AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El “apagón” de grupos ransomware es una maniobra: actividad maliciosa persiste bajo nuevos nombres**

admin

### 1. Introducción

En las últimas semanas, varios grupos de ransomware de alto perfil han anunciado públicamente el cese de sus operaciones, un fenómeno que ha captado la atención tanto de medios generalistas como de profesionales de la ciberseguridad. Sin embargo, investigadores especializados en amenazas han detectado señales claras de que, lejos de abandonar su actividad, estos actores están adaptando sus tácticas, técnicas y procedimientos (TTP) para eludir la presión internacional y continuar su actividad ilícita bajo nuevas identidades.

### 2. Contexto del Incidente

El ecosistema del ransomware ha experimentado cambios significativos en 2024, impulsados principalmente por la intensificación de las operaciones policiales internacionales, la cooperación entre agencias de ciberseguridad y la entrada en vigor de normativas más estrictas como la Directiva NIS2 y el refuerzo de la GDPR. Ante este contexto adverso, grupos como BlackCat (ALPHV), LockBit y Cl0p han anunciado supuestos cierres o “apagones” (going dark), difundiendo comunicados en foros clandestinos y dark web.

Sin embargo, la experiencia previa en el sector indica que tales anuncios suelen formar parte de estrategias de rebranding, disolución temporal o migración de infraestructura para dificultar el rastreo y la atribución.

### 3. Detalles Técnicos: Persistencia y Evolución de los TTP

Pese a las declaraciones públicas, equipos de threat intelligence han constatado la continuidad de actividades maliciosas vinculadas a los mismos grupos, aunque bajo nuevos alias y dominios. Por ejemplo, tras el supuesto desmantelamiento de BlackCat, se han identificado muestras de ransomware con una cadena de infección prácticamente idéntica, pero firmadas digitalmente bajo el nombre “PhobosX”. Asimismo, las direcciones C2 y paneles de administración muestran patrones de configuración y certificados TLS reciclados, lo que evidencia un simple cambio de fachada.

Entre los CVE explotados recientemente por estos grupos destacan:

– **CVE-2023-4966**: Vulnerabilidad crítica en Citrix NetScaler, utilizada para infiltración inicial (vector de acceso inicial según MITRE ATT&CK T1190).
– **CVE-2024-21412**: Fallo de ejecución remota en Microsoft Exchange Server, empleado para escalada de privilegios y movimiento lateral (técnicas T1134 y T1570).
– **CVE-2024-3400**: Vulnerabilidad en firewalls de Palo Alto Networks, explotada para establecer persistencia (técnica T1053).

Los investigadores han detectado el uso continuado de frameworks de post-explotación como **Cobalt Strike**, **Metasploit** y, en algunos casos, herramientas legítimas de administración remota (Living-off-the-Land Binaries, LOLBins) para evadir detección. Los indicadores de compromiso (IoC) incluyen direcciones IP de C2 conocidas, hashes de archivos y patrones de tráfico cifrado idénticos a los observados antes del “apagón”.

### 4. Impacto y Riesgos

La principal consecuencia de este tipo de maniobras es la falsa sensación de seguridad que pueden experimentar tanto organizaciones como usuarios. Según datos de Chainalysis, durante el primer semestre de 2024 los pagos de rescate por ransomware han disminuido solo un 5% respecto al año anterior, lo que sugiere continuidad operativa pese a los anuncios de retirada. Sectores más afectados incluyen sanidad, manufactura y servicios críticos, donde la ventana de exposición sigue siendo elevada debido a la explotación de vulnerabilidades no parcheadas y la falta de segmentación de red.

A nivel legal, la GDPR y la NIS2 exigen notificación de incidentes y aplicación de medidas de protección proactiva, pero estos requisitos siguen siendo desafiados por la sofisticación y persistencia de los actores.

### 5. Medidas de Mitigación y Recomendaciones

Los expertos recomiendan no bajar la guardia y reforzar las siguientes áreas:

– **Gestión de vulnerabilidades**: Patching continuo de sistemas críticos afectados por CVE recientes.
– **Monitorización avanzada**: Implementación de EDR/XDR con reglas adaptadas a los nuevos IoC y TTP.
– **Seguridad en el acceso remoto**: Deshabilitar servicios innecesarios y reforzar autenticación multifactor.
– **Segmentación de red y backups offline**: Para minimizar el impacto de la posible propagación interna del ransomware.
– **Simulacros de respuesta**: Ejercicios regulares de crisis ante ransomware, conforme a las exigencias de NIS2.

### 6. Opinión de Expertos

CISOs y analistas SOC coinciden en que estos “apagones” son en gran medida tácticos. “La desarticulación real solo ocurre cuando se detiene la monetización y se interrumpe la cadena de suministro del ransomware”, afirma Marta Giménez, responsable de Threat Hunting en una firma europea. Por su parte, Enrique López, consultor de incidentes, señala: “La reaparición bajo nuevos nombres es parte del ciclo de vida habitual de estas organizaciones; la atribución técnica sigue siendo clave”.

### 7. Implicaciones para Empresas y Usuarios

Este escenario subraya la necesidad de un enfoque integral y resiliente. Las empresas deben revisar y actualizar sus políticas de ciberseguridad, invertir en formación continua y considerar la ciberseguridad como un proceso evolutivo, no reactivo. Para los usuarios, sigue siendo fundamental mantener buenas prácticas de higiene digital y desconfiar de cualquier correlación entre anuncios públicos de criminales y la realidad operativa.

### 8. Conclusiones

El supuesto cese de operaciones de grupos de ransomware no implica una disminución real de la amenaza. Los actores adaptan sus métodos, migran infraestructuras y adoptan nuevas identidades, pero la actividad persiste. La vigilancia activa, la inteligencia de amenazas y la cooperación internacional siguen siendo las mejores herramientas para mitigar este riesgo en evolución.

(Fuente: www.darkreading.com)