AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Japón lanza descifradores gratuitos para Phobos y 8Base: un golpe a las operaciones de ransomware**

admin

### 1. Introducción

En un movimiento poco habitual y de gran relevancia para la comunidad de ciberseguridad, la policía japonesa ha anunciado el lanzamiento de herramientas de descifrado gratuitas dirigidas a las variantes de ransomware Phobos y 8Base. Esta acción permite a las víctimas recuperar sus archivos cifrados sin coste alguno, debilitando así la capacidad de extorsión de estos grupos criminales. La eficacia de estas herramientas ha sido confirmada por medios especializados como BleepingComputer, lo que ha generado un notable interés en los equipos de operaciones de seguridad (SOC), CISOs y analistas de amenazas a nivel internacional.

### 2. Contexto del Incidente o Vulnerabilidad

Phobos y 8Base son familias de ransomware conocidas por su agresividad y amplia distribución. Phobos, activo desde finales de 2018, se ha caracterizado por atacar principalmente a pymes y organizaciones con recursos limitados para la defensa y la respuesta ante incidentes. Por su parte, 8Base, identificado en 2022, se ha vinculado con campañas de doble extorsión, combinando cifrado de datos y amenazas de filtración.

Ambas familias emplean tácticas de acceso inicial similares, como el aprovechamiento de credenciales RDP débiles o phishing, y han sido responsables de cientos de incidentes a nivel mundial, con un impacto económico estimado en decenas de millones de euros. Las campañas de Phobos y 8Base han afectado especialmente a sectores como sanidad, administración local y educación, aunque ningún sector ha estado exento.

### 3. Detalles Técnicos

Las herramientas liberadas por la policía japonesa abordan variantes conocidas de Phobos y 8Base, permitiendo el descifrado de archivos afectados por extensiones comunes como `.phobos`, `.phoenix`, `.actin`, `.sarma` y `.8base`, entre otras.

**CVE y vectores de ataque:** Aunque Phobos y 8Base no explotan vulnerabilidades específicas identificadas con un CVE concreto, su vector de ataque más habitual es el acceso mediante servicios RDP expuestos, fuerza bruta o credenciales comprometidas. Una vez en el sistema, los operadores despliegan el ransomware, cifran los archivos y eliminan copias de seguridad locales.

**TTPs y MITRE ATT&CK:**
– **TA0001: Initial Access** (Phishing, Valid Accounts)
– **TA0002: Execution** (User Execution, Command and Scripting Interpreter)
– **TA0040: Impact** (Data Encrypted for Impact, Inhibit System Recovery)

**IoC (Indicadores de compromiso):**
– Extensiones: `.phobos`, `.phoenix`, `.8base`
– Notas de rescate con títulos como `info.txt`, `phobos.hta`, etc.
– Direcciones de correo y Telegram en las notas de rescate
– Herramientas auxiliares: Cobalt Strike, Metasploit para movimiento lateral y persistencia

Las herramientas de descifrado desarrolladas por la policía japonesa analizan las claves de cifrado empleadas por las muestras conocidas y, mediante ingeniería inversa, logran restaurar los archivos comprometidos sin recurrir al pago del rescate.

### 4. Impacto y Riesgos

El impacto de Phobos y 8Base ha sido significativo en los últimos años. Según datos de ID Ransomware, Phobos ha representado aproximadamente un 4,5% de todas las detecciones de ransomware reportadas en 2023, mientras que 8Base ha crecido hasta alcanzar el 2% en el primer semestre de 2024. En términos económicos, los rescates exigidos oscilan entre 10.000 y 100.000 euros, dependiendo del tamaño de la organización.

El mayor riesgo para las víctimas hasta ahora era la pérdida irreversible de datos o la filtración de información confidencial, lo que suponía también un posible incumplimiento de normativas como el GDPR o la inminente NIS2, exponiendo a las empresas a sanciones administrativas y daños reputacionales.

### 5. Medidas de Mitigación y Recomendaciones

A pesar de la disponibilidad de los descifradores, se recomienda adoptar una estrategia de defensa en profundidad:

– **Segmentación de red y restricción de RDP:** Limitar el acceso remoto solo a IPs autorizadas y mediante VPN.
– **Gestión de credenciales:** Uso de MFA, rotación periódica y auditoría de cuentas privilegiadas.
– **Backups offline:** Mantener copias de seguridad desconectadas y probar regularmente su restauración.
– **Monitorización de IoC:** Integrar reglas de detección para extensiones y artefactos relacionados con Phobos y 8Base en SIEM y EDR.
– **Formación continua:** Simulacros de phishing y concienciación para usuarios.

### 6. Opinión de Expertos

Varios expertos consultados valoran positivamente la iniciativa japonesa. Según Yusuke Osumi, investigador de Trend Micro, “el hecho de que una fuerza policial haya conseguido la ingeniería inversa del cifrado de Phobos y 8Base indica puntos débiles en la implementación criptográfica de estos grupos”.

Por otro lado, Josep Albors, director de investigación de ESET España, advierte: “Aunque este tipo de descifradores son una excelente noticia, no garantizan una solución universal. Los grupos criminales suelen modificar rápidamente sus muestras para evadir estas herramientas”.

### 7. Implicaciones para Empresas y Usuarios

Para los responsables de seguridad, la publicación de estos descifradores supone una oportunidad para recuperar activos críticos sin negociar con actores maliciosos, lo que reduce el incentivo económico para los criminales y limita la financiación de nuevas campañas.

Sin embargo, confiar únicamente en herramientas de descifrado es un error estratégico. La proliferación de variantes y la capacidad de adaptación de los grupos de ransomware obligan a mantener una postura proactiva en materia de prevención y respuesta ante incidentes.

### 8. Conclusiones

El lanzamiento de herramientas de descifrado para Phobos y 8Base por parte de la policía japonesa constituye un avance relevante en la lucha contra el ransomware. Aunque no elimina el riesgo ni sustituye a una estrategia integral de ciberseguridad, ofrece un recurso valioso para las víctimas y refuerza la cooperación internacional en la mitigación de amenazas cibernéticas. La rápida adaptación de los grupos criminales exige a los profesionales del sector mantenerse alerta, reforzar las defensas y priorizar la prevención para limitar el impacto de futuras oleadas de ransomware.

(Fuente: www.bleepingcomputer.com)