<![CDATA[GETOVERX FORUM Community Support

<![CDATA[GETOVERX FORUM Community Support - Ransomware]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 09:59:28 +0000 MyBB <![CDATA[Cactus – Ransomware – 2023]]> https://forum.getoverx.com/showthread.php?tid=119 Fri, 05 Dec 2025 16:43:47 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=119 Nombre: Cactus

Categoría: Ransomware (double extortion)

Fecha de descubrimiento: 2023 (campañas activas desde aprox. marzo)

Comportamiento (lo que hace y archivos que infecta):

Suele llegar a través de:
- VPN vulnerables.
- Servicios expuestos a Internet (RDP, paneles web, etc.).
- Credenciales robadas.
- Explotación de fallos en aplicaciones web u otros vectores de acceso inicial.
Una vez dentro:
- Los atacantes realizan reconocimiento del entorno y mapean la red.
- Identifican servidores críticos, shares y máquinas con backups accesibles.
- Desactivan o intentan desactivar herramientas de seguridad (AV, EDR, copias de sombra).
- Exfiltran datos sensibles antes del cifrado para extorsión doble (amenaza de filtración).
Cifra documentos, bases de datos, imágenes, proyectos, máquinas virtuales y copias de seguridad accesibles, dejando notas de rescate, por ejemplo:

Code:
CaCtUs.ReAdMe.txt
Utiliza esquemas de cifrado fuertes (típicamente combinando AES + RSA) y puede usar extensiones como:

Code:
.cts0
o

Code:
.cts1
para marcar los archivos cifrados.
Evita directorios y extensiones de sistema para no inutilizar completamente el sistema operativo y mantener la máquina operativa lo suficiente para mostrar la nota de rescate.

Persistencia:

Copia el ejecutable en rutas como:

Code:
C:\ProgramData\
usando nombres aleatorios o que parecen legítimos (p.ej. nombres relacionados con “update”, “service”, “agent”, etc.).
Crea tareas programadas para relanzar el binario, por ejemplo con nombres tipo:

Code:
Updates Check Task
u otros que imitan tareas del sistema.
Emplea un mutex para evitar múltiples instancias simultáneas y mejorar la estabilidad durante el cifrado.
Los atacantes pueden mantener persistencia adicional mediante:
- Herramientas de administración remota.
- Shells interactivas.
- Cuentas locales o de dominio comprometidas.

Hash real de referencia (SHA-256):
Muestra pública asociada a Cactus:

Code:
78C16DE9FC07F1D0375A093903F86583A4E32037A7DA8AA2F90ECB15C4862C17

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Realizar escaneos completos que incluyan:
-
Code:
C:\ProgramData\
- Directorios de sistema y de usuario donde puedan residir el binario principal, droppers y archivos auxiliares.
- Mantener las heurísticas y reglas específicas de ransomware activadas para detectar:
- Comportamientos de cifrado masivo.
- Accesos intensivos a ficheros en shares y rutas críticas.
- Eliminar o poner en cuarentena todo artefacto relacionado confirmado como malicioso y repetir el escaneo antes de reconectar el host a la red.
Firewall:
- Limitar el acceso remoto a la red (VPN, RDP, SSH, paneles de administración) mediante:
  - Autenticación multifactor (MFA).
  - Listas de IPs permitidas (allowlist).
  - Políticas estrictas para accesos desde Internet.
- Bloquear comunicaciones hacia dominios/IPs asociados a la infraestructura de Cactus y hacia cualquier host sospechoso detectado durante el incidente.
- Aislar rápidamente los hosts que muestren:
  - Actividad de cifrado inusual.
  - Conexiones de red fuera de patrón.
  - Cambios en reglas de firewall o políticas de seguridad.
HIPS/EDR:
- Monitorizar y bloquear la creación de tareas programadas que apunten a ejecutables en
  Code:
  ProgramData
  o rutas no estándar.
- Detectar patrones de lectura/escritura intensivos sobre grandes volúmenes de archivos (indicadores típicos de cifrado masivo).
- Evitar el borrado de copias de sombra y la desactivación de servicios de seguridad mediante reglas específicas de protección de:
  -
  Code:
  vssadmin
  -
  Code:
  wmic
  - Servicios críticos de seguridad.
- Configurar respuesta automática para:
  - Matar el proceso responsable del cifrado.
  - Bloquear el hash del ejecutable malicioso.
  - Iniciar el aislamiento de red del endpoint afectado.
Sandbox:
- Analizar ejecutables sospechosos (especialmente aquellos que llegan a servidores o estaciones clave) antes de su ejecución real:
  - Herramientas recibidas de proveedores de soporte.
  - Scripts y binarios entregados a través de canales remotos.
- Observar si el binario en Sandbox:
  - Intenta cifrar grandes volúmenes de archivos.
  - Crea tareas programadas o entradas de Registro para persistencia.
  - Intenta contactar con infraestructura remota de C2 asociada a Cactus.
Medidas posteriores al incidente:
- Restaurar los sistemas desde backups offline verificados, asegurándose de que:
  - No estuvieron accesibles desde los hosts comprometidos.
  - No presentan signos de cifrado o manipulación.
- Cambiar credenciales utilizadas en accesos remotos (VPN, RDP, paneles de administración, cuentas de dominio).
- Revisar logs de VPN, RDP, firewall y servidores para:
  - Reconstruir la línea temporal del ataque.
  - Identificar el vector de entrada.
  - Listar todos los sistemas potencialmente comprometidos.
- Revisar herramientas de administración remota instaladas e identificar posibles backdoors o agentes no autorizados, eliminándolos y reforzando los procedimientos de acceso remoto legítimo.

Notas opcionales:
- Cactus representa un modelo típico de ransomware de doble extorsión: combina cifrado de datos con exfiltración previa para presionar el pago, incluso si la organización tiene copias de seguridad.]]> Nombre: Cactus

Categoría: Ransomware (double extortion)

Fecha de descubrimiento: 2023 (campañas activas desde aprox. marzo)

Comportamiento (lo que hace y archivos que infecta):

Suele llegar a través de:
- VPN vulnerables.
- Servicios expuestos a Internet (RDP, paneles web, etc.).
- Credenciales robadas.
- Explotación de fallos en aplicaciones web u otros vectores de acceso inicial.
Una vez dentro:
- Los atacantes realizan reconocimiento del entorno y mapean la red.
- Identifican servidores críticos, shares y máquinas con backups accesibles.
- Desactivan o intentan desactivar herramientas de seguridad (AV, EDR, copias de sombra).
- Exfiltran datos sensibles antes del cifrado para extorsión doble (amenaza de filtración).
Cifra documentos, bases de datos, imágenes, proyectos, máquinas virtuales y copias de seguridad accesibles, dejando notas de rescate, por ejemplo:

Code:
CaCtUs.ReAdMe.txt
Utiliza esquemas de cifrado fuertes (típicamente combinando AES + RSA) y puede usar extensiones como:

Code:
.cts0
o

Code:
.cts1
para marcar los archivos cifrados.
Evita directorios y extensiones de sistema para no inutilizar completamente el sistema operativo y mantener la máquina operativa lo suficiente para mostrar la nota de rescate.

Persistencia:

Copia el ejecutable en rutas como:

Code:
C:\ProgramData\
usando nombres aleatorios o que parecen legítimos (p.ej. nombres relacionados con “update”, “service”, “agent”, etc.).
Crea tareas programadas para relanzar el binario, por ejemplo con nombres tipo:

Code:
Updates Check Task
u otros que imitan tareas del sistema.
Emplea un mutex para evitar múltiples instancias simultáneas y mejorar la estabilidad durante el cifrado.
Los atacantes pueden mantener persistencia adicional mediante:
- Herramientas de administración remota.
- Shells interactivas.
- Cuentas locales o de dominio comprometidas.

Hash real de referencia (SHA-256):
Muestra pública asociada a Cactus:

Code:
78C16DE9FC07F1D0375A093903F86583A4E32037A7DA8AA2F90ECB15C4862C17

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Realizar escaneos completos que incluyan:
-
Code:
C:\ProgramData\
- Directorios de sistema y de usuario donde puedan residir el binario principal, droppers y archivos auxiliares.
- Mantener las heurísticas y reglas específicas de ransomware activadas para detectar:
- Comportamientos de cifrado masivo.
- Accesos intensivos a ficheros en shares y rutas críticas.
- Eliminar o poner en cuarentena todo artefacto relacionado confirmado como malicioso y repetir el escaneo antes de reconectar el host a la red.
Firewall:
- Limitar el acceso remoto a la red (VPN, RDP, SSH, paneles de administración) mediante:
  - Autenticación multifactor (MFA).
  - Listas de IPs permitidas (allowlist).
  - Políticas estrictas para accesos desde Internet.
- Bloquear comunicaciones hacia dominios/IPs asociados a la infraestructura de Cactus y hacia cualquier host sospechoso detectado durante el incidente.
- Aislar rápidamente los hosts que muestren:
  - Actividad de cifrado inusual.
  - Conexiones de red fuera de patrón.
  - Cambios en reglas de firewall o políticas de seguridad.
HIPS/EDR:
- Monitorizar y bloquear la creación de tareas programadas que apunten a ejecutables en
  Code:
  ProgramData
  o rutas no estándar.
- Detectar patrones de lectura/escritura intensivos sobre grandes volúmenes de archivos (indicadores típicos de cifrado masivo).
- Evitar el borrado de copias de sombra y la desactivación de servicios de seguridad mediante reglas específicas de protección de:
  -
  Code:
  vssadmin
  -
  Code:
  wmic
  - Servicios críticos de seguridad.
- Configurar respuesta automática para:
  - Matar el proceso responsable del cifrado.
  - Bloquear el hash del ejecutable malicioso.
  - Iniciar el aislamiento de red del endpoint afectado.
Sandbox:
- Analizar ejecutables sospechosos (especialmente aquellos que llegan a servidores o estaciones clave) antes de su ejecución real:
  - Herramientas recibidas de proveedores de soporte.
  - Scripts y binarios entregados a través de canales remotos.
- Observar si el binario en Sandbox:
  - Intenta cifrar grandes volúmenes de archivos.
  - Crea tareas programadas o entradas de Registro para persistencia.
  - Intenta contactar con infraestructura remota de C2 asociada a Cactus.
Medidas posteriores al incidente:
- Restaurar los sistemas desde backups offline verificados, asegurándose de que:
  - No estuvieron accesibles desde los hosts comprometidos.
  - No presentan signos de cifrado o manipulación.
- Cambiar credenciales utilizadas en accesos remotos (VPN, RDP, paneles de administración, cuentas de dominio).
- Revisar logs de VPN, RDP, firewall y servidores para:
  - Reconstruir la línea temporal del ataque.
  - Identificar el vector de entrada.
  - Listar todos los sistemas potencialmente comprometidos.
- Revisar herramientas de administración remota instaladas e identificar posibles backdoors o agentes no autorizados, eliminándolos y reforzando los procedimientos de acceso remoto legítimo.

