Ransomware Ymir: Una amenaza Multiplataforma que Afecta a Windows y Linux

El nuevo ransomware Ymir ha sido descubierto por los investigadores. Se implementó en un ataque dos días después de que los sistemas fueran comprometidos por el malware ladrón RustyStealer.

El ransomware Ymir presenta una combinación única de características técnicas y tácticas que mejoran su eficacia.

Esto afirmó el proveedor ruso de ciberseguridad Kaspersky.

Los actores de amenazas aprovecharon una combinación poco convencional de funciones de gestión de memoria (malloc, memmove y memcmp) para ejecutar código malicioso directamente en la memoria. Este enfoque se desvía del flujo de ejecución secuencial típico que se observa en los tipos de ransomware más extendidos, lo que mejora sus capacidades de sigilo.

¿Qué es el ransomware Ymir?

Ymir es un nuevo tipo de ransomware que ha generado alarma en el mundo de la ciberseguridad. Su peculiaridad radica en que es capaz de afectar tanto a sistemas Windows como Linux. Esta característica lo convierte en una amenaza más amplia que muchas de las variantes tradicionales de ransomware, que suelen centrarse en un solo sistema operativo.

Este ransomware sigue el modelo de «doble extorsión». Los atacantes no solo cifran los datos, sino que también amenazan con publicarlos si no se paga el rescate. Esto agrava las consecuencias para las empresas y los usuarios afectados.

¿De dónde viene el ransomware Ymir?

Kaspersky afirmó que observó el ransomware Ymir utilizado en un ciberataque dirigido a una organización anónima en Colombia. Dice que los actores de la amenaza habían entregado previamente el malware RustyStealer para recopilar credenciales corporativas.

Se cree que las credenciales robadas se utilizaron para obtener acceso no autorizado a la red de la empresa. Este acceso sería con el fin de implementar el ransomware. Si bien normalmente existe una transferencia entre un agente de acceso inicial y el equipo del ransomware, no está claro si es así en este caso.

Si los intermediarios son de hecho los mismos actores que implementaron el ransomware, esto podría indicar una nueva tendencia, creando opciones de secuestro adicionales sin depender de los grupos tradicionales de Ransomware-as-a-Service (RaaS).

Así lo afirmó investigador de Kaspersky, Cristian Souza.

¿Cómo Afecta el ransomware Ymir a Windows y Linux?

El ransomware Ymir en Windows

En Windows, el ransomware Ymir utiliza los métodos clásicos de infección, como correos electrónicos de phishing y enlaces maliciosos. Estos métodos explotan la falta de precaución de los usuarios finales. Ellos pueden abrir enlaces o archivos aparentemente inofensivos que instalan el ransomware en el sistema.

¿Cómo opera el ransomware Ymir?

El ataque se caracteriza por instalar herramientas como Advanced IP Scanner y Process Hacker. También se utilizan dos scripts que forman parte del malware SystemBC. Estos permiten configurar un canal oculto a una dirección IP remota para filtrar archivos. Estos tienen un tamaño superior a 40 KB y se crean después de una fecha específica.

El binario del ransomware Ymir, por su parte, utiliza el algoritmo de cifrado de flujo ChaCha20 para cifrar archivos. Añade la extensión «.6C5oy2dVr6» a cada archivo cifrado.

El ransomware Ymir es flexible. Con el parámetro –path, los atacantes pueden especificar un directorio donde buscar archivos.

Si un archivo está en la lista blanca, el ransomware Ymir lo omitirá y lo dejará sin cifrar. Esta función ofrece a los atacantes un mayor control sobre lo que está o no cifrado.

El desarrollo se produce luego de que se detectara que los atacantes detrás del ransomware Black Basta usaban mensajes de chat de Microsoft Teams para interactuar con posibles objetivos e incorporaban códigos QR maliciosos para facilitar el acceso inicial redirigiéndolos a un dominio fraudulento.

Es probable que la motivación subyacente siente las bases para posteriores técnicas de ingeniería social, convenza a los usuarios de que descarguen herramientas de monitoreo y administración remotas (RMM) y obtengan acceso inicial al entorno objetivo.

