Ransomware Ymir: una amenaza aterradora para los datos y las redes

¿Qué es Ymir Ransomware?

Ymir Ransomware representa un tipo sofisticado de ransomware que cifra los archivos en los sistemas afectados, utilizando el algoritmo criptográfico ChaCha20. Esta forma de ransomware es particularmente intimidante debido a su método único para cambiar el nombre de los archivos afectados, agregando una extensión que comprende caracteres aleatorios. Por ejemplo, un archivo inicialmente llamado "document.pdf" podría cambiarse a "document.pdf.6C5oy2dVr6", lo que significa que ahora es inaccesible sin la clave de descifrado.

Después del proceso de cifrado, el ransomware Ymir deja una huella notable. Las víctimas encuentran una nota de rescate titulada "INCIDENT_REPORT.pdf" en cada carpeta comprometida. Además, Ymir muestra un mensaje de advertencia en pantalla completa antes de la pantalla de inicio de sesión, subrayando que la red ha sido violada, los datos han sido cifrados y se ha robado información confidencial.

Aquí está la nota de rescate completa:

#? What happened?
Your network has been compromised and attacked by hackers.
All files have been modified.
Sensitive information has been stolen and handed over to our
experts for analysis.

#? Why did this happen?
Your security system was weak, it allowed your company to be
hacked.

#? What are the possible consequences?
You won't be able to use your data, so the company is frozen. You
will lose money every day.
If you refuse to make a deal, your data will be published on the
internet, sold on darknet forums, shared with journalists and your
competitors.
You will suffer reputational damage, your stock will drop in value,
clients and sponsors will lose trust in you.
Also, if the incident becomes public, you will be noticed by law
enforcement agencies and then a long investigation with freezing
of your company will begin.
You'll get multiple fines in excess of the deal.

#? What do I get if I make a deal?
You get file recovery software. We'll remove the stolen data from our servers and provide proof.
You'll get an incident report and recommendations for protection.
You'll get a guarantee that our team will add you to our whitelist of
untouchable companies and we'll never come back to you again. We will not report the incident to anyone.

#? # Why are you doing this?
We're only interested in the money. We don't care about the rest. We also take pleasure in what we do.

#? How can I trust you?
You have no choice, either you lose everything or you trust us. We don't plan to deceive you. We operate in a public space, every
action we take is discussed.
If we defraud even 1 company, we will never be able to make a
good deal. We will definitely recover your files and we will definitely keep
everything confidential.
We are specialists with years of experience and we respect
ourselves and our reputation.
You'll see that we're a bargain when you contact us.

#? How do I proceed if I don't believe a word you say?
You can go to the recovery or the enforcers, but it will definitely
cost you more than dealing with us.
Recovery will buy our software with your token and sell it to you at
a 300% markup.
The enforcers will trample your company, talk to the lawyers, they
will tell you the consequences.

#? I'm the administrator of this network, what do I do?
Don't try to make a deal on your own, you won't have enough
salary for a few years.
Report the incident to your bosses. They'll find out anyway. We
have their contacts and we'll let them know in three days if no one
contacts us.
If you try to rebuild the network alone and hide the incident from
your bosses, you'll delay the inevitable. At some point, they'll hear
about it on the news and be furious that you denied them the
opportunity to save their company.

#? What do I do?
The first thing you should do is inform your bosses about the
incident.
You'll have to pay us to recover your files. Only we have the unique
token.
Don't try to use any third-party applications to recover your files,
they may be damaged irretrievably.
You need to contact us
You can send us 1-3 modified files and we will prove that we can
recover them. We will provide proof of the stolen data.

RecoverySupport@onionmail.org
To contact us, install qTOX messenger.
hxxps://github.com/qTox/qTox/releases/download/v1.17.6/setupqtox-x86_64-release.exe
Add our contact and we can make a deal.

Tox ID:
CF9AE1B27EAA4BF8C223735BEA15AAE23D5BA312B9D9061C805ABD99C373530DBDCC18B7C3BF

Entendiendo cómo funciona el ransomware Ymir

La alerta de pantalla completa desempeña un papel fundamental en la estrategia de Ymir, ya que destaca las consecuencias de la vulneración y disuade a las víctimas de intentar descifrar los datos por medios externos. Los atacantes destacan que el uso de métodos de descifrado no autorizados podría provocar daños irreparables en los archivos. Este mensaje intimidante insta a las víctimas a informar a las autoridades pertinentes de sus organizaciones, lo que aumenta la presión para que actúen según las exigencias de los atacantes.

