky, que tuvo lugar en una organizaci\u00f3n de Colombia, se observ\u00f3 que los actores de la amenaza utilizaban RustyStealer, un tipo de malware que roba informaci\u00f3n, para obtener credenciales corporativas de empleados. Estas fueron luego utilizadas para acceder a los sistemas de la organizaci\u00f3n y mantener el control el tiempo suficiente para desplegar el ransomware. Este tipo de ataque se conoce como &#8220;intermediaci\u00f3n de acceso inicial&#8221;, donde los atacantes infiltran los sistemas y mantienen el acceso. T\u00edpicamente, los intermediarios de acceso inicial venden el acceso que obtienen en la dark web a otros ciberdelincuentes, pero en este caso parece que continuaron el ataque ellos mismos al desplegar el ransomware. <em>&#8220;Si los intermediarios son de hecho los mismos actores que desplegaron el ransomware, esto podr\u00eda se\u00f1alar una nueva tendencia, creando opciones adicionales de secuestro sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS)&#8221;, <\/em>explica Eduardo Chavarro director del Grupo de Respuesta a Incidentes y forense digital para Am\u00e9ricas en Kaspersky.<\/p>\n\n\n\n<p class=\"\"><em>Nota de Ymir<\/em><\/p>\n\n\n\n<p class=\"\"><strong>Algoritmo de encriptaci\u00f3n avanzado.<\/strong> El ransomware emplea ChaCha20, un moderno cifrador de flujo conocido por su velocidad y seguridad, superando incluso al Est\u00e1ndar de Encriptaci\u00f3n Avanzada (AES).<\/p>\n\n\n\n<p class=\"\">Aunque el actor detr\u00e1s de este ataque no ha compartido datos robados p\u00fablicamente ni ha hecho m\u00e1s demandas, los investigadores lo est\u00e1n monitoreando de cerca para detectar nuevas actividades<em>. &#8220;<\/em> <em>No hemos identificado sitios de subasta de datos extra\u00eddos por parte de este grupo. T\u00edpicamente, los atacantes utilizan foros o portales ocultos para filtrar informaci\u00f3n como una forma de presionar a las v\u00edctimas para que paguen el rescate, lo cual no es el caso con Ymir. Dado esto, la pregunta de qu\u00e9 grupo est\u00e1 detr\u00e1s del ransomware sigue abierta, y sospechamos que esto puede ser una nueva campa\u00f1a&#8221;,<\/em> explica Chavarro.<\/p>\n\n\n\n<p class=\"\">Buscando un nombre para la nueva amenaza, los expertos de Kaspersky consideraron una luna de Saturno llamada Ymir. Es una luna &#8220;irregular&#8221; que viaja en direcci\u00f3n opuesta a la rotaci\u00f3n del planeta, una caracter\u00edstica que curiosamente recuerda la mezcla poco convencional de funciones de gesti\u00f3n de memoria utilizadas en el nuevo ransomware.<\/p>\n\n\n\n<p class=\"\">Los productos de Kaspersky ahora pueden detectar este ransomware como Trojan-Ransom.Win64.Ymir.gen. Los expertos de la compa\u00f1\u00eda recomiendan las siguientes medidas generales para mitigar los ataques de ransomware:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li class=\"\">Implementar un programa de copias de seguridad frecuentes y realizar pruebas regulares.<\/li>\n\n\n\n<li class=\"\">Brindar a los empleados formaci\u00f3n peri\u00f3dica en ciberseguridad para aumentar su conciencia sobre amenazas cibern\u00e9ticas como el malware que roba datos, y ense\u00f1ar estrategias efectivas de mitigaci\u00f3n.<\/li>\n\n\n\n<li class=\"\">Si ha sido v\u00edctima de ransomware y a\u00fan no existe un descifrador conocido, guarde sus archivos cr\u00edticos cifrados.<\/li>\n\n\n\n<li class=\"\">Una soluci\u00f3n de descifrado puede surgir dentro de un esfuerzo de investigaci\u00f3n de amenazas en curso o si las autoridades logran apoderarse del actor detr\u00e1s de la amenaza.<\/li>\n\n\n\n<li class=\"\">Se recomienda no pagar el rescate. Pagar fomenta que los creadores de malware contin\u00faen con sus operaciones, pero no asegura la devoluci\u00f3n segura y confiable de los archivos.<\/li>\n\n\n\n<li class=\"\">Para proteger a la empresa contra una amplia gama de amenazas, utilice soluciones de la l\u00ednea de productos <a href=\"https:\/\/latam.kaspersky.com\/next\">Kaspersky Next<\/a> que proporcionan protecci\u00f3n en tiempo real, visibilidad de amenazas, capacidades de investigaci\u00f3n y respuesta de EDR y XDR para organizaciones de cualquier tama\u00f1o e industria. Dependiendo de sus necesidades actuales y recursos disponibles, puede elegir el nivel de producto m\u00e1s relevante, con flexibilidad para migrar f\u00e1cilmente a otro a medida que evolucionen sus requisitos de ciberseguridad. Reduzca su superficie de ataque deshabilitando servicios y puertos no utilizados.