En última instancia, el objetivo final de los atacantes en estos incidentes es casi con certeza la implementación de ransomware.

Esto en palabras de ReliaQuest.

Interacción engañosa con el usuario para infectarlo.

La empresa de ciberseguridad dijo que también identificó casos en los que los actores de amenazas intentaron engañar a los usuarios. Se hacen pasar por personal de soporte de TI piden que Quick Assist para obtener acceso remoto. Esta es una técnica sobre la que Microsoft advirtió en mayo de 2024.

Como parte del ataque de phishing, los actores de amenazas instruyen a la víctima a instalar un software de escritorio remoto. Este suele ser AnyDesk o iniciar Quick Assist para obtener acceso remoto al sistema.

Vale la pena mencionar aquí que una iteración anterior del ataque empleó tácticas de spam. Se inundaron las bandejas de entrada de los empleados con miles de correos electrónicos. Luego llamaron al empleado haciéndose pasar por el servicio de asistencia de TI de la empresa. Llaman para supuestamente ayudar a resolver el problema.

Ransomware Ymir en Linux

Por otro lado, en Linux, el ransomware Ymir se enfoca en servidores. Ataca especialmente entornos empresariales y de servidor en los que puede maximizar su impacto. Linux, siendo muy popular en infraestructura de servidores, ha sido cada vez más blanco de ataques de ransomware. El ransomware Ymir aprovecha vulnerabilidades específicas en servidores de Linux y ESXi para infiltrarse y cifrar múltiples máquinas virtuales en un solo ataque.

Los servidores ESXi se refieren a una tecnología de virtualización de la empresa VMware Esta permite ejecutar múltiples máquinas virtuales (VM) en un solo servidor físico. ESXi es el nombre del hipervisor de Vmware. Es una capa de software que se instala directamente en el hardware del servidor para administrar y ejecutar esas máquinas virtuales de manera eficiente y segura.

Este hipervisor es muy utilizado en centros de datos y entornos empresariales. Esto porque permite optimizar el uso de recursos físicos (como CPU, memoria y almacenamiento) y gestionar mejor el rendimiento y la disponibilidad de las aplicaciones. Las máquinas virtuales que corren en un servidor ESXi comparten el hardware de manera aislada. De este modo se aumenta la flexibilidad y eficiencia en la administración de infraestructura informática.

Razones por las cuales los servidores ESXi son atacados

1. Concentración de recursos críticos. En estos servidores suelen hospedarse sistemas importantes. Estos pueden ser bases de datos, aplicaciones empresariales o servicios web. Esto los convierte en objetivos muy atractivos para los atacantes.
2. Configuraciones de acceso y vulnerabilidades. A menudo, ESXi está expuesto en redes internas o incluso en redes públicas sin una protección adecuada. Así, cualquier vulnerabilidad en el hipervisor puede comprometer todas las VMs que aloja.
3. Uso en ambientes corporativos. Los atacantes saben que los servidores ESXi son comunes en empresas. Por eso, al secuestrar uno de estos, el impacto para la organización es mayor, aumentando la probabilidad de pago de un rescate.

Para proteger estos servidores, es esencial seguir algunas prácticas.

• aplicar parches de seguridad constantemente,
• configurar reglas estrictas de acceso, y
• monitorear continuamente la red en busca de actividad inusual.

Esto es especialmente importante en ataques de ransomware. Y es que este tipo de malware puede cifrar las VMs y dañar múltiples servicios a la vez

Otros ataques

Los ataques de ransomware que involucran a las familias Akira y Fog también se han beneficiado de los sistemas que ejecutan VPN SSL de SonicWall. Estos no tienen parches contra CVE-2024-40766 para vulnerar las redes de las víctimas. Se han detectado hasta 30 nuevas intrusiones que aprovechan esta táctica entre agosto y mediados de octubre de 2024. Así lo afirmó Arctic Wolf.

