Se ha detectado una nueva familia de ransomware llamada Ymir, la cual cifra sistemas previamente comprometidos por el malware de robo de información RustyStealer. Descubierto por Kaspersky, destaca por su ejecución en memoria, uso de Lingala en comentarios de código, notas de rescate en PDF y opciones configurables para extensiones cifradas, reflejando la creciente colaboración entre operaciones de cibercrimen.
Se ha confirmado que su operación comenzó en julio de 2024, atacando empresas a nivel mundial. Aunque se conecta a servidores externos que podrían facilitar la exfiltración de datos, esta funcionalidad no está incluida explícitamente en el ransomware.
EL ATAQUE
El ransomware Ymir, desplegado como carga final tras el acceso inicial facilitado por RustyStealer, opera exclusivamente en memoria para evadir detección, empleando ChaCha20 para cifrar archivos y dejando notas de rescate en formato PDF. Antes del despliegue, los atacantes comprometieron cuentas con privilegios elevados, realizaron movimientos laterales mediante WinRM y PowerShell, y usaron herramientas como Process Hacker y SystemBC para establecer canales encubiertos. Además, Ymir realiza reconocimiento del sistema, evita entornos de sandbox y emplea PowerShell para eliminar su ejecutable, reforzando su evasión y persistencia. A continuación, se presentan los Indicadores de Compromiso (IoCs) que pueden ser incorporados en sus sistemas de seguridad.
https://thehackernews.com/2024/10/new-perfctl-malware-targets-linux.html