Notas opcionales:
- Cactus representa un modelo típico de ransomware de doble extorsión: combina cifrado de datos con exfiltración previa para presionar el pago, incluso si la organización tiene copias de seguridad.]]> <![CDATA[Rhysida – Ransomware – 2023]]> https://forum.getoverx.com/showthread.php?tid=118 Fri, 05 Dec 2025 16:42:10 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=118 Nombre: Rhysida
Categoría: Ransomware (double extortion)
Fecha de descubrimiento: 2023 (aprox. mayo, primeros reportes públicos)
Comportamiento (lo que hace y archivos que infecta):

Llega típicamente mediante acceso remoto comprometido (RDP/VPN), phishing dirigido o explotación de servicios expuestos.
Una vez dentro de la red, el grupo atacante realiza reconocimiento, movimiento lateral y exfiltración de datos sensibles antes de cifrar.
Cifra documentos, bases de datos, imágenes, proyectos, backups accesibles y recursos compartidos de red, añadiendo normalmente la extensión asociada a Rhysida a los archivos cifrados.
Deja una nota de rescate (a menudo en PDF) donde se presenta como un “equipo de ciberseguridad” que “ayuda” a la víctima.
Suele excluir algunos archivos de sistema y extensiones críticas para mantener el sistema arrancable.

Persistencia:

Uso de claves de Registro y tareas programadas para ejecutar el binario de ransomware o herramientas auxiliares.
Abuso de herramientas administrativas (PowerShell, PsExec, wmic) para desplegar el payload en múltiples equipos.
Uso prolongado de credenciales comprometidas (RDP, VPN, cuentas de dominio) para permanecer en la red durante días/semanas antes de lanzar el cifrado.
Eliminación de copias de sombra y limpieza de logs para hacer más difícil la recuperación y el análisis.

Hash real de referencia (SHA-256):

Code:
258ddd78655ac0587f64d7146e52549115b67465302c0cbd15a0cba746f05595

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
Configurar análisis en tiempo real y escaneos completos para detectar el binario de Rhysida y sus droppers. Supervisar cambios masivos de extensión de archivos y picos de escritura sospechosos.
Firewall:
Restringir RDP y VPN expuestos, permitiendo solo acceso desde ubicaciones confiables y con MFA. Bloquear tráfico hacia dominios/IPs asociados a infraestructura de mando y control o servidores de filtración de datos utilizados por el grupo.
HIPS/EDR:
- Detectar creación masiva de archivos cifrados en poco tiempo.
- Alertar y bloquear comandos como
  
  Code:
  vssadmin delete shadows
  , limpieza de logs y uso anómalo de herramientas administrativas para desplegar binarios.
- Configurar respuesta automática para matar procesos con comportamiento de cifrado, bloquear sus hashes y aislar el host.
Sandbox:
- Analizar en Sandbox ejecutables y scripts sospechosos que lleguen por correo o se descarguen en servidores críticos.
- Probar herramientas “de soporte” o “parches” antes de ejecutarlos en el entorno de producción, especialmente si proceden de canales no verificados.
Medidas posteriores al incidente:
- Desconectar inmediatamente los equipos afectados de la red.
- Restaurar datos solo desde copias de seguridad offline o inmutables.
- Rotar contraseñas de cuentas privilegiadas y revisar accesos a VPN, RDP y paneles administrativos.
- Revisar y endurecer políticas de segmentación de red y monitoreo para detectar futuras intrusiones.

Notas opcionales:

Añadir enlaces a informes públicos de Rhysida (análisis técnicos, IOCs).
No compartir enlaces directos a muestras ejecutables en el foro; solo hashes e información técnica.

]]> Nombre: Rhysida
Categoría: Ransomware (double extortion)
Fecha de descubrimiento: 2023 (aprox. mayo, primeros reportes públicos)
Comportamiento (lo que hace y archivos que infecta):

Llega típicamente mediante acceso remoto comprometido (RDP/VPN), phishing dirigido o explotación de servicios expuestos.
Una vez dentro de la red, el grupo atacante realiza reconocimiento, movimiento lateral y exfiltración de datos sensibles antes de cifrar.
Cifra documentos, bases de datos, imágenes, proyectos, backups accesibles y recursos compartidos de red, añadiendo normalmente la extensión asociada a Rhysida a los archivos cifrados.
Deja una nota de rescate (a menudo en PDF) donde se presenta como un “equipo de ciberseguridad” que “ayuda” a la víctima.
Suele excluir algunos archivos de sistema y extensiones críticas para mantener el sistema arrancable.

Persistencia:

Uso de claves de Registro y tareas programadas para ejecutar el binario de ransomware o herramientas auxiliares.
Abuso de herramientas administrativas (PowerShell, PsExec, wmic) para desplegar el payload en múltiples equipos.
Uso prolongado de credenciales comprometidas (RDP, VPN, cuentas de dominio) para permanecer en la red durante días/semanas antes de lanzar el cifrado.
Eliminación de copias de sombra y limpieza de logs para hacer más difícil la recuperación y el análisis.

Hash real de referencia (SHA-256):

Code:
258ddd78655ac0587f64d7146e52549115b67465302c0cbd15a0cba746f05595

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
Configurar análisis en tiempo real y escaneos completos para detectar el binario de Rhysida y sus droppers. Supervisar cambios masivos de extensión de archivos y picos de escritura sospechosos.
Firewall:
Restringir RDP y VPN expuestos, permitiendo solo acceso desde ubicaciones confiables y con MFA. Bloquear tráfico hacia dominios/IPs asociados a infraestructura de mando y control o servidores de filtración de datos utilizados por el grupo.
HIPS/EDR:
- Detectar creación masiva de archivos cifrados en poco tiempo.
- Alertar y bloquear comandos como
  
  Code:
  vssadmin delete shadows
  , limpieza de logs y uso anómalo de herramientas administrativas para desplegar binarios.
- Configurar respuesta automática para matar procesos con comportamiento de cifrado, bloquear sus hashes y aislar el host.
Sandbox:
- Analizar en Sandbox ejecutables y scripts sospechosos que lleguen por correo o se descarguen en servidores críticos.
- Probar herramientas “de soporte” o “parches” antes de ejecutarlos en el entorno de producción, especialmente si proceden de canales no verificados.
Medidas posteriores al incidente:
- Desconectar inmediatamente los equipos afectados de la red.
- Restaurar datos solo desde copias de seguridad offline o inmutables.
- Rotar contraseñas de cuentas privilegiadas y revisar accesos a VPN, RDP y paneles administrativos.
- Revisar y endurecer políticas de segmentación de red y monitoreo para detectar futuras intrusiones.

Notas opcionales:

Añadir enlaces a informes públicos de Rhysida (análisis técnicos, IOCs).
No compartir enlaces directos a muestras ejecutables en el foro; solo hashes e información técnica.

]]> <![CDATA[Akira Ransomware [2023]]]> https://forum.getoverx.com/showthread.php?tid=117 Fri, 05 Dec 2025 16:32:54 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=117 Nombre: Akira Ransomware

Categoría: Ransomware (RaaS, doble extorsión)

Fecha de descubrimiento: Primeras actividades documentadas a inicios de 2023

Comportamiento (lo que hace y archivos que infecta):
Akira es una familia de ransomware operada como Ransomware-as-a-Service (RaaS). Sus características clave:
- Cifra archivos en sistemas Windows y Linux (en algunas variantes) usando criptografía fuerte.
- Antes del cifrado, exfiltra datos sensibles de la red de la víctima (doble extorsión).
- Enfocada en organizaciones: especialmente proveedores de servicios gestionados (MSP), educación, salud y otros sectores.

Tipos de archivos afectados:
- Documentos Office, PDF, imágenes, bases de datos, proyectos, máquinas virtuales y backups accesibles.
- Recorre discos locales, unidades de red y recursos compartidos cifrando la mayor cantidad posible.

En muchos incidentes:
- Los atacantes obtienen acceso inicial vía credenciales comprometidas, vulnerabilidades VPN, RDP o aplicaciones expuestas.
- Una vez dentro, realizan reconocimiento, movimiento lateral y exfiltración de datos antes de lanzar el cifrado.

Persistencia:
La “persistencia” en Akira suele ser operativa:
- Uso prolongado de cuentas comprometidas (administradores de dominio, RDP, VPN).
- Despliegue de herramientas de administración remota y beacons para mantener acceso.
- El binario de ransomware en sí mismo puede no buscar persistencia tradicional, ya que su objetivo es cifrar y terminar el sistema rápidamente, pero el acceso del atacante a la red suele durar semanas antes del cifrado.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como Akira:

Code:
4f16317dba9b983bf494892dcd227c0795f3809303e3b2787bf0a2193a318e0c

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Hacer escaneo completo para localizar el ejecutable de Akira y cualquier dropper.
- Revisar especialmente servidores, controladores de dominio y shares críticos.
Firewall:
- Aislar inmediatamente equipos que muestren actividad de cifrado o comunicación con IPs/C2 asociadas.
- Restringir RDP, VPN y servicios expuestos a Internet únicamente a canales autenticados y protegidos (MFA, IPs de confianza).
HIPS/EDR:
Reglas clave:
- Detección de patrones de ransomware: creación masiva de archivos con nuevas extensiones, borrado de Shadow Copies, alto volumen de escritura en poco tiempo.
- Detección de herramientas de descubrimiento de red, dumping de credenciales y uso de herramientas de administración “living-off-the-land” (psexec, wmic, etc.).
Al dispararse, GetOverX Shield debe:
- Matar el proceso sospechoso.
- Bloquear el binario por hash.
- Opcionalmente poner el equipo en modo “aislado” a nivel de red.
Sandbox:
- Analizar en Sandbox cualquier fichero sospechoso recibido por correo o descargado por administradores antes de ejecutarlo en servidores.
- Probar scripts y herramientas “adicionales” que se reciban supuestamente de proveedores/soporte.
Medidas posteriores al incidente:
- Desconectar los sistemas afectados de la red.
- No borrar evidencias: preservar logs para análisis forense.
- Restaurar datos únicamente desde copias de seguridad offline no accesibles durante el ataque.
- Rotar credenciales privilegiadas (dominio, VPN, acceso a paneles y servicios críticos).
- Revisar políticas de segmentación de red y endurecerlas para limitar impacto futuro.

]]> Nombre: Akira Ransomware

Categoría: Ransomware (RaaS, doble extorsión)

Fecha de descubrimiento: Primeras actividades documentadas a inicios de 2023

Comportamiento (lo que hace y archivos que infecta):
Akira es una familia de ransomware operada como Ransomware-as-a-Service (RaaS). Sus características clave:
- Cifra archivos en sistemas Windows y Linux (en algunas variantes) usando criptografía fuerte.
- Antes del cifrado, exfiltra datos sensibles de la red de la víctima (doble extorsión).
- Enfocada en organizaciones: especialmente proveedores de servicios gestionados (MSP), educación, salud y otros sectores.

Tipos de archivos afectados:
- Documentos Office, PDF, imágenes, bases de datos, proyectos, máquinas virtuales y backups accesibles.
- Recorre discos locales, unidades de red y recursos compartidos cifrando la mayor cantidad posible.

En muchos incidentes:
- Los atacantes obtienen acceso inicial vía credenciales comprometidas, vulnerabilidades VPN, RDP o aplicaciones expuestas.
- Una vez dentro, realizan reconocimiento, movimiento lateral y exfiltración de datos antes de lanzar el cifrado.