La nota de rescate en formato PDF que acompaña al documento refuerza esta urgencia, explicando que el pago del rescate proporcionará las herramientas de descifrado necesarias y garantías de que los datos robados se borrarán de los servidores de los atacantes. La nota advierte que, en caso de no cumplir con el pago, los datos pueden filtrarse en línea, venderse en mercados de la red oscura o proporcionarse a competidores, lo que podría suponer una importante pérdida financiera y de reputación.

¿Qué quiere el ransomware Ymir?

El ransomware Ymir opera con un motivo claro: el lucro económico. Los atacantes exigen un pago a cambio de la herramienta de descifrado y de impedir la divulgación de los datos robados. Esta estrategia de doble amenaza no solo presiona a las víctimas para que paguen para restaurar el acceso a sus archivos, sino que también aprovecha el miedo a la exposición de los datos públicos, lo que podría tener graves repercusiones para las organizaciones afectadas.

Para convencer a las víctimas de su credibilidad, los operadores del ransomware ofrecen descifrar hasta tres archivos como prueba y proporcionar pruebas del robo de datos. Esta táctica genera confianza en las afirmaciones de los atacantes y empuja a las víctimas a cumplir con las normas.

La mecánica detrás de la infiltración de Ymir

Los ataques de Ymir se caracterizan por operaciones coordinadas y multifacéticas. La infiltración inicial en la red suele producirse mediante comandos de PowerShell para el control remoto. El robo de datos suele preceder a la fase de cifrado, que suele realizarse mediante el malware RustyStealer. Herramientas adicionales como Process Hacker y Advanced IP Scanner facilitan el acceso al sistema y la travesía de la red de Ymir, mientras que las operaciones de memoria avanzadas facilitan la evasión de la detección.

Estas operaciones basadas en la memoria implican la ejecución de código de forma incremental para evitar que se activen las alarmas. Cientos de llamadas a funciones insertan instrucciones maliciosas en la memoria, lo que mejora el sigilo de Ymir y le permite eludir las medidas de seguridad convencionales.

Habilidades de autopropagación de Ymir

La capacidad de Ymir de propagarse por redes locales añade otra capa de complejidad. Esta autopropagación se habilita a través de malware WinRM (Administración remota de Windows) y SystemBC, que aprovecha los comandos de PowerShell para una ejecución sin problemas. Estos métodos aumentan el daño potencial, ampliando el alcance de un único sistema comprometido a una red completa de dispositivos conectados.

Los desafíos del descifrado y la recuperación de datos

Descifrar archivos cifrados por Ymir sin la cooperación de los atacantes suele ser imposible. Esta realidad subraya el poder que tienen los atacantes de ransomware una vez que se compromete un sistema. Incluso cuando las víctimas deciden cumplir y pagar el rescate, no hay certeza de que se les proporcionen las herramientas de descifrado prometidas o de que los datos robados se eliminen de forma segura. Por lo tanto, los expertos en ciberseguridad desaconsejan encarecidamente pagar, ya que perpetúa la actividad delictiva y financia el desarrollo de ransomware.

La única forma segura de recuperar archivos comprometidos es a través de copias de seguridad preexistentes que no hayan sido afectadas. Garantizar que estas copias de seguridad se almacenen por separado (por ejemplo, en dispositivos sin conexión o servidores remotos) es fundamental para las organizaciones que desean recuperarse de incidentes de ransomware.

Medidas preventivas y mejores prácticas

Dado el complejo enfoque de Ymir, es fundamental prevenir las infecciones de ransomware. La mayoría de los programas de ransomware, incluido Ymir, se propagan a través de correos electrónicos de phishing, publicidad maliciosa y descargas maliciosas disfrazadas de software legítimo. Los usuarios deben tener cuidado al manipular correos electrónicos de fuentes desconocidas y evitar hacer clic en enlaces o archivos adjuntos sospechosos. Descargar software únicamente de fuentes verificadas y asegurarse de que los programas se mantengan actualizados a través de canales oficiales puede mitigar el riesgo de exposición al ransomware.

Se recomienda mantener copias de seguridad en varias ubicaciones seguras. Al tener copias de seguridad limpias almacenadas en servidores remotos o dispositivos de almacenamiento fuera de línea, las víctimas pueden evitar los pagos de rescate y recuperar sus archivos de forma independiente.

Reflexiones finales

El ransomware Ymir es un duro recordatorio del panorama cambiante de las amenazas cibernéticas. Su combinación de técnicas avanzadas de cifrado, exfiltración de datos y estrategias de ataque en varias etapas plantea desafíos importantes para las organizaciones. La vigilancia y el cumplimiento de las mejores prácticas de ciberseguridad siguen siendo la primera línea de defensa para proteger datos valiosos y mantener la integridad de la red.