AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nueva Amenaza Ransomware: Grupo Fantasma Explota Vulnerabilidad en “Prince-Ransomware” para Extorsión Parcial de Datos**

admin

### 1. Introducción

En las últimas semanas, los equipos de ciberseguridad han observado un repunte de campañas de ransomware dirigidas a empresas europeas y norteamericanas, protagonizadas por un grupo criminal que adopta nombres de fantasmas japoneses pero que, según los análisis de inteligencia, opera desde Marruecos. Su herramienta principal: una variante modificada del “Prince-Ransomware”, la cual contiene un defecto técnico que permite la recuperación parcial de la información cifrada. No obstante, el riesgo de extorsión y fuga de datos permanece elevado, lo que obliga a los responsables de seguridad a extremar las precauciones.

### 2. Contexto del Incidente o Vulnerabilidad

El grupo en cuestión, autodenominado con nombres inspirados en el folclore sobrenatural nipón, ha centrado sus ataques en organizaciones del sector financiero, manufactura y servicios críticos desde abril de 2024. Si bien su naming pretende despistar a los analistas, múltiples indicadores de compromiso (IoC) y patrones de comportamiento en la infraestructura de red apuntan a actores marroquíes, ya conocidos por su participación en campañas de ransomware-as-a-service (RaaS) y extorsión digital.

La particularidad de este caso reside en el uso de una versión alterada del “Prince-Ransomware”, un malware de cifrado conocido en circuitos de cibercrimen desde 2022, pero que ahora contiene una vulnerabilidad inadvertida por los atacantes que ofrece a las víctimas una posibilidad limitada de recuperar parte de sus datos.

### 3. Detalles Técnicos

**CVE y Vectores de Ataque**
Hasta el momento, no se ha asignado un CVE específico a la variante modificada, aunque los vectores de entrada más comunes detectados corresponden a credenciales expuestas y phishing dirigido mediante correos electrónicos con archivos adjuntos maliciosos en formato .exe y .zip. La cadena de ataque se apoya en TTPs documentados en el framework MITRE ATT&CK, principalmente:

– **Initial Access (T1566.001)**: Phishing con archivos adjuntos.
– **Execution (T1059)**: Uso de scripts PowerShell para la descarga y ejecución del binario.
– **Lateral Movement (T1021.002)**: RDP y explotación de cuentas privilegiadas.
– **Impact (T1486)**: Cifrado de archivos críticos.

**Binario y Explotación**
El análisis forense revela que la muestra de Prince-Ransomware utilizada presenta un fallo en la rutina de cifrado simétrico AES-256, concretamente en la gestión de los vectores de inicialización (IV). Esto provoca que los archivos cifrados con extensiones .prince puedan ser parcialmente restaurados mediante herramientas de recuperación especializadas, aunque con limitaciones notables para bases de datos y archivos de gran tamaño.

**Herramientas y Frameworks**
Se ha constatado el uso de frameworks de post-explotación como Cobalt Strike y, en fases de movimiento lateral, herramientas legítimas de administración remota que dificultan la detección por herramientas EDR tradicionales.

**Indicadores de Compromiso (IoC)**
– Hashes de las muestras: SHA256 y MD5 proporcionados por VirusTotal.
– Direcciones IP de C2 ubicadas en Marruecos y proxys en Europa del Este.
– Dominio falso para extorsión: paneles .onion personalizados.

### 4. Impacto y Riesgos

Según datos de las primeras víctimas, se estima que el 40% de los archivos cifrados pueden ser parcialmente recuperados sin pagar el rescate, si bien la amenaza de publicación de datos exfiltrados persiste. El grupo exige pagos en Bitcoin equivalentes a entre 50.000 y 250.000 euros, dependiendo del tamaño y sector de la organización.

El impacto no se limita a la indisponibilidad de la información, sino que se agrava por la doble extorsión: los atacantes amenazan con filtrar información sensible en foros de la dark web y redes sociales. Bajo el marco regulador del GDPR y la inminente NIS2, las empresas afectadas se exponen a sanciones económicas adicionales y daños reputacionales significativos.

### 5. Medidas de Mitigación y Recomendaciones

Los profesionales de ciberseguridad deben implementar las siguientes acciones inmediatas:

– **Actualización y refuerzo de políticas de acceso**: Revisión de credenciales, MFA obligatorio y desactivación de RDP externo.
– **Segmentación de red y microsegmentación**: Para limitar el movimiento lateral.
– **Backups offline y pruebas de restauración**: Dadas las posibilidades de recuperación parcial, contar con copias de seguridad fuera de la red es esencial.
– **Monitorización avanzada**: Uso de SIEM y EDR con reglas específicas para detectar comportamientos anómalos asociados a Cobalt Strike y tráfico hacia dominios .onion.
– **Simulaciones de phishing y formación interna**: Para reducir la superficie de ataque inicial.

### 6. Opinión de Expertos

Analistas de S21sec y el INCIBE destacan que la vulnerabilidad en el binario es una rareza y una oportunidad para las defensas, pero advierten que “la amenaza de extorsión y fuga de datos sigue siendo crítica”. Recomiendan no pagar el rescate, priorizar la notificación a las autoridades y acelerar la adopción de estrategias Zero Trust.

Por su parte, expertos en respuesta a incidentes subrayan la importancia de compartir IoCs y tácticas observadas en foros sectoriales y sistemas de inteligencia colaborativa.

### 7. Implicaciones para Empresas y Usuarios

Este incidente refuerza la tendencia al alza del ransomware con doble extorsión y la sofisticación creciente de grupos criminales fuera del radar tradicional, en línea con el incremento del 30% de ataques de ransomware detectados en el primer semestre de 2024 según ENISA.

Para las empresas, la obligación de notificar incidentes en menos de 72 horas bajo GDPR y la entrada en vigor de NIS2 en octubre de 2024 añaden presión adicional sobre los equipos de seguridad y compliance.

### 8. Conclusiones

La aparición de variantes defectuosas de ransomware no disminuye el riesgo para las organizaciones; más bien, introduce nuevas complejidades en la gestión de incidentes, recuperación y cumplimiento normativo. Los CISOs y equipos SOC deben reforzar la vigilancia, compartir inteligencia y blindar los procesos de backup y restauración. La colaboración internacional y la rápida notificación a las autoridades serán clave para mitigar el impacto de estos ataques y reducir la rentabilidad de los actores de amenaza.

(Fuente: www.darkreading.com)