Persistencia:
La “persistencia” en Akira suele ser operativa:
- Uso prolongado de cuentas comprometidas (administradores de dominio, RDP, VPN).
- Despliegue de herramientas de administración remota y beacons para mantener acceso.
- El binario de ransomware en sí mismo puede no buscar persistencia tradicional, ya que su objetivo es cifrar y terminar el sistema rápidamente, pero el acceso del atacante a la red suele durar semanas antes del cifrado.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como Akira:

Code:
4f16317dba9b983bf494892dcd227c0795f3809303e3b2787bf0a2193a318e0c

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Hacer escaneo completo para localizar el ejecutable de Akira y cualquier dropper.
- Revisar especialmente servidores, controladores de dominio y shares críticos.
Firewall:
- Aislar inmediatamente equipos que muestren actividad de cifrado o comunicación con IPs/C2 asociadas.
- Restringir RDP, VPN y servicios expuestos a Internet únicamente a canales autenticados y protegidos (MFA, IPs de confianza).
HIPS/EDR:
Reglas clave:
- Detección de patrones de ransomware: creación masiva de archivos con nuevas extensiones, borrado de Shadow Copies, alto volumen de escritura en poco tiempo.
- Detección de herramientas de descubrimiento de red, dumping de credenciales y uso de herramientas de administración “living-off-the-land” (psexec, wmic, etc.).
Al dispararse, GetOverX Shield debe:
- Matar el proceso sospechoso.
- Bloquear el binario por hash.
- Opcionalmente poner el equipo en modo “aislado” a nivel de red.
Sandbox:
- Analizar en Sandbox cualquier fichero sospechoso recibido por correo o descargado por administradores antes de ejecutarlo en servidores.
- Probar scripts y herramientas “adicionales” que se reciban supuestamente de proveedores/soporte.
Medidas posteriores al incidente:
- Desconectar los sistemas afectados de la red.
- No borrar evidencias: preservar logs para análisis forense.
- Restaurar datos únicamente desde copias de seguridad offline no accesibles durante el ataque.
- Rotar credenciales privilegiadas (dominio, VPN, acceso a paneles y servicios críticos).
- Revisar políticas de segmentación de red y endurecerlas para limitar impacto futuro.

]]> <![CDATA[RedLine Stealer]]> https://forum.getoverx.com/showthread.php?tid=104 Fri, 05 Dec 2025 16:03:11 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=104 Nombre: RedLine Stealer

Categoría: Infostealer (robo de credenciales y datos)

Fecha de descubrimiento: Alrededor de febrero 2020

Comportamiento (lo que hace y archivos que infecta):
- RedLine es un malware tipo “stealer” ofrecido como servicio (MaaS).
- Su objetivo principal es robar información del equipo, incluyendo:
- Contraseñas guardadas en navegadores.
- Cookies y datos de formularios de autocompletado.
- Wallets de criptomonedas (archivos de wallet y configuraciones asociadas).
- Información de clientes FTP/VPN y otras aplicaciones con credenciales almacenadas.
- Datos de sistema: procesos activos, programas instalados, idioma, IP pública, versión de SO, etc.
- No cifra documentos ni bloquea el sistema; se centra en la exfiltración de información al servidor de comando y control (C2).
- Vectores de infección frecuentes:
- Campañas de phishing con adjuntos maliciosos.
- Descargadores malware (loaders).
- Software “crackeado” y herramientas de activación falsas.
- “Archivos que infecta”:
- No infecta ejecutables como tal; accede y lee:
- Configuraciones y bases de datos de aplicaciones (perfiles de navegadores, clientes FTP/VPN, wallets).
- Archivos de credenciales y sesiones.
- Puede crear ficheros temporales en carpetas de usuario para empaquetar la información robada antes de enviarla al C2.

Persistencia:
- Puede copiarse en carpetas de perfil de usuario (por ejemplo, AppData) con nombres que imitan aplicaciones legítimas.
- Añade entradas de inicio automático en:
- Claves de Registro (Run/RunOnce).
- Carpetas de “Startup” del usuario.
- Algunas variantes crean tareas programadas para relanzar el binario periódicamente.
- Otras campañas se ejecutan una sola vez (“smash-and-grab”):
- Roban todo lo posible.
- Exfiltran la información.
- Se eliminan a sí mismas para reducir huella en el sistema.

Hash real de referencia (SHA-256):
Muestra pública analizada de RedLine Stealer:

Code:
E3544F1A9707EC1CE083AFE0AE64F2EDE38A7D53FC6F98AAB917CA049BC63E69

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Ejecutar un escaneo completo para localizar:
- El binario principal del stealer.
- Cualquier dropper asociado u otros componentes auxiliares.
- Eliminar o poner en cuarentena todos los archivos detectados.
- Revisar especialmente directorios de usuario (AppData, Temp, Descargas) y rutas donde se ejecutaron adjuntos sospechosos.
HIPS / EDR:
- Habilitar reglas que detecten:
- Accesos masivos en poco tiempo a almacenes de credenciales de navegadores, wallets y clientes FTP/VPN.
- Lectura sistemática de múltiples archivos de configuración de diferentes aplicaciones de credenciales.
- Conexiones HTTP/HTTPS inusuales hacia dominios o IPs desconocidos, justo después de la recopilación de datos.
- Configurar respuestas automáticas para:
- Detener (matar) el proceso cuando se detecte comportamiento típico de stealer.
- Registrar toda la actividad en los logs unificados para análisis forense.
Firewall:
- Bloquear conexiones salientes no autorizadas:
- Especialmente hacia dominios e IPs reputacionalmente sospechosos o recientemente registrados.
- Limitar aplicaciones que puedan realizar conexiones directas a Internet sin supervisión.
- Monitorizar picos de tráfico saliente desde equipos de usuario que puedan indicar exfiltración de datos.
Remediación de credenciales:
- Tras limpiar el sistema, forzar cambio de todas las contraseñas que pudieran estar almacenadas en el equipo:
- Correo personal y corporativo.
- Redes sociales.
- Banca en línea y servicios financieros.
- VPN, paneles de hosting, administración de servidores y otros servicios críticos.
- Activar MFA (autenticación multifactor) donde sea posible para reducir el impacto de credenciales robadas.
- Revisar accesos recientes a cuentas críticas en busca de actividad sospechosa (logins desde países o IPs inusuales).
Sandbox:
- Analizar adjuntos y descargables sospechosos en la Sandbox antes de ejecutarlos en el entorno real:
- Especialmente si provienen de campañas de phishing o de sitios de software “crackeado”.
- Observar si el archivo:
- Intenta enumerar credenciales de múltiples aplicaciones.
- Crea ficheros temporales con datos empaquetados.
- Establece conexiones salientes a dominios desconocidos para exfiltrar la información.

Notas opcionales:
- RedLine Stealer es una de las familias de infostealer más utilizadas en mercados de malware como servicio, alimentando grandes bases de datos de credenciales robadas que luego se venden o reutilizan en ataques de takeover de cuentas y fraude.]]> Nombre: RedLine Stealer

Categoría: Infostealer (robo de credenciales y datos)

Fecha de descubrimiento: Alrededor de febrero 2020

Comportamiento (lo que hace y archivos que infecta):
- RedLine es un malware tipo “stealer” ofrecido como servicio (MaaS).
- Su objetivo principal es robar información del equipo, incluyendo:
- Contraseñas guardadas en navegadores.
- Cookies y datos de formularios de autocompletado.
- Wallets de criptomonedas (archivos de wallet y configuraciones asociadas).
- Información de clientes FTP/VPN y otras aplicaciones con credenciales almacenadas.
- Datos de sistema: procesos activos, programas instalados, idioma, IP pública, versión de SO, etc.
- No cifra documentos ni bloquea el sistema; se centra en la exfiltración de información al servidor de comando y control (C2).
- Vectores de infección frecuentes:
- Campañas de phishing con adjuntos maliciosos.
- Descargadores malware (loaders).
- Software “crackeado” y herramientas de activación falsas.
- “Archivos que infecta”:
- No infecta ejecutables como tal; accede y lee:
- Configuraciones y bases de datos de aplicaciones (perfiles de navegadores, clientes FTP/VPN, wallets).
- Archivos de credenciales y sesiones.
- Puede crear ficheros temporales en carpetas de usuario para empaquetar la información robada antes de enviarla al C2.

Persistencia:
- Puede copiarse en carpetas de perfil de usuario (por ejemplo, AppData) con nombres que imitan aplicaciones legítimas.
- Añade entradas de inicio automático en:
- Claves de Registro (Run/RunOnce).
- Carpetas de “Startup” del usuario.
- Algunas variantes crean tareas programadas para relanzar el binario periódicamente.
- Otras campañas se ejecutan una sola vez (“smash-and-grab”):
- Roban todo lo posible.
- Exfiltran la información.
- Se eliminan a sí mismas para reducir huella en el sistema.

Hash real de referencia (SHA-256):
Muestra pública analizada de RedLine Stealer:

Code:
E3544F1A9707EC1CE083AFE0AE64F2EDE38A7D53FC6F98AAB917CA049BC63E69

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Ejecutar un escaneo completo para localizar:
- El binario principal del stealer.
- Cualquier dropper asociado u otros componentes auxiliares.
- Eliminar o poner en cuarentena todos los archivos detectados.
- Revisar especialmente directorios de usuario (AppData, Temp, Descargas) y rutas donde se ejecutaron adjuntos sospechosos.
HIPS / EDR:
- Habilitar reglas que detecten:
- Accesos masivos en poco tiempo a almacenes de credenciales de navegadores, wallets y clientes FTP/VPN.
- Lectura sistemática de múltiples archivos de configuración de diferentes aplicaciones de credenciales.
- Conexiones HTTP/HTTPS inusuales hacia dominios o IPs desconocidos, justo después de la recopilación de datos.
- Configurar respuestas automáticas para:
- Detener (matar) el proceso cuando se detecte comportamiento típico de stealer.
- Registrar toda la actividad en los logs unificados para análisis forense.
Firewall:
- Bloquear conexiones salientes no autorizadas:
- Especialmente hacia dominios e IPs reputacionalmente sospechosos o recientemente registrados.
- Limitar aplicaciones que puedan realizar conexiones directas a Internet sin supervisión.
- Monitorizar picos de tráfico saliente desde equipos de usuario que puedan indicar exfiltración de datos.
Remediación de credenciales:
- Tras limpiar el sistema, forzar cambio de todas las contraseñas que pudieran estar almacenadas en el equipo:
- Correo personal y corporativo.
- Redes sociales.
- Banca en línea y servicios financieros.
- VPN, paneles de hosting, administración de servidores y otros servicios críticos.
- Activar MFA (autenticación multifactor) donde sea posible para reducir el impacto de credenciales robadas.
- Revisar accesos recientes a cuentas críticas en busca de actividad sospechosa (logins desde países o IPs inusuales).
Sandbox:
- Analizar adjuntos y descargables sospechosos en la Sandbox antes de ejecutarlos en el entorno real:
- Especialmente si provienen de campañas de phishing o de sitios de software “crackeado”.
- Observar si el archivo:
- Intenta enumerar credenciales de múltiples aplicaciones.
- Crea ficheros temporales con datos empaquetados.
- Establece conexiones salientes a dominios desconocidos para exfiltrar la información.

Code:
cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

[] Antivirus y EDR: Realizar escaneo completo en todos los endpoints y servidores asociados al incidente. Activar la monitorización avanzada en el EDR para detectar cifradores masivos y accesos anómalos a volúmenes de red. [] HIPS: Configurar reglas para bloquear ejecución de binarios desde rutas temporales, perfiles de usuario y shares, así como scripts con comportamiento de cifrado intensivo. [] Firewall y aislamiento: Usar el módulo de firewall para aislar inmediatamente el host comprometido (bloqueo de todo tráfico salvo hacia el servidor de gestión) y reducir movimiento lateral. [] Sandbox: Analizar cualquier ejecutable extraño usado por administradores o procesos remotos antes de desplegarlo en más equipos.
Post-incidente: Forzar cambio de contraseñas de cuentas privilegiadas, revocar sesiones RDP y limpiar herramientas de acceso remoto no autorizadas, además de restaurar desde backups offline verificados.