Estos eventos reflejan la continua evolución del ransomware. Muestran también la amenaza persistente que representa para las organizaciones de todo el mundo. Esto a pesar de que los esfuerzos de las fuerzas del orden para desmantelar los grupos de ciberdelincuentes han provocado una mayor fragmentación.

Algunas estadísticas

El mes pasado, Secureworks reveló que el número de grupos de ransomware activos ha experimentado un aumento interanual del 30%. Esto ha sido impulsado por la aparición de 31 nuevos grupos en el ecosistema.

A pesar de este crecimiento de los grupos de ransomware, el número de víctimas no aumentó al mismo ritmo, lo que muestra un panorama significativamente más fragmentado que plantea la pregunta de qué tan exitosos podrían ser estos nuevos grupos.

Así informó dijo la firma de ciberseguridad, que adquirida por Sophos a principios del próximo año.

Los datos compartidos por NCC Group muestran que en septiembre de 2024 se registraron un total de 407 casos de ransomware. Frente a los 450 de agosto, supone una caída del 10 % respecto del mes anterior. Por el contrario, en septiembre de 2023 se registraron 514 ataques de ransomware. Algunos de los principales sectores atacados durante ese período incluyen el industrial, el de consumo discrecional y el de tecnología de la información.

Pero eso no es todo. En los últimos meses, el uso de ransomware se ha extendido a grupos de hackers activistas con motivaciones políticas. Entre estos está CyberVolk, que ha utilizado el «ransomware como herramienta de represalia«.

Respuestas

Mientras tanto, los funcionarios estadounidenses están buscando nuevas formas de contrarrestar el ransomware. Entre ellas, instar a las compañías de seguros cibernéticos a que dejen de reembolsar los pagos de rescates en un intento de disuadir a las víctimas de pagar en primer lugar.

Algunas pólizas de compañías de seguros (por ejemplo, las que cubren el reembolso de los pagos de ransomware) incentivan el pago de rescates que alimentan los ecosistemas de delitos cibernéticos.

Esto escribió Anne Neuberger en el Financial Times. Ella es asesora adjunta de seguridad nacional de Estados Unidos para ciberseguridad y tecnología emergente.

Es una práctica preocupante que debe terminar.

Evitar la Dependencia en VMware y Otros Consejos de Seguridad en Linux

Los servidores ESXi de VMware son objetivos comunes para el ransomware Ymir y otros. Esto es debido a su popularidad en la virtualización empresarial y el valor de los datos que alojan. Al depender de soluciones comerciales, muchas empresas se ven limitadas en cuanto a las configuraciones y actualizaciones necesarias para evitar vulnerabilidades, especialmente si no mantienen contratos de soporte actualizados.

Para reducir estos riesgos, considera la migración a plataformas de virtualización de código abierto, que ofrecen una mayor flexibilidad y control sin depender de contratos de soporte. Existen varias opciones de virtualización de código abierto que ofrecen buen desempeño y cuentan con amplias comunidades de soporte. Esto las hace atractivas para quienes desean un control directo sin estar atados a contratos.

Algunas alternativas recomendadas incluyen.

1. Proxmox VE. Ofrece una solución de virtualización con soporte para contenedores y máquinas virtuales, permitiendo una gestión eficiente y segura sin licencias comerciales.

2. KVM y libvirt. Una combinación poderosa y flexible que se integra directamente en el kernel de Linux y permite una administración avanzada de máquinas virtuales sin necesidad de soluciones comerciales.

3. Xen Project. Una opción robusta de código abierto que permite gestionar entornos complejos de manera flexible y segura.

Conclusión

El ransomware Ymir nos recuerda la importancia de reforzar la seguridad en todos los sistemas, tanto Windows como Linux. Migrar hacia soluciones de virtualización de código abierto puede brindar una mayor independencia, flexibilidad y, en muchos casos, una mejor seguridad.

• Asegúrate de mantener todos los sistemas actualizados.
• Implementa respaldos regulares. y,
• Sobre todo, educa a tu equipo en buenas prácticas de seguridad para minimizar el riesgo de ataques.