Oleada de ataques dirigidos en India utilizando Makop ransomware y el loader Guloader

Introducción

En el panorama actual de ciberamenazas, el ransomware sigue consolidándose como una de las mayores preocupaciones para equipos de seguridad y responsables de la protección de infraestructuras críticas. Una reciente investigación técnica revela una radiografía detallada sobre la evolución y actividad del ransomware Makop, activo desde 2020 y derivado de la familia Phobos, destacando su presencia significativa en ataques recientes dirigidos contra organizaciones en la India. Además, se detecta la colaboración operativa de Makop con el loader Guloader, optimizando así la distribución y ejecución del ransomware en entornos corporativos.

Contexto del Incidente o Vulnerabilidad

Makop ha mantenido una actividad constante en los últimos años, principalmente orientada a la extorsión mediante cifrado de datos y negociación de rescates. A diferencia de amenazas más mediáticas —como Conti o LockBit—, Makop ha operado con un perfil relativamente bajo, perfeccionando sus tácticas y expandiendo su alcance geográfico. El informe reciente documenta una oleada de ataques focalizados en la India durante el último trimestre, aprovechando la infraestructura de Guloader para impulsar campañas de infección masiva dirigidas a sectores como manufactura, educación y servicios financieros.

Detalles Técnicos

Makop: Evolución técnica y modus operandi

Makop, identificado por primera vez en 2020, presenta una arquitectura modular heredada de su predecesor Phobos, pero incorpora mecanismos de evasión y persistencia mejorados. La variante más reciente, documentada en el informe, emplea cifrado simétrico AES combinado con RSA de 2048 bits para asegurar la inquebrantabilidad del proceso de recuperación de archivos sin la clave privada.

Los vectores de ataque predominantes incluyen campañas de phishing con archivos adjuntos maliciosos, así como la explotación de vulnerabilidades en servicios RDP expuestos o credenciales robadas mediante ataques de fuerza bruta. El despliegue de Guloader —un loader ampliamente utilizado en entornos criminales— facilita la entrega en memoria del payload de Makop, minimizando la huella en disco y dificultando la detección por soluciones antimalware tradicionales.

TTP (Tácticas, Técnicas y Procedimientos) y MITRE ATT&CK

Makop y Guloader se alinean con múltiples técnicas del framework MITRE ATT&CK:

– T1193 (Spearphishing Attachment)
– T1059 (Command and Scripting Interpreter)
– T1071 (Application Layer Protocol)
– T1486 (Data Encrypted for Impact)
– T1027 (Obfuscated Files or Information)
– T1566 (Phishing)

Indicadores de Compromiso (IoC)

El informe proporciona hashes de las variantes más recientes, direcciones IP de servidores C2 asociados, y patrones de correo electrónico utilizados en las comunicaciones de extorsión. Asimismo, se han identificado cadenas específicas de encabezados en los artefactos maliciosos desplegados por Guloader y Makop.

Impacto y Riesgos

El impacto de Makop en las organizaciones indias ha sido significativo. Se estima que al menos un 12% de las empresas del sector manufacturero y educativo han recibido intentos de intrusión asociados a esta campaña en los últimos tres meses. Los rescates exigidos oscilan entre 1,5 y 4 BTC, dependiendo del tamaño y sector de la compañía. Además del cifrado de información crítica, los operadores de Makop amenazan con la publicación de datos sensibles, alineándose con la tendencia del doble chantaje.

Las pérdidas económicas directas e indirectas —incluyendo rescates, costes de recuperación y daño reputacional— superan los 75 millones de euros, según estimaciones preliminares.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan un enfoque multicapa para mitigar el riesgo de infección por Makop y Guloader:

– Actualización inmediata de parches de seguridad, especialmente en servicios RDP y VPN.
– Implementación de MFA (autenticación multifactor) en todos los accesos remotos.
– Endurecimiento de políticas de correo electrónico y formación continua en concienciación ante phishing.
– Monitorización activa de IoC conocidos y análisis de logs en SIEMs.
– Segmentación de red y aplicación estricta del principio de mínimo privilegio.
– Copias de seguridad offline y testeo regular de procedimientos de recuperación.
– Despliegue de EDRs con capacidades antimalware avanzadas y sandboxing.
– Revisión periódica de los planes de respuesta ante incidentes.

Opinión de Expertos

Ilia Dafchev y Darrel Virtusio, autores del informe técnico, destacan que “Makop no es una amenaza nueva, pero su capacidad de adaptación y su integración con loaders como Guloader le otorgan una persistencia preocupante en el ecosistema de ransomware actual. El enfoque modular y el uso de cifrado robusto complican las labores de análisis y recuperación, especialmente en entornos empresariales con recursos limitados”.

Implicaciones para Empresas y Usuarios

Desde una perspectiva legal y de cumplimiento, la afectación por Makop puede suponer incumplimientos graves de normativas como GDPR y la inminente NIS2, exponiendo a las organizaciones a sanciones económicas y daños reputacionales. La tendencia a la colaboración entre diferentes actores criminales y el uso de herramientas como Guloader refuerzan la necesidad de adoptar una postura proactiva de ciberdefensa, priorizando la detección temprana y la respuesta coordinada ante incidentes.

Conclusiones

La campaña coordinada de Makop y Guloader en la India refleja la evolución de las amenazas de ransomware hacia modelos más sofisticados y colaborativos, impulsados por loaders especializados y técnicas avanzadas de evasión. La protección eficaz requiere no solo tecnologías actualizadas, sino una cultura de seguridad transversal y adaptada a los nuevos retos normativos y de amenaza. El aprendizaje continuo y la colaboración sectorial serán claves para mitigar el impacto de futuras oleadas.

(Fuente: www.cybersecuritynews.es)