]]> Nombre: BlackCat (ALPHV)
Categoría: Ransomware (RaaS, triple extorsión)
Fecha de descubrimiento: Noviembre–Diciembre 2021

Comportamiento (lo que hace y archivos que infecta):
BlackCat/ALPHV es una familia de ransomware escrita en Rust, ofrecida como servicio a afiliados. Se utiliza principalmente en ataques dirigidos contra organizaciones. Compromete servidores y estaciones de trabajo, cifra documentos, bases de datos, repositorios de proyectos, máquinas virtuales y copias de seguridad accesibles. Además, suele robar datos antes del cifrado y amenaza con publicarlos (triple extorsión).
Persistencia:
En muchos incidentes el despliegue se realiza manualmente por el atacante después de obtener privilegios de administrador o dominio, por lo que la “persistencia” viene dada por cuentas comprometidas, backdoors, herramientas de acceso remoto y tareas programadas. También se han observado servicios y jobs diseñados para relanzar el binario en cada reinicio.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como ALPHV/BlackCat:

Code:
cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

[] Antivirus y EDR: Realizar escaneo completo en todos los endpoints y servidores asociados al incidente. Activar la monitorización avanzada en el EDR para detectar cifradores masivos y accesos anómalos a volúmenes de red. [] HIPS: Configurar reglas para bloquear ejecución de binarios desde rutas temporales, perfiles de usuario y shares, así como scripts con comportamiento de cifrado intensivo. [] Firewall y aislamiento: Usar el módulo de firewall para aislar inmediatamente el host comprometido (bloqueo de todo tráfico salvo hacia el servidor de gestión) y reducir movimiento lateral. [] Sandbox: Analizar cualquier ejecutable extraño usado por administradores o procesos remotos antes de desplegarlo en más equipos.
Post-incidente: Forzar cambio de contraseñas de cuentas privilegiadas, revocar sesiones RDP y limpiar herramientas de acceso remoto no autorizadas, además de restaurar desde backups offline verificados.

]]> <![CDATA[LockBit 3.0 (LockBit Black)]]> https://forum.getoverx.com/showthread.php?tid=102 Fri, 05 Dec 2025 15:58:24 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=102 Nombre: LockBit 3.0 (LockBit Black)

Categoría: Ransomware (cifrado de archivos, doble/triple extorsión)

Fecha de descubrimiento: Marzo 2022

Comportamiento (lo que hace y archivos que infecta):
- Variante avanzada de la familia LockBit, operada como Ransomware-as-a-Service (RaaS).
- Una vez ejecutado, escanea todas las unidades locales y de red en busca de:
- Documentos Office, PDF, imágenes y proyectos.
- Bases de datos y ficheros de aplicaciones corporativas.
- Backups accesibles y unidades mapeadas (shares SMB, NAS, etc.).
- Cifra estos archivos utilizando esquemas de cifrado fuertes (normalmente combinando criptografía simétrica y asimétrica), dejando notas de rescate en cada carpeta afectada.
- Antes o durante el cifrado, suele exfiltrar información sensible hacia servidores controlados por los atacantes para:
- Amenazar con la filtración pública de datos.
- Aumentar la presión para el pago del rescate (doble o triple extorsión).
- A menudo desactiva servicios de seguridad, detiene procesos que bloquean archivos (bases de datos, servicios de backup) y puede borrar copias de sombra para dificultar la recuperación.

Persistencia:
- Utiliza técnicas como:
- Claves de ejecución automática en el Registro (Run/RunOnce u otras rutas de inicio).
- Creación de tareas programadas que relanzan el binario de ransomware o sus loaders.
- Abusa de herramientas administrativas (PSExec, Group Policy, scripts PowerShell, etc.) para:
- Desplegar el payload en múltiples equipos del dominio.
- Mantener el control durante el tiempo suficiente para cifrar la mayor cantidad de archivos posible.
- Los operadores pueden mantener persistencia adicional mediante:
- Cuentas de dominio comprometidas.
- Herramientas de administración remota.
- Backdoors adicionales desplegados antes o después del cifrado.

Hash real de referencia (SHA-256):
Muestra pública asociada a LockBit (familia LockBit, incluyendo variantes recientes):

Code:
43ced481e0f68fe57be3246cc5aede353c9d34f4e15d0afe443b5de9514d3ce4

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Antivirus:
- Ejecutar un escaneo completo con firmas actualizadas para localizar:
- El ejecutable principal de LockBit 3.0.
- Droppers, scripts y herramientas auxiliares usados en la cadena de infección.
- Mantener activas las heurísticas de ransomware para detectar:
- Patrones de cifrado masivo.
- Acceso intensivo a archivos en shares y unidades de red.
- Eliminar o poner en cuarentena todas las detecciones y repetir el escaneo antes de reconectar el host a la red.
Firewall:
- Bloquear conexiones salientes sospechosas (especialmente hacia IPs/C2 desconocidos) desde el host afectado para limitar:
- La exfiltración de datos.
- La comunicación con paneles de control de los operadores.
- Restringir el tráfico SMB, RDP y otros protocolos de administración remota a orígenes/destinos estrictamente necesarios.
- Aislar rápidamente los hosts que muestren actividad de cifrado o conexiones de red anómalas.
HIPS/EDR:
- Activar reglas que detecten comportamientos típicos de ransomware:
- Creación masiva de archivos cifrados y cambios rápidos de extensiones.
- Borrado de Shadow Copies o uso de herramientas como
Code:
vssadmin
y
Code:
wmic
para deshabilitar restauración.
- Uso anómalo de herramientas administrativas (PSExec, scripts de dominio, GPOs) para desplegar ejecutables en varios equipos.
- Configurar respuesta automática para:
- Matar el proceso malicioso en cuanto se detecte el patrón de cifrado.
- Bloquear el hash del ejecutable sospechoso.
- Iniciar el aislamiento de red del endpoint afectado (cortar SMB, RDP, etc.).
- Registrar todos los eventos en los logs unificados de GetOverX para análisis forense posterior.
Sandbox:
- Ejecutar adjuntos y ejecutables sospechosos en el módulo de Sandbox antes de permitir su ejecución en el entorno real, especialmente:
- Ficheros recibidos por correo electrónico.
- Descargas provenientes de enlaces dudosos o herramientas “administrativas” entregadas por terceros.
- Observar si:
- Intentan cifrar archivos en la VM de prueba.
- Crean tareas programadas o claves de Registro para persistencia.
- Establecen conexiones hacia C2 o direcciones IP no habituales.
Recuperación:
- Desconectar el equipo de la red o aplicar el perfil de Firewall Strict para cortar comunicaciones y propagación lateral.
- Limpiar con GetOverX Shield (Antivirus + EDR) todos los artefactos de LockBit y herramientas auxiliares.
- Restaurar datos únicamente desde backups offline verificados (no accesibles durante el incidente):
- Verificar previamente que los backups no estén cifrados ni manipulados.
- Tras la recuperación:
- Cambiar credenciales privilegiadas (administradores de dominio, cuentas de servicio, VPN, etc.).
- Revisar GPOs, scripts de inicio y herramientas de administración remota para eliminar backdoors y configuraciones maliciosas.

Notas opcionales:
- LockBit 3.0 (LockBit Black) es una de las familias de ransomware más activas y sofisticadas, con múltiples afiliados RaaS y un fuerte enfoque en la exfiltración y publicación de datos robados para maximizar la presión sobre la víctima.]]> Nombre: LockBit 3.0 (LockBit Black)

Categoría: Ransomware (cifrado de archivos, doble/triple extorsión)

Fecha de descubrimiento: Marzo 2022

Comportamiento (lo que hace y archivos que infecta):
- Variante avanzada de la familia LockBit, operada como Ransomware-as-a-Service (RaaS).
- Una vez ejecutado, escanea todas las unidades locales y de red en busca de:
- Documentos Office, PDF, imágenes y proyectos.
- Bases de datos y ficheros de aplicaciones corporativas.
- Backups accesibles y unidades mapeadas (shares SMB, NAS, etc.).
- Cifra estos archivos utilizando esquemas de cifrado fuertes (normalmente combinando criptografía simétrica y asimétrica), dejando notas de rescate en cada carpeta afectada.
- Antes o durante el cifrado, suele exfiltrar información sensible hacia servidores controlados por los atacantes para:
- Amenazar con la filtración pública de datos.
- Aumentar la presión para el pago del rescate (doble o triple extorsión).
- A menudo desactiva servicios de seguridad, detiene procesos que bloquean archivos (bases de datos, servicios de backup) y puede borrar copias de sombra para dificultar la recuperación.

Persistencia:
- Utiliza técnicas como:
- Claves de ejecución automática en el Registro (Run/RunOnce u otras rutas de inicio).
- Creación de tareas programadas que relanzan el binario de ransomware o sus loaders.
- Abusa de herramientas administrativas (PSExec, Group Policy, scripts PowerShell, etc.) para:
- Desplegar el payload en múltiples equipos del dominio.
- Mantener el control durante el tiempo suficiente para cifrar la mayor cantidad de archivos posible.
- Los operadores pueden mantener persistencia adicional mediante:
- Cuentas de dominio comprometidas.
- Herramientas de administración remota.
- Backdoors adicionales desplegados antes o después del cifrado.

Hash real de referencia (SHA-256):
Muestra pública asociada a LockBit (familia LockBit, incluyendo variantes recientes):

Code:
43ced481e0f68fe57be3246cc5aede353c9d34f4e15d0afe443b5de9514d3ce4

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Antivirus:
- Ejecutar un escaneo completo con firmas actualizadas para localizar:
- El ejecutable principal de LockBit 3.0.
- Droppers, scripts y herramientas auxiliares usados en la cadena de infección.
- Mantener activas las heurísticas de ransomware para detectar:
- Patrones de cifrado masivo.
- Acceso intensivo a archivos en shares y unidades de red.
- Eliminar o poner en cuarentena todas las detecciones y repetir el escaneo antes de reconectar el host a la red.
Firewall:
- Bloquear conexiones salientes sospechosas (especialmente hacia IPs/C2 desconocidos) desde el host afectado para limitar:
- La exfiltración de datos.
- La comunicación con paneles de control de los operadores.
- Restringir el tráfico SMB, RDP y otros protocolos de administración remota a orígenes/destinos estrictamente necesarios.
- Aislar rápidamente los hosts que muestren actividad de cifrado o conexiones de red anómalas.
HIPS/EDR:
- Activar reglas que detecten comportamientos típicos de ransomware:
- Creación masiva de archivos cifrados y cambios rápidos de extensiones.
- Borrado de Shadow Copies o uso de herramientas como
Code:
vssadmin
y
Code:
wmic
para deshabilitar restauración.
- Uso anómalo de herramientas administrativas (PSExec, scripts de dominio, GPOs) para desplegar ejecutables en varios equipos.
- Configurar respuesta automática para:
- Matar el proceso malicioso en cuanto se detecte el patrón de cifrado.
- Bloquear el hash del ejecutable sospechoso.
- Iniciar el aislamiento de red del endpoint afectado (cortar SMB, RDP, etc.).
- Registrar todos los eventos en los logs unificados de GetOverX para análisis forense posterior.
Sandbox:
- Ejecutar adjuntos y ejecutables sospechosos en el módulo de Sandbox antes de permitir su ejecución en el entorno real, especialmente:
- Ficheros recibidos por correo electrónico.
- Descargas provenientes de enlaces dudosos o herramientas “administrativas” entregadas por terceros.
- Observar si:
- Intentan cifrar archivos en la VM de prueba.
- Crean tareas programadas o claves de Registro para persistencia.
- Establecen conexiones hacia C2 o direcciones IP no habituales.
Recuperación:
- Desconectar el equipo de la red o aplicar el perfil de Firewall Strict para cortar comunicaciones y propagación lateral.
- Limpiar con GetOverX Shield (Antivirus + EDR) todos los artefactos de LockBit y herramientas auxiliares.
- Restaurar datos únicamente desde backups offline verificados (no accesibles durante el incidente):
- Verificar previamente que los backups no estén cifrados ni manipulados.
- Tras la recuperación:
- Cambiar credenciales privilegiadas (administradores de dominio, cuentas de servicio, VPN, etc.).
- Revisar GPOs, scripts de inicio y herramientas de administración remota para eliminar backdoors y configuraciones maliciosas.

