### Nuevo ransomware con falsa identidad hebrea pone en alerta a la comunidad de ciberseguridad
#### Introducción
El ecosistema del ransomware sigue evolucionando con la aparición de nuevas variantes que desafían tanto a los equipos de seguridad como a los investigadores. En los últimos meses, un ransomware de reciente aparición ha captado la atención de la comunidad técnica por dos motivos principales: su código mal diseñado y la adopción de una supuesta identidad hebrea que, según expertos en análisis de amenazas, podría tratarse de un intento deliberado de despistar a los equipos de respuesta y dificultar la atribución.
#### Contexto del Incidente
Este ransomware, detectado inicialmente a finales de 2023, comenzó a propagarse en campañas de bajo perfil, afectando principalmente a pequeñas y medianas empresas en Europa y América del Norte. A diferencia de otros grupos como LockBit o BlackCat, esta nueva familia ha optado por operar bajo un nombre y mensajes en hebreo, tanto en el cuerpo del ransomware como en las notas de rescate. Sin embargo, los análisis lingüísticos y culturales realizados por equipos de threat intelligence sugieren que este uso del hebreo es superficial y probablemente una táctica de “false flag” (bandera falsa) destinada a confundir a los analistas y a los órganos reguladores.
#### Detalles Técnicos
El ransomware ha sido identificado en entornos Windows, afectando máquinas con versiones desde Windows 7 hasta Windows 11, así como servidores Windows Server 2012 y posteriores. No se ha asignado aún un CVE específico, ya que no explota una vulnerabilidad concreta del sistema operativo, sino que utiliza técnicas clásicas de vector de ataque:
– **Vectores de ataque:** El acceso inicial se produce principalmente mediante spear phishing con adjuntos ZIP maliciosos o enlaces a scripts de PowerShell ofuscados. También se han observado tentativas de explotación de servicios RDP expuestos y credenciales comprometidas obtenidas vía stealer malware.
– **TTPs MITRE ATT&CK:**
– **Initial Access (T1566, T1078)**
– **Execution (T1059)**
– **Defense Evasion (T1027)**
– **Impact (T1486)**
– **IoCs conocidos:** Los ejecutables del ransomware presentan hash SHA256 únicos, pero el cifrado de archivos deja la extensión “.kfir”, palabra hebrea que significa “cachorro de león”. La nota de rescate, también en hebreo, incluye una dirección de correo protonmail.com y una wallet de Bitcoin.
– **Calidad del código:** El análisis del binario revela errores de implementación, como rutas de archivos codificadas, fallos en la gestión de excepciones y ausencia de rutinas de evasión avanzadas. Esto sugiere que los desarrolladores carecen de experiencia o han lanzado el malware apresuradamente.
– **Herramientas empleadas:** No se ha observado integración directa con frameworks como Metasploit o Cobalt Strike, aunque las cargas útiles se distribuyen mediante loaders .NET personalizados.
#### Impacto y Riesgos
El impacto, por ahora, es limitado en comparación con otras campañas de ransomware más sofisticadas. Sin embargo, el ransomware es capaz de cifrar volúmenes locales y unidades de red mapeadas, inutilizando archivos críticos y provocando interrupciones operativas. Según informes de incidentes, el rescate exigido oscila entre los 0,5 y 2 BTC (aproximadamente 28.000 a 112.000 euros al cambio actual). Se estima que unas 150 organizaciones han sido afectadas desde su aparición, aunque no existen datos confirmados sobre pagos realizados.
El riesgo principal radica en la baja calidad del código: algunos archivos cifrados han resultado irrecuperables aun pagando el rescate, lo que incrementa la gravedad del incidente y la pérdida potencial de datos.
#### Medidas de Mitigación y Recomendaciones
Dada la naturaleza de los vectores de ataque, se recomienda a los equipos de seguridad implementar las siguientes medidas:
– **Segmentación de red** y limitación de privilegios de usuario.
– **Bloqueo de macros y scripts no firmados** en estaciones de trabajo.
– **Monitorización activa** de logs de acceso remoto y autenticaciones anómalas.
– **Actualización de sistemas** y desactivación de servicios RDP innecesarios.
– Implementación de **copias de seguridad offline** y pruebas periódicas de restauración.
– **Concienciación y formación** de empleados para detectar campañas de phishing dirigidas.
Asimismo, es crucial reportar los incidentes conforme a la **RGPD** y, en el caso de operadores de servicios esenciales, bajo la **Directiva NIS2**.
#### Opinión de Expertos
Expertos en ciberinteligencia consideran que la identidad hebrea es un claro intento de desinformación. “El uso superficial de la lengua y símbolos hebreos, junto con errores gramaticales, sugiere un ‘false flag’ para complicar la atribución. Es una táctica cada vez más común entre actores emergentes que quieren desviar la atención de su origen real”, destaca Marta Gutiérrez, analista de amenazas en una consultora europea.
Además, la baja sofisticación técnica puede ser un arma de doble filo: aunque reduce su eficacia en grandes organizaciones, dificulta la recuperación de datos y agrava el daño a las víctimas.
#### Implicaciones para Empresas y Usuarios
Para las empresas, especialmente las pymes, este ataque pone de relieve la necesidad de controles básicos de ciberhigiene y el refuerzo de la formación interna. Los usuarios finales deben extremar la precaución ante correos sospechosos y estar atentos a posibles brechas de credenciales.
A nivel de cumplimiento, la aparición de nuevos actores con tácticas de “false flag” complica la labor de los CSIRT y los órganos reguladores, requiriendo una mayor inversión en threat intelligence y respuesta coordinada.
#### Conclusiones
La emergencia de este ransomware, aunque técnicamente deficiente, ejemplifica la diversificación de tácticas y la importancia de la atribución en la industria. Los ciberdelincuentes exploran nuevas vías para eludir la detección y las investigaciones, mientras que las organizaciones deben reforzar su postura defensiva y adoptar un enfoque proactivo frente a amenazas emergentes.
(Fuente: www.darkreading.com)