<\/li>\n\n\n\n<li class=\"\">Adopte servicios de seguridad gestionados de Kaspersky, como <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/managed-detection-and-response\">Evaluaci\u00f3n de Compromiso, Detecci\u00f3n y Respuesta Gestionada<\/a> (MDR) y\/o <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/incident-response\">Respuesta a Incidentes<\/a>, que cubren todo el ciclo de gesti\u00f3n de incidentes, desde la identificaci\u00f3n de amenazas hasta la protecci\u00f3n continua y la remediaci\u00f3n. Ayudan a proteger contra ciberataques evasivos, investigar incidentes y obtener experiencia adicional incluso si una empresa carece de trabajadores de seguridad.<\/li>\n<\/ul>\n\n\n\n<p class=\"\">Para m\u00e1s informaci\u00f3n sobre c\u00f3mo proteger tu vida digital, visita nuestro <a href=\"https:\/\/latam.kaspersky.com\/blog\/\">blog<\/a>.<\/p>\n\n\n\n<p class=\"\"><strong>Los Servicios de Seguridad de Kaspersky<\/strong><\/p>\n\n\n\n<p class=\"\">Entregando cientos de proyectos de seguridad de la informaci\u00f3n cada a\u00f1o para organizaciones Fortune 500 a nivel mundial: respuesta a incidentes, detecci\u00f3n gestionada, consultor\u00eda SOC, red teaming, pruebas de penetraci\u00f3n, seguridad de aplicaciones, protecci\u00f3n de riesgos digitales. El equipo global de respuesta a emergencias es parte de los Servicios de Seguridad, que maneja cientos de incidentes anualmente, construyendo una imagen clara de los ataques y compartiendo recomendaciones de respuesta.<\/p>\n\n\n\n<p class=\"\"><strong>Acerca de Kaspersky<\/strong><\/p>\n\n\n\n<p class=\"\">Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con m\u00e1s de mil millones dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda experiencia en inteligencia de amenazas y seguridad de Kaspersky se est\u00e1 continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras cr\u00edticas, gobiernos y consumidores en todo el mundo. El extenso portafolio de productos de seguridad de la empresa incluye su reputada soluci\u00f3n de protecci\u00f3n para <em>endpoints<\/em>, junto con una serie de soluciones y servicios de seguridad especializados, as\u00ed como soluciones <em>Cyber Immune <\/em>para combatir las sofisticadas y cambiantes amenazas digitales. Ayudamos a m\u00e1s de 200,000 clientes corporativos a proteger lo que m\u00e1s valoran. Obtenga m\u00e1s informaci\u00f3n en<a href=\"https:\/\/latam.kaspersky.com\/\"> <\/a><a href=\"https:\/\/latam.kaspersky.com\/\">https:\/\/latam.kaspersky.com<\/a><\/p>\n\n\n\n<p class=\"\"><strong>Kaspersky en redes sociales:&nbsp;<\/strong><\/p>\n\n\n\n<p class=\"\"><strong>X: <\/strong>@KasperskyLatino &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; <strong>IG:<\/strong> Kaspersky Latinoam\u00e9rica<\/p>\n\n\n\n<p class=\"\"><strong>FB:<\/strong> KasperskyLabLatam &nbsp; &nbsp; &nbsp; <strong>IN:<\/strong> Kaspersky Lab Latinoam\u00e9rica<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En el ataque observado por los expertos de la compa\u00f1\u00eda afect\u00f3 a una organizaci\u00f3n en el pa\u00eds; se trata del ransomware Ymir que utiliza una combinaci\u00f3n \u00fanica de t\u00e9cnicas y t\u00e1cticas que mejoran su efectividad. Noviembre de 2024 El equipo global de respuesta a emergencias de Kaspersky ha identificado en Colombia una nueva variante de [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":14576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","footnotes":""},"categories":[243],"tags":[176,195,119],"class_list":["post-14574","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kaspersky","tag-kaspersky","tag-syspertec","tag-tecnologia"],"jetpack_featured_media_url":"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2024\/11\/Kaspersky_New-Ransomware-COL.jpg","_links":{"self":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/14574","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/comments?post=14574"}],"version-history":[{"count":1,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/14574\/revisions"}],"predecessor-version":[{"id":14577,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/14574\/revisions\/14577"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media\/14576"}],"wp:attachment":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media?parent=14574"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/categories?post=14574"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/tags?post=14574"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}