Notas opcionales:
- LockBit 3.0 (LockBit Black) es una de las familias de ransomware más activas y sofisticadas, con múltiples afiliados RaaS y un fuerte enfoque en la exfiltración y publicación de datos robados para maximizar la presión sobre la víctima.]]> <![CDATA[Ransomware – LockBit Green (2023)]]> https://forum.getoverx.com/showthread.php?tid=60 Sat, 29 Nov 2025 16:08:04 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=60 Nombre: LockBit 3.0 (LockBit Black) – Variante inspirada en Conti

Categoría: Ransomware (cifrado de archivos, doble/triple extorsión)

Fecha de descubrimiento: 2022 (evolución tras filtración de código de Conti)

Comportamiento (lo que hace y archivos que infecta):
- Variante de LockBit 3.0 que incorpora técnicas y código inspirados en el ransomware Conti (“Conti-inspired LockBit version”).
- Escanea unidades locales y de red para localizar:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos, máquinas virtuales y backups accesibles.
- Cifra los archivos encontrados usando criptografía fuerte (generalmente combinación de cifrado simétrico + asimétrico), añadiendo extensiones específicas y dejando notas de rescate en múltiples carpetas.
- Suele exfiltrar información sensible antes o durante el cifrado para:
- Presionar con publicación de datos (doble/triple extorsión).
- Incrementar el impacto del incidente y la presión sobre la víctima.
- Comparte con Conti:
- Alta velocidad de cifrado.
- Uso intensivo de herramientas legítimas (living-off-the-land) para desplegarse y moverse lateralmente.
- Enfoque en entornos corporativos y redes de dominio.

Persistencia:
- Se apoya en la misma filosofía de despliegue masivo que Conti:
- Uso de credenciales comprometidas para ejecutar el ransomware en múltiples equipos.
- Abuso de herramientas administrativas (PSExec, GPO, scripts PowerShell) para distribuir y lanzar el payload.
- Puede usar:
- Claves de ejecución automática en el Registro (Run/RunOnce).
- Tareas programadas para relanzar el binario o loaders auxiliares.
- Los operadores suelen mantener persistencia adicional mediante:
- Cuentas de dominio comprometidas.
- Herramientas de administración remota (RDP, soluciones de soporte remoto, etc.).

Hash real de referencia (SHA-256):
Muestra pública asociada a variante LockBit 3.0 inspirada en Conti:

Code:
c3ba315a8a79d3dc2aa743a20f2d6b0c85bfc74fcecb829306b701cea0443e3d

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

HIPS / EDR:
- Stop unauthorized privilege escalation:
- Crear reglas para detectar y bloquear intentos de elevación de privilegios no autorizados (por ejemplo, uso anómalo de runas, UAC bypass, abuso de servicios o tareas elevadas).
- Monitorizar:
- Creación de nuevos usuarios administradores.
- Cambios de pertenencia a grupos privilegiados (Administrators, Domain Admins).
- Configurar respuesta automática:
- Matar procesos que intenten elevar privilegios de forma sospechosa.
- Registrar y alertar de inmediato en logs unificados.
- Alert on mass file renames:
- Definir reglas para generar alertas cuando un proceso renombre gran cantidad de archivos en poco tiempo (patrón típico de cifrado).
- Combinar esta regla con detección de escrituras masivas y cambios de extensión.
Firewall:
- Block lateral movement with Firewall rules:
- Restringir tráfico SMB, RDP y otros protocolos usados para movimiento lateral únicamente a orígenes y destinos estrictamente necesarios.
- Crear segmentos de red (VLANs) que limiten la propagación entre servidores, estaciones de trabajo y entornos críticos.
- Aislar de forma inmediata los hosts con indicios de cifrado o comportamientos de ransomware para impedir que el ataque se extienda.
- Bloquear conexiones salientes hacia IPs/C2 desconocidos o reputacionalmente sospechosos para:
- Limitar exfiltración de datos.
- Cortar comunicación con el panel de control de los operadores.
Antivirus:
- Mantener motores y firmas actualizados, incluyendo heurísticas de ransomware.
- Realizar escaneos focalizados en:
- Rutas donde se despliegan herramientas administrativas y scripts.
- Directorios de sistema y de red utilizados para staging del ransomware.
- Eliminar:
- Ejecutables de LockBit 3.0.
- Droppers y herramientas auxiliares detectadas.
Sandbox:
- Probar en Sandbox:
- Ejecutables sospechosos que vayan a utilizarse en despliegues internos (scripts de administración, “actualizaciones” entregadas por terceros, etc.).
- Adjuntos y descargas que puedan venir encadenados a campañas de acceso inicial.
- Observar si:
- Ejecutan cifrado masivo.
- Realizan escalado de privilegios.
- Intentan movimiento lateral (PSExec, WMI, SMB).
Medidas posteriores al incidente:
- Revisar y revocar credenciales privilegiadas posiblemente comprometidas.
- Auditar GPOs, scripts de inicio y herramientas de administración remota en busca de backdoors o configuraciones maliciosas.
- Restaurar sistemas desde backups offline verificados, asegurando que:
- No fueron accesibles desde equipos comprometidos durante el incidente.
- No presentan rastros de cifrado o manipulación.

Notas opcionales:
- Esta variante “inspirada en Conti” combina lo peor de ambos mundos: la velocidad y agresividad de Conti con la infraestructura RaaS y la flexibilidad de la familia LockBit, orientada a compromisos en redes empresariales de gran tamaño.]]> Nombre: LockBit 3.0 (LockBit Black) – Variante inspirada en Conti

Categoría: Ransomware (cifrado de archivos, doble/triple extorsión)

Fecha de descubrimiento: 2022 (evolución tras filtración de código de Conti)

Comportamiento (lo que hace y archivos que infecta):
- Variante de LockBit 3.0 que incorpora técnicas y código inspirados en el ransomware Conti (“Conti-inspired LockBit version”).
- Escanea unidades locales y de red para localizar:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos, máquinas virtuales y backups accesibles.
- Cifra los archivos encontrados usando criptografía fuerte (generalmente combinación de cifrado simétrico + asimétrico), añadiendo extensiones específicas y dejando notas de rescate en múltiples carpetas.
- Suele exfiltrar información sensible antes o durante el cifrado para:
- Presionar con publicación de datos (doble/triple extorsión).
- Incrementar el impacto del incidente y la presión sobre la víctima.
- Comparte con Conti:
- Alta velocidad de cifrado.
- Uso intensivo de herramientas legítimas (living-off-the-land) para desplegarse y moverse lateralmente.
- Enfoque en entornos corporativos y redes de dominio.

Persistencia:
- Se apoya en la misma filosofía de despliegue masivo que Conti:
- Uso de credenciales comprometidas para ejecutar el ransomware en múltiples equipos.
- Abuso de herramientas administrativas (PSExec, GPO, scripts PowerShell) para distribuir y lanzar el payload.
- Puede usar:
- Claves de ejecución automática en el Registro (Run/RunOnce).
- Tareas programadas para relanzar el binario o loaders auxiliares.
- Los operadores suelen mantener persistencia adicional mediante:
- Cuentas de dominio comprometidas.
- Herramientas de administración remota (RDP, soluciones de soporte remoto, etc.).

Hash real de referencia (SHA-256):
Muestra pública asociada a variante LockBit 3.0 inspirada en Conti:

Code:
c3ba315a8a79d3dc2aa743a20f2d6b0c85bfc74fcecb829306b701cea0443e3d

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

HIPS / EDR:
- Stop unauthorized privilege escalation:
- Crear reglas para detectar y bloquear intentos de elevación de privilegios no autorizados (por ejemplo, uso anómalo de runas, UAC bypass, abuso de servicios o tareas elevadas).
- Monitorizar:
- Creación de nuevos usuarios administradores.
- Cambios de pertenencia a grupos privilegiados (Administrators, Domain Admins).
- Configurar respuesta automática:
- Matar procesos que intenten elevar privilegios de forma sospechosa.
- Registrar y alertar de inmediato en logs unificados.
- Alert on mass file renames:
- Definir reglas para generar alertas cuando un proceso renombre gran cantidad de archivos en poco tiempo (patrón típico de cifrado).
- Combinar esta regla con detección de escrituras masivas y cambios de extensión.
Firewall:
- Block lateral movement with Firewall rules:
- Restringir tráfico SMB, RDP y otros protocolos usados para movimiento lateral únicamente a orígenes y destinos estrictamente necesarios.
- Crear segmentos de red (VLANs) que limiten la propagación entre servidores, estaciones de trabajo y entornos críticos.
- Aislar de forma inmediata los hosts con indicios de cifrado o comportamientos de ransomware para impedir que el ataque se extienda.
- Bloquear conexiones salientes hacia IPs/C2 desconocidos o reputacionalmente sospechosos para:
- Limitar exfiltración de datos.
- Cortar comunicación con el panel de control de los operadores.
Antivirus:
- Mantener motores y firmas actualizados, incluyendo heurísticas de ransomware.
- Realizar escaneos focalizados en:
- Rutas donde se despliegan herramientas administrativas y scripts.
- Directorios de sistema y de red utilizados para staging del ransomware.
- Eliminar:
- Ejecutables de LockBit 3.0.
- Droppers y herramientas auxiliares detectadas.
Sandbox:
- Probar en Sandbox:
- Ejecutables sospechosos que vayan a utilizarse en despliegues internos (scripts de administración, “actualizaciones” entregadas por terceros, etc.).
- Adjuntos y descargas que puedan venir encadenados a campañas de acceso inicial.
- Observar si:
- Ejecutan cifrado masivo.
- Realizan escalado de privilegios.
- Intentan movimiento lateral (PSExec, WMI, SMB).
Medidas posteriores al incidente:
- Revisar y revocar credenciales privilegiadas posiblemente comprometidas.
- Auditar GPOs, scripts de inicio y herramientas de administración remota en busca de backdoors o configuraciones maliciosas.
- Restaurar sistemas desde backups offline verificados, asegurando que:
- No fueron accesibles desde equipos comprometidos durante el incidente.
- No presentan rastros de cifrado o manipulación.

