**El grupo de ransomware amenaza con filtrar archivos robados tras retirar la lista de víctimas de su web**
—
### 1. Introducción
El panorama del ransomware sigue evolucionando a gran velocidad, y los actores de amenazas perfeccionan constantemente sus tácticas de extorsión. En los últimos días, uno de los grupos más activos del ecosistema ha generado inquietud al anunciar su intención de filtrar progresivamente los archivos robados a sus víctimas, incluso después de haber retirado la lista pública de empresas afectadas de su sitio web. Este cambio de estrategia supone un riesgo adicional, tanto para los equipos de ciberseguridad como para las organizaciones responsables de proteger datos sensibles bajo normativas como el GDPR o la reciente directiva NIS2.
—
### 2. Contexto del Incidente o Vulnerabilidad
Durante las últimas semanas, el grupo de ransomware en cuestión —cuyo nombre se mantiene en discusión en foros especializados— había mantenido una lista pública de víctimas en su sitio de la dark web, un mecanismo común en la “doble extorsión”. Sin embargo, en un giro inesperado, el grupo ha retirado dicha lista, lo que inicialmente generó especulaciones sobre una posible disolución, una negociación a gran escala o un cambio de infraestructura. No obstante, a las pocas horas de esta acción, el propio grupo comunicó su intención de filtrar progresivamente el resto de los archivos exfiltrados, intensificando la presión sobre las empresas afectadas y planteando nuevos desafíos a la respuesta ante incidentes.
—
### 3. Detalles Técnicos
El modus operandi del grupo se alinea con los patrones observados en la técnica de doble y triple extorsión, ampliamente descritas en el framework MITRE ATT&CK (T1486 – Data Encrypted for Impact y T1565.001 – Data Manipulation: Stored Data Manipulation). Inicialmente, los atacantes comprometen los sistemas mediante el aprovechamiento de vulnerabilidades conocidas —por ejemplo, CVE-2023-34362 (MOVEit Transfer), CVE-2024-21410 (Microsoft Exchange), o mediante phishing dirigido— para desplegar payloads de ransomware y herramientas de exfiltración como Cobalt Strike, Rclone o MegaSync.
Una vez obtienen acceso privilegiado (T1078 – Valid Accounts), escalan privilegios y mapean la red (T1087.002 – Account Discovery: Domain Account), seleccionando datos críticos para exfiltrar (T1041 – Exfiltration Over C2 Channel). El proceso de cifrado y robo de información se realiza en paralelo para aumentar la presión extorsiva. Habitualmente, el grupo deja una nota de rescate y publica los nombres de las víctimas en su sitio web; sin embargo, la retirada de esta lista y el anuncio de filtraciones escalonadas supone una variación táctica significativa.
Se han identificado indicadores de compromiso (IoCs) asociados, incluyendo direcciones IP de C2, hashes de archivos y dominios maliciosos que son monitorizados por los principales proveedores de threat intelligence. La distribución de exploits, en ocasiones, se realiza a través de kits en foros clandestinos y mediante frameworks como Metasploit, facilitando la réplica de los ataques por afiliados o grupos asociados.
—
### 4. Impacto y Riesgos
El impacto potencial de la filtración escalonada de los archivos es considerable. Según estimaciones del sector, el 62% de las organizaciones que sufren un ataque de ransomware experimentan pérdidas económicas directas superiores a los 1,5 millones de euros, sin contar los costes asociados a la interrupción operativa y la pérdida reputacional. La exfiltración y publicación de datos puede incluir información corporativa sensible, credenciales, datos personales protegidos por el GDPR, y en algunos casos, propiedad intelectual crítica.
Desde el punto de vista regulatorio, la divulgación de información personal sin el consentimiento de los titulares implica sanciones severas, de hasta el 4% de la facturación global anual según el GDPR. La nueva directiva NIS2, de obligado cumplimiento para sectores esenciales y digitales a partir de 2024, endurece aún más los requisitos de notificación y protección ante incidentes.
—
### 5. Medidas de Mitigación y Recomendaciones
Para mitigar los riesgos derivados de este tipo de ataques, se recomienda implementar una estrategia de defensa en profundidad que contemple:
– Identificación y parcheo inmediato de vulnerabilidades conocidas (gestión proactiva de CVEs).
– Segmentación de red y restricciones de privilegios.
– Monitoreo avanzado de tráfico lateral y detección de movimientos anómalos (EDR, NDR).
– Almacenamiento seguro de copias de seguridad offline y pruebas periódicas de restauración.
– Concienciación y formación continua a empleados sobre phishing y amenazas sociales.
– Revisión de acuerdos y pólizas de ciberseguro.
– Notificación temprana a las autoridades competentes (AEPD, CSIRT) en caso de brechas de datos.
—
### 6. Opinión de Expertos
Analistas de equipos SOC y responsables de respuesta ante incidentes destacan que el cambio de estrategia de los grupos de ransomware, orientado a una filtración dosificada, busca prolongar la presión sobre las víctimas y maximizar el retorno económico. Según un informe reciente de ENISA, la tendencia a la extorsión múltiple y el uso de datos como arma de negociación se consolidará en 2024, complicando los procesos de remediación y recuperación.
—
### 7. Implicaciones para Empresas y Usuarios
La amenaza de filtraciones progresivas incrementa la exposición a riesgos legales, financieros y reputacionales. Para las organizaciones, la coordinación entre los equipos legales, de TI y comunicación es esencial para gestionar el impacto. Los usuarios, por su parte, pueden verse afectados por el robo de datos personales y el aumento de campañas de phishing personalizado derivadas de las filtraciones.
—
### 8. Conclusiones
El anuncio de filtraciones escalonadas tras la retirada de la lista de víctimas marca una evolución preocupante en el ciclo de vida de los ataques de ransomware. Las organizaciones deben reforzar sus capacidades de detección, respuesta y gestión de crisis para hacer frente a una amenaza que trasciende el mero cifrado y exige una protección integral de la información.
(Fuente: www.darkreading.com)