Un nuevo tipo de ransomware, denominado Ymir, fue identificado en Colombia, según el equipo global de respuesta a emergencias de Kaspersky.
Este malware, que nunca antes había sido visto en uso activo, fue desplegado tras el robo de credenciales de empleados en una organización colombiana.
Ahora puede seguirnos en Facebook y en nuestro WhatsApp Channel.
Ymir se distingue por su uso de técnicas avanzadas de sigilo y encriptación, lo que le permite seleccionar archivos específicos y evadir la detección.
El ransomware utiliza el algoritmo de cifrado ChaCha20, conocido por su velocidad y seguridad, superando incluso al Estándar de Encriptación Avanzada (AES, por su nombre en inglés).
Además, los atacantes pueden especificar un directorio donde el ransomware debe buscar archivos mediante el comando –path. Si un archivo está en la lista blanca, el ransomware lo omite, lo que otorga a los atacantes un control significativo sobre qué se encripta y qué no.
Los expertos de Kaspersky observaron que los autores de la amenaza emplearon una combinación poco convencional de funciones de gestión de memoria, como malloc, memmove y memcmp, para ejecutar el código malicioso directamente en la memoria. Este enfoque se desvía del flujo de ejecución secuencial típico de los ransomware más comunes, mejorando sus capacidades de sigilo.