Notas opcionales:
- Esta variante “inspirada en Conti” combina lo peor de ambos mundos: la velocidad y agresividad de Conti con la infraestructura RaaS y la flexibilidad de la familia LockBit, orientada a compromisos en redes empresariales de gran tamaño.]]> <![CDATA[Ransomware – BlackCat/ALPHV v2 (2023)]]> https://forum.getoverx.com/showthread.php?tid=59 Sat, 29 Nov 2025 16:07:41 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=59 Nombre: LockBit 3.0 (LockBit Black) – Variante Rust ESXi/Linux

Categoría: Ransomware (Rust-based, ESXi compatible, doble/triple extorsión)

Fecha de descubrimiento: 2022–2023 (primeras campañas Rust/ESXi)

Comportamiento (lo que hace y archivos que infecta):
- Variante de LockBit 3.0 reescrita en Rust, orientada a entornos Linux/ESXi además de sistemas Windows.
- Rust-based, ESXi compatible, data theft:
- Uso de binarios Rust multiplataforma, optimizados para cifrar:
- Máquinas virtuales (archivos de disco ESXi/VMware: VMDK, etc.).
- Ficheros de proyectos, bases de datos y datos corporativos en servidores Linux.
- Compatibilidad con entornos ESXi para atacar directamente hipervisores y cifrar múltiples VMs desde un único punto.
- Exfiltración de datos previa al cifrado (documentación interna, bases de datos, proyectos, backups montados), utilizada en esquemas de doble o triple extorsión.
- En servidores:
- Puede detener servicios críticos (bases de datos, servicios de backup, VMs) antes del cifrado para maximizar el daño.
- Recorre shares y sistemas de archivos montados (NFS/SMB/iSCSI) buscando directorios con datos de alto valor.
- En entornos de gestión:
- Abusa de PowerShell (en sistemas Windows) y SSH (en Linux/ESXi) para desplegar y ejecutar el payload en hosts remotos.

Persistencia:
- Uso de credenciales comprometidas (administradores de dominio, cuentas de administración de ESXi, cuentas de Linux con sudo) para:
- Mantener acceso prolongado a hipervisores y servidores.
- Repetir la ejecución del ransomware en caso de fallos iniciales.
- En Windows:
- Posible uso de tareas programadas, claves Run/RunOnce y scripts PowerShell para relanzar binarios Rust empaquetados.
- En Linux/ESXi:
- Posible abuso de:
- Cron jobs y scripts de inicio (rc.local, systemd services).
- Claves SSH añadidas a

Code:
authorized_keys

para mantener acceso persistente.
- Los operadores suelen acompañar esta persistencia con herramientas de administración remota y túneles (SSH, VPN) para moverse lateralmente por la infraestructura.

Hash real de referencia (SHA-256):
Muestra pública asociada a variante Rust ESXi:

Code:
5ce2dcc79ff924ec84ad47d2e929b0102ff522b64fc679e26a3604f29f57b8c3

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Monitorización de ESXi / servidores:
- Monitor ESXi logs via remote agent:
- Desplegar el agente de GetOverX Shield o un colector remoto en:
- Hosts de gestión que acceden a ESXi.
- Servidores intermedios que puedan leer logs de ESXi (via API/SSH).
- Correlacionar en logs unificados:
- Eventos de apagado/apagado forzado de VMs.
- Montaje/desmontaje masivo de datastores.
- Sesiones SSH inusuales hacia hipervisores ESXi.
- Generar alertas cuando:
- Se detecten accesos SSH desde IPs no habituales.
- Aparezcan comandos de borrado/cifrado de VMs o detención masiva de máquinas.
HIPS / EDR (PowerShell y SSH):
- Stop suspicious PowerShell/SSH operations:
- En Windows:
- Monitorizar PowerShell para:
- Descarga/ejecución de binarios Rust.
- Creación de tareas programadas o servicios que lancen ejecutables desconocidos.
- Bloquear scripts que invoquen herramientas administrativas remotas (psexec, plink, etc.) sin justificación.
- En Linux/ESXi (vista desde endpoints con GetOverX Shield):
- Registrar el uso de SSH desde servidores de salto (jump hosts) y equipos de administración.
- Disparar alertas cuando se detecten comandos masivos de cifrado, movimientos de VMs o cambios en permisos de carpetas de datos.
- Configurar respuesta automática para:
- Matar procesos de PowerShell/SSH que ejecuten cadenas sospechosas.
- Aislar el host (reglas de firewall reforzadas) si se detecta actividad propia de despliegue de ransomware.
Antivirus + YARA:
- AV + YARA scanning for Rust-based payloads:
- Mantener el motor AV actualizado con detecciones específicas de binarios Rust vinculados a ransomware.
- Ejecutar escaneos bajo demanda en:
- Servidores de gestión.
- Repositorios de scripts y herramientas administrativas.
- Integrar reglas YARA para:
- Detectar patrones de binarios Rust maliciosos.
- Ubicar payloads almacenados en shares, directorios temporales y rutas de despliegue.
- Utilizar YARA junto con la función de escaneo de GetOverX Shield (o sus herramientas auxiliares) para:
- Revisar imágenes de VM y datastores descargados (offline) antes de volver a ponerlos en producción.
- Buscar persistencia de loaders o herramientas auxiliares que queden abandonadas en los servidores.
Firewall y segmentación:
- Segmentar redes de administración:
- Separar la administración de ESXi y almacenamiento del resto de la red corporativa.
- Restringir qué equipos pueden usar SSH/PowerShell hacia hosts críticos.
- Aplicar políticas estrictas de firewall para:
- Limitar conexiones entre servidores de gestión y otros segmentos.
- Bloquear conexiones salientes desde hosts críticos hacia Internet, salvo excepciones controladas.
- Aislar de inmediato cualquier nodo que empiece a mostrar:
- Cambios masivos de nombres/extensiones de ficheros.
- Acceso intensivo a datastores o shares de backup.
Medidas posteriores al incidente:
- Auditar credenciales de administración de ESXi, Linux y Windows:
- Rotar contraseñas.
- Regenerar claves SSH.
- Revisar grupos de administradores y cuentas de servicio.
- Revisar:
- GPOs, scripts PowerShell de despliegue y repositorios de automatización (Ansible, etc.) en busca de scripts alterados.
- Configuraciones de acceso remoto (VPN, jump servers) para eliminar backdoors.
- Restaurar VMs y datos desde backups offline verificados, comprobando que:
- No contienen binarios Rust maliciosos.
- No fueron accesibles durante la ventana del ataque.

Notas opcionales:
- Las variantes Rust orientadas a ESXi representan una amenaza crítica para entornos de virtualización: un único host comprometido puede permitir cifrar decenas o cientos de máquinas virtuales en cuestión de minutos.]]> Nombre: LockBit 3.0 (LockBit Black) – Variante Rust ESXi/Linux

Categoría: Ransomware (Rust-based, ESXi compatible, doble/triple extorsión)

Fecha de descubrimiento: 2022–2023 (primeras campañas Rust/ESXi)

Comportamiento (lo que hace y archivos que infecta):
- Variante de LockBit 3.0 reescrita en Rust, orientada a entornos Linux/ESXi además de sistemas Windows.
- Rust-based, ESXi compatible, data theft:
- Uso de binarios Rust multiplataforma, optimizados para cifrar:
- Máquinas virtuales (archivos de disco ESXi/VMware: VMDK, etc.).
- Ficheros de proyectos, bases de datos y datos corporativos en servidores Linux.
- Compatibilidad con entornos ESXi para atacar directamente hipervisores y cifrar múltiples VMs desde un único punto.
- Exfiltración de datos previa al cifrado (documentación interna, bases de datos, proyectos, backups montados), utilizada en esquemas de doble o triple extorsión.
- En servidores:
- Puede detener servicios críticos (bases de datos, servicios de backup, VMs) antes del cifrado para maximizar el daño.
- Recorre shares y sistemas de archivos montados (NFS/SMB/iSCSI) buscando directorios con datos de alto valor.
- En entornos de gestión:
- Abusa de PowerShell (en sistemas Windows) y SSH (en Linux/ESXi) para desplegar y ejecutar el payload en hosts remotos.

Persistencia:
- Uso de credenciales comprometidas (administradores de dominio, cuentas de administración de ESXi, cuentas de Linux con sudo) para:
- Mantener acceso prolongado a hipervisores y servidores.
- Repetir la ejecución del ransomware en caso de fallos iniciales.
- En Windows:
- Posible uso de tareas programadas, claves Run/RunOnce y scripts PowerShell para relanzar binarios Rust empaquetados.
- En Linux/ESXi:
- Posible abuso de:
- Cron jobs y scripts de inicio (rc.local, systemd services).
- Claves SSH añadidas a

Code:
authorized_keys

Code:
5ce2dcc79ff924ec84ad47d2e929b0102ff522b64fc679e26a3604f29f57b8c3

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Monitorización de ESXi / servidores:
- Monitor ESXi logs via remote agent:
- Desplegar el agente de GetOverX Shield o un colector remoto en:
- Hosts de gestión que acceden a ESXi.
- Servidores intermedios que puedan leer logs de ESXi (via API/SSH).
- Correlacionar en logs unificados:
- Eventos de apagado/apagado forzado de VMs.
- Montaje/desmontaje masivo de datastores.
- Sesiones SSH inusuales hacia hipervisores ESXi.
- Generar alertas cuando:
- Se detecten accesos SSH desde IPs no habituales.
- Aparezcan comandos de borrado/cifrado de VMs o detención masiva de máquinas.
HIPS / EDR (PowerShell y SSH):
- Stop suspicious PowerShell/SSH operations:
- En Windows:
- Monitorizar PowerShell para:
- Descarga/ejecución de binarios Rust.
- Creación de tareas programadas o servicios que lancen ejecutables desconocidos.
- Bloquear scripts que invoquen herramientas administrativas remotas (psexec, plink, etc.) sin justificación.
- En Linux/ESXi (vista desde endpoints con GetOverX Shield):
- Registrar el uso de SSH desde servidores de salto (jump hosts) y equipos de administración.
- Disparar alertas cuando se detecten comandos masivos de cifrado, movimientos de VMs o cambios en permisos de carpetas de datos.
- Configurar respuesta automática para:
- Matar procesos de PowerShell/SSH que ejecuten cadenas sospechosas.
- Aislar el host (reglas de firewall reforzadas) si se detecta actividad propia de despliegue de ransomware.
Antivirus + YARA:
- AV + YARA scanning for Rust-based payloads:
- Mantener el motor AV actualizado con detecciones específicas de binarios Rust vinculados a ransomware.
- Ejecutar escaneos bajo demanda en:
- Servidores de gestión.
- Repositorios de scripts y herramientas administrativas.
- Integrar reglas YARA para:
- Detectar patrones de binarios Rust maliciosos.
- Ubicar payloads almacenados en shares, directorios temporales y rutas de despliegue.
- Utilizar YARA junto con la función de escaneo de GetOverX Shield (o sus herramientas auxiliares) para:
- Revisar imágenes de VM y datastores descargados (offline) antes de volver a ponerlos en producción.
- Buscar persistencia de loaders o herramientas auxiliares que queden abandonadas en los servidores.
Firewall y segmentación:
- Segmentar redes de administración:
- Separar la administración de ESXi y almacenamiento del resto de la red corporativa.
- Restringir qué equipos pueden usar SSH/PowerShell hacia hosts críticos.
- Aplicar políticas estrictas de firewall para:
- Limitar conexiones entre servidores de gestión y otros segmentos.
- Bloquear conexiones salientes desde hosts críticos hacia Internet, salvo excepciones controladas.
- Aislar de inmediato cualquier nodo que empiece a mostrar:
- Cambios masivos de nombres/extensiones de ficheros.
- Acceso intensivo a datastores o shares de backup.
Medidas posteriores al incidente:
- Auditar credenciales de administración de ESXi, Linux y Windows:
- Rotar contraseñas.
- Regenerar claves SSH.
- Revisar grupos de administradores y cuentas de servicio.
- Revisar:
- GPOs, scripts PowerShell de despliegue y repositorios de automatización (Ansible, etc.) en busca de scripts alterados.
- Configuraciones de acceso remoto (VPN, jump servers) para eliminar backdoors.
- Restaurar VMs y datos desde backups offline verificados, comprobando que:
- No contienen binarios Rust maliciosos.
- No fueron accesibles durante la ventana del ataque.

