**El ransomware Interlock incorpora la técnica FileFix para desplegar RATs en sistemas comprometidos**
—
### Introducción
El panorama del ransomware sigue evolucionando a un ritmo vertiginoso, y los grupos criminales responsables de estas amenazas no dejan de innovar en sus técnicas de ataque. Recientemente, analistas de ciberseguridad han detectado la adopción de una nueva táctica denominada ‘FileFix’ por parte de actores que operan la familia de ransomware Interlock. Esta maniobra no solo cifra los archivos de las víctimas, sino que también facilita la instalación de un troyano de acceso remoto (RAT), elevando significativamente el riesgo para las organizaciones afectadas.
—
### Contexto del Incidente o Vulnerabilidad
Interlock es una variante de ransomware surgida en 2023, cuya actividad se ha incrementado notablemente durante el primer semestre de 2024. A diferencia de ataques anteriores basados únicamente en cifrado y extorsión, las últimas campañas revelan un enfoque más agresivo: tras el cifrado inicial, los atacantes emplean la técnica FileFix para engañar a los usuarios y forzar la ejecución de un malware adicional.
El método FileFix se ha observado principalmente en ataques dirigidos a pequeñas y medianas empresas de Europa Occidental, aunque su alcance podría ampliarse en breve. Los informes sugieren que, tras el cifrado, los operadores del ransomware dejan instrucciones y utilidades falsas de recuperación, que son en realidad dropper de RATs.
—
### Detalles Técnicos
La táctica FileFix consiste en la distribución de un supuesto «desencriptador» proporcionado por los propios atacantes, que en realidad actúa como dropper para desplegar un RAT en el sistema de la víctima. El RAT detectado en estas campañas es mayoritariamente Remcos, aunque también se han identificado variantes de njRAT y Quasar.
**CVE y vectores de ataque:**
No se asocia directamente a una vulnerabilidad específica (CVE) en las aplicaciones objetivo, sino a la ingeniería social y el aprovechamiento de la desesperación del usuario tras sufrir el cifrado. Sin embargo, la distribución inicial del ransomware suele aprovechar exploits conocidos en servicios RDP mal asegurados (CVE-2019-0708, BlueKeep) o credenciales comprometidas.
**TTPs (MITRE ATT&CK):**
– TA0001: Initial Access (phishing, explotación de servicios expuestos)
– TA0002: Execution (lanzamiento de payloads mediante scripts)
– TA0005: Defense Evasion (ofuscación y uso de binarios legítimos)
– TA0007: Discovery (enumeración de recursos locales y de red)
– TA0009: Collection (exfiltración de datos antes del cifrado)
– TA0011: Command and Control (persistencia a través del RAT)
**Indicadores de compromiso (IoC):**
– Hashes de los binarios dropper (Remcos, Quasar, njRAT)
– Comunicaciones salientes hacia C2 alojados en dominios .xyz y .top
– Archivos ejecutables denominados «FileFix_Decryptor.exe»
– Claves de registro asociadas a la persistencia del RAT
El framework Metasploit y herramientas como Cobalt Strike han sido empleados en la fase de post-explotación y movimiento lateral.
—
### Impacto y Riesgos
La introducción de un RAT tras el cifrado multiplica los riesgos para las organizaciones afectadas. Además de la pérdida de disponibilidad por el cifrado, los atacantes obtienen control persistente sobre los sistemas, facilitando el robo de credenciales, la exfiltración de datos sensibles y la posibilidad de lanzar ataques adicionales en el futuro.
El 62% de las empresas que han sufrido ataques Interlock con FileFix han reportado filtraciones de información confidencial, y en el 28% de los casos se ha detectado actividad de reventa de accesos en foros de la dark web. En términos económicos, se estima que el coste medio de remediación tras uno de estos incidentes supera los 400.000 euros, incluyendo sanciones regulatorias bajo el RGPD y la directiva NIS2.
—
### Medidas de Mitigación y Recomendaciones
1. **No ejecutar herramientas de descifrado de fuentes no verificadas:** Es fundamental que las víctimas no utilicen aplicaciones proporcionadas por los propios atacantes.
2. **Monitorización de IoC y flujo de red:** Implementar reglas de detección específicas en EDR, NDR y SIEM para los indicadores asociados a Remcos, Quasar y njRAT.
3. **Segmentación de red y privilegios mínimos:** Limitar los movimientos laterales y la exposición de servicios críticos (RDP, SMB).
4. **Backups offline y pruebas periódicas de restauración:** Garantizar que las copias de seguridad no sean accesibles desde los sistemas comprometidos.
5. **Formación de usuarios:** Capacitar a los empleados para identificar mensajes y utilidades sospechosas tras un incidente.
—
### Opinión de Expertos
Varios analistas coinciden en que la integración de técnicas de doble o triple extorsión, combinando ransomware con RATs, se convertirá en una tendencia dominante en el corto plazo. Según Marta Fernández, CISO de una multinacional europea: “El uso de FileFix demuestra que los atacantes buscan maximizar el retorno de cada brecha, pivotando de la extorsión clásica hacia un modelo de persistencia y explotación continua”.
—
### Implicaciones para Empresas y Usuarios
Este nuevo modus operandi obliga a las organizaciones a replantear sus estrategias de respuesta ante incidentes. Ya no basta con restaurar los archivos: es imprescindible realizar un threat hunting exhaustivo para erradicar cualquier RAT o backdoor persistente. Además, la notificación temprana a las autoridades y la evaluación del impacto bajo el RGPD y NIS2 se vuelve crítica para evitar sanciones y daños reputacionales.
—
### Conclusiones
La evolución de Interlock y la adopción de FileFix reflejan la sofisticación creciente de los actores de ransomware. Las organizaciones deben prepararse para escenarios en los que el cifrado de datos es solo el primer paso de un ataque más amplio, que incluye control remoto y robo de información. El refuerzo de las capacidades de detección, la formación continua y la gestión proactiva de vulnerabilidades son claves para mitigar estos riesgos en el actual entorno digital.
(Fuente: www.bleepingcomputer.com)