AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Nueva variante de ransomware multiplica su peligrosidad con multithreading y soporte multiplataforma

admin

Introducción

Un nuevo actor en el panorama del ransomware ha captado la atención de la comunidad de ciberseguridad mundial debido a su arquitectura avanzada y su capacidad de operar de manera eficiente en múltiples sistemas operativos. Este malware, cuya denominación aún no ha sido estandarizada, destaca por su implementación agresiva del multithreading y una estructura multiplataforma que le permite atacar infraestructuras empresariales heterogéneas con una eficacia sin precedentes. Las primeras infecciones se han documentado desde finales de mayo de 2024, afectando entornos Windows, Linux y macOS, y poniendo en jaque a equipos de seguridad, administradores de sistemas y responsables de cumplimiento normativo.

Contexto del Incidente o Vulnerabilidad

El ransomware fue detectado inicialmente por equipos de respuesta a incidentes (CSIRT) que investigaban actividades anómalas en redes empresariales europeas y americanas. Su rápida propagación ha sido posible gracias a campañas de phishing dirigidas, aprovechamiento de vulnerabilidades en servicios expuestos a Internet (especialmente RDP y SSH), y la explotación de credenciales comprometidas. Además, se ha observado su distribución mediante kits de exploits automatizados y su incorporación en campañas de doble extorsión, en línea con la tendencia observada durante 2023 y 2024.

Uno de los elementos diferenciales de esta amenaza es su compatibilidad nativa con múltiples plataformas, lo que le permite atacar desde estaciones de trabajo Windows 10/11 hasta servidores Linux (Debian, Ubuntu, CentOS, Red Hat) y equipos macOS con chipset Intel y Apple Silicon. Esta versatilidad dificulta la implementación de medidas de contención y refuerza la urgencia de adoptar estrategias de protección integral.

Detalles Técnicos

La muestra analizada emplea técnicas de multithreading intensivas, utilizando hasta 16 hilos concurrentes para cifrar archivos de manera paralela. Este enfoque reduce drásticamente el tiempo necesario para cifrar grandes volúmenes de datos, especialmente en servidores con múltiples núcleos y almacenamiento SSD/NVMe, minimizando las posibilidades de reacción por parte de los equipos de respuesta. El ransomware utiliza una combinación de algoritmos de cifrado simétrico (AES-256) para los archivos y asimétrico (RSA-4096) para la clave maestra, siguiendo el patrón habitual de los ransomware modernos.

Entre los vectores de ataque identificados se encuentran:

– Phishing dirigido con adjuntos maliciosos en formato Office y PDF.
– Explotación de vulnerabilidades conocidas (CVE-2023-34362 en MOVEit Transfer, CVE-2024-22252 en VMware vSphere).
– Acceso a través de credenciales RDP y SSH filtradas en foros underground.
– Movimientos laterales mediante técnicas de Pass-the-Hash y explotación de SMB (TTPs MITRE ATT&CK TA0008, T1021.002, T1075).
– Persistencia a través de creación de servicios y modificaciones en el registro.

Los indicadores de compromiso (IoC) asociados incluyen hashes SHA256 de las muestras, direcciones IP de C2 identificadas en AWS y servidores TOR, y patrones de nomenclatura de archivos cifrados con extensiones personalizadas (.locked, .xcrypt).

Impacto y Riesgos

El impacto potencial de esta variante es significativo. Según estimaciones iniciales, el 35% de las empresas con infraestructura híbrida (Windows/Linux) son susceptibles a esta amenaza, dado que muchas soluciones EDR aún presentan lagunas en la protección cruzada de plataformas. Las demandas de rescate oscilan entre 150.000 y 2 millones de euros, con amenazas explícitas de filtrado de datos personales y confidenciales, lo que agrava las implicaciones regulatorias bajo el marco GDPR y la Directiva NIS2.

La agresiva velocidad de cifrado y su capacidad para evadir mecanismos tradicionales de detección basados en firmas aumentan el riesgo de pérdida masiva de datos y paralización operativa. Sectores críticos como salud, energía y finanzas ya han reportado incidentes con interrupciones superiores a 48 horas.

Medidas de Mitigación y Recomendaciones

– Actualización urgente de todos los sistemas y aplicaciones, priorizando la corrección de CVEs explotados recientemente.
– Implementación de autenticación multifactor (MFA) en todos los accesos remotos y privilegios elevados.
– Segmentación de red y limitación de movimientos laterales mediante firewalls internos y políticas de mínimos privilegios.
– Despliegue de soluciones EDR/XDR con capacidades multiplataforma y monitorización de procesos sospechosos (especialmente alto uso de CPU/disco).
– Copias de seguridad desconectadas (“offline”) y pruebas periódicas de restauración.
– Formación continua en ciberseguridad para empleados y simulacros de respuesta ante incidentes de ransomware.

Opinión de Expertos

Analistas de SANS Institute y el equipo de CERT-EU coinciden en que este ransomware representa un salto cualitativo en la profesionalización del cibercrimen. “El uso de multithreading y la arquitectura multiplataforma demuestran que los grupos criminales están adoptando estrategias propias del desarrollo de software empresarial”, afirma María López, CISO de una multinacional tecnológica europea. Otros expertos subrayan la importancia de la inteligencia de amenazas y la colaboración público-privada para compartir IoCs y tácticas emergentes en tiempo real.

Implicaciones para Empresas y Usuarios

Las empresas deben reevaluar sus estrategias de defensa, considerando la heterogeneidad de sus activos y la movilidad de sus entornos (cloud, on-premise, teletrabajo). La adopción de frameworks como NIST CSF o el Esquema Nacional de Seguridad (ENS) es indispensable para cumplir con la legislación vigente y reducir el riesgo de sanciones derivadas de fugas de datos. Para los usuarios finales, la concienciación y la actualización de sistemas siguen siendo las mejores barreras frente a estas amenazas.

Conclusiones

La irrupción de este nuevo ransomware con capacidades avanzadas de multithreading y soporte multiplataforma marca un hito en la evolución de las amenazas dirigidas al sector empresarial. La velocidad de cifrado, la dificultad de contención y el modelo de doble extorsión exigen una respuesta coordinada y proactiva por parte de los equipos de ciberseguridad. La inversión en tecnología, formación y colaboración serán clave para mitigar el impacto y anticipar los próximos movimientos de estos actores.

(Fuente: www.darkreading.com)