Notas opcionales:
- Las variantes Rust orientadas a ESXi representan una amenaza crítica para entornos de virtualización: un único host comprometido puede permitir cifrar decenas o cientos de máquinas virtuales en cuestión de minutos.]]> <![CDATA[Ransomware – NoEscape (2023)]]> https://forum.getoverx.com/showthread.php?tid=58 Sat, 29 Nov 2025 16:06:36 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=58 Nombre: LockBit 3.x – Variante multi-plataforma RaaS (AES/RSA)

Categoría: Ransomware (cifrado híbrido AES/RSA, multi-plataforma RaaS)

Fecha de descubrimiento: 2022–2023 (campañas multi-plataforma)

Comportamiento (lo que hace y archivos que infecta):
- Variante operada como Ransomware-as-a-Service (RaaS), con binarios adaptados para diferentes plataformas (Windows, Linux/servidores, entornos virtualizados).
- AES/RSA hybrid encryption:
- Utiliza cifrado simétrico (AES) para cifrar el contenido de los archivos.
- Protege las claves de sesión con cifrado asimétrico (RSA), impidiendo el descifrado sin la clave privada del atacante.
- Escanea unidades locales y de red en busca de:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos, máquinas virtuales y backups accesibles.
- Shares SMB/NFS y unidades mapeadas.
- Suelen acompañarse de:
- Exfiltración de datos antes o durante el cifrado (doble/triple extorsión).
- Intentos de detener servicios de seguridad, bases de datos y procesos que bloquean archivos para maximizar el impacto.
- En entornos multi-plataforma:
- Puede existir un binario por sistema (Windows/Linux/ESXi), compartiendo la misma infraestructura de C2 y esquema de extorsión.

Persistencia:
- Uso de mecanismos estándar para mantenerse activo el tiempo suficiente para cifrar a gran escala:
- Claves de Registro de ejecución automática (Run/RunOnce) y/o servicios en Windows.
- Tareas programadas (schtasks, cron) para relanzar el binario o sus loaders.
- Abuso de herramientas de administración y despliegue:
- PSExec, scripts PowerShell, GPOs en dominios Windows.
- SSH, scripts de automatización y herramientas de gestión en servidores Linux/hipervisores.
- Persistencia operativa:
- Uso de credenciales comprometidas y herramientas de acceso remoto para volver a lanzar el cifrado si la primera oleada es interrumpida.

Hash real de referencia (SHA-256):
Muestra pública asociada a variante multi-plataforma:

Code:
8e89dba3ef7ef55a344d7d68ed8b59f01de40cd7177f2645cae1e75aad8eafcc

Mitigación con GetOverX Shield v3.0.2.0 o superior:

HIPS / EDR:
- Activar el behavioral ransomware blocker (EDR) para detectar patrones de cifrado masivo y cambios rápidos de extensión en múltiples archivos.
- Kill unauthorized encryption threads:
- Crear reglas que identifiquen procesos que:
- Abren y reescriben un gran volumen de archivos en poco tiempo.
- Renombran cientos o miles de ficheros con nuevas extensiones desconocidas.
- Configurar respuesta automática para:
- Matar el proceso responsable del cifrado.
- Bloquear el hash del binario para futuras ejecuciones.
- Vigilar intentos de:
- Borrado de Shadow Copies.
- Desactivación de servicios de seguridad.
- Uso anómalo de herramientas administrativas para desplegar el payload.
Firewall / Aislamiento:
- Auto-isolate host from network:
- Integrar el EDR con el módulo de firewall para que, ante detección de comportamiento de ransomware, se apliquen reglas de aislamiento:
- Bloqueo de SMB, RDP y otros protocolos de movimiento lateral.
- Restricción de todas las conexiones salientes salvo las necesarias para la gestión y el análisis forense.
- Restringir de forma preventiva:
- Acceso entre segmentos críticos (servidores de ficheros, hipervisores, sistemas de backup).
- Tráfico hacia IPs/C2 desconocidos asociados a la familia o campaña.
Antivirus:
- Mantener firmas y heurísticas específicas de ransomware actualizadas.
- Ejecutar escaneos en:
- Directorios de sistema, ProgramData y rutas de despliegue habituales.
- Shares y unidades de red mapeadas donde puedan residir los binarios multi-plataforma.
- Eliminar o poner en cuarentena:
- Ejecutables principales.
- Droppers y scripts auxiliares.
Sandbox:
- Ejecutar en Sandbox cualquier binario o herramienta administrativa sospechosa antes de distribuirla en la red:
- Scripts de actualización.
- Utilidades entregadas por terceros/proveedores.
- Observar:
- Intentos de cifrado masivo, cambios de extensión y generación de notas de rescate.
- Creación de nuevas tareas programadas o claves de persistencia.
Medidas posteriores al incidente:
- Revisar y rotar credenciales privilegiadas (dominio, ESXi, Linux, cuentas de servicio).
- Auditar scripts de automatización, GPOs y herramientas de despliegue para detectar inyecciones maliciosas.
- Restaurar datos únicamente desde backups offline verificados, asegurando que:
- No estuvieron accesibles durante el incidente.
- No contienen copias del ransomware ni loaders.

Notas opcionales:
- Las variantes multi-plataforma en Rust/AES/RSA refuerzan la capacidad de operar campañas RaaS contra infraestructuras heterogéneas (Windows + Linux/ESXi), aumentando el impacto potencial de un único compromiso.]]> Nombre: LockBit 3.x – Variante multi-plataforma RaaS (AES/RSA)

Categoría: Ransomware (cifrado híbrido AES/RSA, multi-plataforma RaaS)

Fecha de descubrimiento: 2022–2023 (campañas multi-plataforma)

Comportamiento (lo que hace y archivos que infecta):
- Variante operada como Ransomware-as-a-Service (RaaS), con binarios adaptados para diferentes plataformas (Windows, Linux/servidores, entornos virtualizados).
- AES/RSA hybrid encryption:
- Utiliza cifrado simétrico (AES) para cifrar el contenido de los archivos.
- Protege las claves de sesión con cifrado asimétrico (RSA), impidiendo el descifrado sin la clave privada del atacante.
- Escanea unidades locales y de red en busca de:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos, máquinas virtuales y backups accesibles.
- Shares SMB/NFS y unidades mapeadas.
- Suelen acompañarse de:
- Exfiltración de datos antes o durante el cifrado (doble/triple extorsión).
- Intentos de detener servicios de seguridad, bases de datos y procesos que bloquean archivos para maximizar el impacto.
- En entornos multi-plataforma:
- Puede existir un binario por sistema (Windows/Linux/ESXi), compartiendo la misma infraestructura de C2 y esquema de extorsión.

Persistencia:
- Uso de mecanismos estándar para mantenerse activo el tiempo suficiente para cifrar a gran escala:
- Claves de Registro de ejecución automática (Run/RunOnce) y/o servicios en Windows.
- Tareas programadas (schtasks, cron) para relanzar el binario o sus loaders.
- Abuso de herramientas de administración y despliegue:
- PSExec, scripts PowerShell, GPOs en dominios Windows.
- SSH, scripts de automatización y herramientas de gestión en servidores Linux/hipervisores.
- Persistencia operativa:
- Uso de credenciales comprometidas y herramientas de acceso remoto para volver a lanzar el cifrado si la primera oleada es interrumpida.

Hash real de referencia (SHA-256):
Muestra pública asociada a variante multi-plataforma:

Code:
8e89dba3ef7ef55a344d7d68ed8b59f01de40cd7177f2645cae1e75aad8eafcc

Mitigación con GetOverX Shield v3.0.2.0 o superior:

HIPS / EDR:
- Activar el behavioral ransomware blocker (EDR) para detectar patrones de cifrado masivo y cambios rápidos de extensión en múltiples archivos.
- Kill unauthorized encryption threads:
- Crear reglas que identifiquen procesos que:
- Abren y reescriben un gran volumen de archivos en poco tiempo.
- Renombran cientos o miles de ficheros con nuevas extensiones desconocidas.
- Configurar respuesta automática para:
- Matar el proceso responsable del cifrado.
- Bloquear el hash del binario para futuras ejecuciones.
- Vigilar intentos de:
- Borrado de Shadow Copies.
- Desactivación de servicios de seguridad.
- Uso anómalo de herramientas administrativas para desplegar el payload.
Firewall / Aislamiento:
- Auto-isolate host from network:
- Integrar el EDR con el módulo de firewall para que, ante detección de comportamiento de ransomware, se apliquen reglas de aislamiento:
- Bloqueo de SMB, RDP y otros protocolos de movimiento lateral.
- Restricción de todas las conexiones salientes salvo las necesarias para la gestión y el análisis forense.
- Restringir de forma preventiva:
- Acceso entre segmentos críticos (servidores de ficheros, hipervisores, sistemas de backup).
- Tráfico hacia IPs/C2 desconocidos asociados a la familia o campaña.
Antivirus:
- Mantener firmas y heurísticas específicas de ransomware actualizadas.
- Ejecutar escaneos en:
- Directorios de sistema, ProgramData y rutas de despliegue habituales.
- Shares y unidades de red mapeadas donde puedan residir los binarios multi-plataforma.
- Eliminar o poner en cuarentena:
- Ejecutables principales.
- Droppers y scripts auxiliares.
Sandbox:
- Ejecutar en Sandbox cualquier binario o herramienta administrativa sospechosa antes de distribuirla en la red:
- Scripts de actualización.
- Utilidades entregadas por terceros/proveedores.
- Observar:
- Intentos de cifrado masivo, cambios de extensión y generación de notas de rescate.
- Creación de nuevas tareas programadas o claves de persistencia.
Medidas posteriores al incidente:
- Revisar y rotar credenciales privilegiadas (dominio, ESXi, Linux, cuentas de servicio).
- Auditar scripts de automatización, GPOs y herramientas de despliegue para detectar inyecciones maliciosas.
- Restaurar datos únicamente desde backups offline verificados, asegurando que:
- No estuvieron accesibles durante el incidente.
- No contienen copias del ransomware ni loaders.

Notas opcionales:
- Las variantes multi-plataforma en Rust/AES/RSA refuerzan la capacidad de operar campañas RaaS contra infraestructuras heterogéneas (Windows + Linux/ESXi), aumentando el impacto potencial de un único compromiso.]]> <![CDATA[Ransomware – 8Base (2023)]]> https://forum.getoverx.com/showthread.php?tid=57 Sat, 29 Nov 2025 16:05:16 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=57 Nombre: 8Base

Categoría: Ransomware (RaaS, cifrado de archivos, doble extorsión)

Fecha de descubrimiento: 2023 (campañas activas contra PYMEs / SMBs)

Comportamiento (lo que hace y archivos que infecta):
- Highly active RaaS operation targeting SMBs:
- Operado como Ransomware-as-a-Service (RaaS), con afiliados que apuntan sobre todo a pequeñas y medianas empresas.
- Se aprovecha de:
- Segmentación de red limitada.
- Ausencia de EDR avanzado.
- Gestión deficiente de cuentas administrativas y accesos remotos.
- Vectores de acceso inicial típicos:
- Credenciales robadas de RDP, VPN, paneles de hosting, paneles de administración web.
- Explotación de servicios expuestos a Internet con vulnerabilidades conocidas.
- Campañas de phishing dirigidas que entregan loaders o herramientas de acceso remoto.
- Una vez dentro de la red:
- Realiza reconocimiento (equipos, shares, servidores, backups accesibles).
- Intenta escalar privilegios hasta obtener cuentas de administrador local o de dominio.
- Cifra archivos de usuario y datos de negocio:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos, recursos compartidos (SMB/NAS) y copias de seguridad conectadas.
- Suele realizar exfiltración de datos antes o durante el cifrado, para presionar a la víctima con la publicación en sitios de “data leak”.
- Archivos afectados:
- Cualquier archivo de valor de negocio al que tenga acceso con los privilegios obtenidos.
- Backups presentes en discos externos montados, NAS o shares de backup conectados en el momento del ataque.

Persistencia:
- Se mantiene activo el tiempo suficiente para cifrar el máximo posible, utilizando:
- Claves de Registro Run/RunOnce y/o servicios en Windows para relanzar el binario en endpoints.
- Tareas programadas que reejecutan el payload o scripts de soporte.
- A nivel de operación RaaS:
- Uso sostenido de credenciales comprometidas y herramientas de administración remota (RDP, VPN, software de soporte) para volver a entrar si no se corrige la brecha original.
- Posibles backdoors adicionales (cuentas ocultas, claves SSH, herramientas de acceso remoto instaladas silenciosamente).

Hash real de referencia (SHA-256):
Muestra pública asociada a 8Base:

Code:
0f27b8e53b2887d2cc88d2f35f674ba9099fad21a7d6cd6c6ca0c5e96e8a4b6d

Mitigación con GetOverX Shield v3.0.2.0 o superior:

HIPS / EDR:
- Detect privilege escalation attempts (EDR):
- Crear reglas para detectar:
- Uso anómalo de herramientas de elevación de privilegios (runas, UAC bypass, exploits locales).
- Cambios en pertenencia a grupos privilegiados (Administrators, Domain Admins).
- Creación de cuentas nuevas con privilegios altos fuera de los procedimientos normales.
- Al detectar un intento de escalado no autorizado:
- Generar alerta de alta prioridad.
- Registrar detalle (usuario, host, comando, hora) en los logs unificados.
- Activar el bloqueador de ransomware por comportamiento:
- Detección de cifrado masivo y cambios rápidos de extensión en muchos archivos.
- Respuesta automática:
- Matar el proceso responsable del cifrado.
- Bloquear el hash del binario para futuras ejecuciones.
- Iniciar el aislamiento del host (ver sección Firewall).
Antivirus:
- Block unsigned binaries (AV):
- Configurar políticas para bloquear o poner en cuarentena:
- Binarios sin firma que se ejecuten desde rutas no estándar (Descargas, Temp, escritorio, perfiles de usuario).
- Ejecutables desconocidos iniciados por primera vez en servidores de ficheros, contabilidad o sistemas críticos.
- Mantener firmas y heurísticas actualizadas para:
- Detectar loaders, droppers y herramientas auxiliares asociadas a 8Base.
- Ejecutar escaneos periódicos en:
- Servidores clave de la organización.
- Unidades de red mapeadas utilizadas para compartir documentos y backups.
Sandbox:
- Sandbox suspicious downloads:
- Enviar a la Sandbox:
- Descargas de Internet con ejecutables o scripts.
- Adjuntos de correo comprimidos o con macros.
- Herramientas “de soporte” recibidas de terceros/proveedores antes de instalarlas.
- Observar si:
- Intentan cifrar datos o renombrar masivamente archivos.
- Crean tareas programadas, claves de Registro de inicio o servicios sospechosos.
- Se comunican con dominios/IPs poco habituales o recién vistos.
- Sólo permitir la ejecución en el entorno real si el archivo supera el análisis sin indicadores maliciosos.
Firewall / Segmentación:
- Limitar la superficie de ataque:
- Exponer el mínimo posible de servicios a Internet, siempre con MFA y listas de IP permitidas en VPN/RDP.
- Segmentar la red para que una sola estación comprometida no tenga acceso directo a todos los servidores y shares.
- Aislar automáticamente cualquier host donde:
- El EDR detecte comportamiento de ransomware.
- Se observen conexiones sospechosas hacia infraestructura de 8Base o IPs desconocidas.
- El aislamiento puede incluir:
- Bloquear SMB, RDP y otros protocolos de movimiento lateral.
- Restringir todo tráfico saliente salvo el estrictamente necesario para análisis y remediación.
Medidas posteriores al incidente:
- Revisar y rotar credenciales de:
- Administradores locales y de dominio.
- Cuentas con acceso remoto (VPN/RDP).
- Cuentas de servicio utilizadas por aplicaciones críticas.
- Validar y reforzar:
- Políticas de correo y filtrado de adjuntos.
- Procedimientos de instalación de software (sólo desde repositorios y proveedores confiables).
- Restaurar datos únicamente desde backups offline verificados, confirmando que:
- No estuvieron montados ni accesibles durante el incidente.
- No contienen binarios ni scripts relacionados con 8Base.

Notas opcionales:
- 8Base se caracteriza por campañas agresivas contra PYMEs, combinando cifrado de datos con filtración en sitios de fuga para maximizar la presión económica y reputacional sobre las víctimas.]]> Nombre: 8Base

Categoría: Ransomware (RaaS, cifrado de archivos, doble extorsión)

Fecha de descubrimiento: 2023 (campañas activas contra PYMEs / SMBs)

Comportamiento (lo que hace y archivos que infecta):
- Highly active RaaS operation targeting SMBs:
- Operado como Ransomware-as-a-Service (RaaS), con afiliados que apuntan sobre todo a pequeñas y medianas empresas.
- Se aprovecha de:
- Segmentación de red limitada.
- Ausencia de EDR avanzado.
- Gestión deficiente de cuentas administrativas y accesos remotos.
- Vectores de acceso inicial típicos:
- Credenciales robadas de RDP, VPN, paneles de hosting, paneles de administración web.
- Explotación de servicios expuestos a Internet con vulnerabilidades conocidas.
- Campañas de phishing dirigidas que entregan loaders o herramientas de acceso remoto.
- Una vez dentro de la red:
- Realiza reconocimiento (equipos, shares, servidores, backups accesibles).
- Intenta escalar privilegios hasta obtener cuentas de administrador local o de dominio.
- Cifra archivos de usuario y datos de negocio:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos, recursos compartidos (SMB/NAS) y copias de seguridad conectadas.
- Suele realizar exfiltración de datos antes o durante el cifrado, para presionar a la víctima con la publicación en sitios de “data leak”.
- Archivos afectados:
- Cualquier archivo de valor de negocio al que tenga acceso con los privilegios obtenidos.
- Backups presentes en discos externos montados, NAS o shares de backup conectados en el momento del ataque.

Persistencia:
- Se mantiene activo el tiempo suficiente para cifrar el máximo posible, utilizando:
- Claves de Registro Run/RunOnce y/o servicios en Windows para relanzar el binario en endpoints.
- Tareas programadas que reejecutan el payload o scripts de soporte.
- A nivel de operación RaaS:
- Uso sostenido de credenciales comprometidas y herramientas de administración remota (RDP, VPN, software de soporte) para volver a entrar si no se corrige la brecha original.
- Posibles backdoors adicionales (cuentas ocultas, claves SSH, herramientas de acceso remoto instaladas silenciosamente).

Hash real de referencia (SHA-256):
Muestra pública asociada a 8Base:

Code:
0f27b8e53b2887d2cc88d2f35f674ba9099fad21a7d6cd6c6ca0c5e96e8a4b6d

Mitigación con GetOverX Shield v3.0.2.0 o superior:

HIPS / EDR:
- Detect privilege escalation attempts (EDR):
- Crear reglas para detectar:
- Uso anómalo de herramientas de elevación de privilegios (runas, UAC bypass, exploits locales).
- Cambios en pertenencia a grupos privilegiados (Administrators, Domain Admins).
- Creación de cuentas nuevas con privilegios altos fuera de los procedimientos normales.
- Al detectar un intento de escalado no autorizado:
- Generar alerta de alta prioridad.
- Registrar detalle (usuario, host, comando, hora) en los logs unificados.
- Activar el bloqueador de ransomware por comportamiento:
- Detección de cifrado masivo y cambios rápidos de extensión en muchos archivos.
- Respuesta automática:
- Matar el proceso responsable del cifrado.
- Bloquear el hash del binario para futuras ejecuciones.
- Iniciar el aislamiento del host (ver sección Firewall).
Antivirus:
- Block unsigned binaries (AV):
- Configurar políticas para bloquear o poner en cuarentena:
- Binarios sin firma que se ejecuten desde rutas no estándar (Descargas, Temp, escritorio, perfiles de usuario).
- Ejecutables desconocidos iniciados por primera vez en servidores de ficheros, contabilidad o sistemas críticos.
- Mantener firmas y heurísticas actualizadas para:
- Detectar loaders, droppers y herramientas auxiliares asociadas a 8Base.
- Ejecutar escaneos periódicos en:
- Servidores clave de la organización.
- Unidades de red mapeadas utilizadas para compartir documentos y backups.
Sandbox:
- Sandbox suspicious downloads:
- Enviar a la Sandbox:
- Descargas de Internet con ejecutables o scripts.
- Adjuntos de correo comprimidos o con macros.
- Herramientas “de soporte” recibidas de terceros/proveedores antes de instalarlas.
- Observar si:
- Intentan cifrar datos o renombrar masivamente archivos.
- Crean tareas programadas, claves de Registro de inicio o servicios sospechosos.
- Se comunican con dominios/IPs poco habituales o recién vistos.
- Sólo permitir la ejecución en el entorno real si el archivo supera el análisis sin indicadores maliciosos.
Firewall / Segmentación:
- Limitar la superficie de ataque:
- Exponer el mínimo posible de servicios a Internet, siempre con MFA y listas de IP permitidas en VPN/RDP.
- Segmentar la red para que una sola estación comprometida no tenga acceso directo a todos los servidores y shares.
- Aislar automáticamente cualquier host donde:
- El EDR detecte comportamiento de ransomware.
- Se observen conexiones sospechosas hacia infraestructura de 8Base o IPs desconocidas.
- El aislamiento puede incluir:
- Bloquear SMB, RDP y otros protocolos de movimiento lateral.
- Restringir todo tráfico saliente salvo el estrictamente necesario para análisis y remediación.
Medidas posteriores al incidente:
- Revisar y rotar credenciales de:
- Administradores locales y de dominio.
- Cuentas con acceso remoto (VPN/RDP).
- Cuentas de servicio utilizadas por aplicaciones críticas.
- Validar y reforzar:
- Políticas de correo y filtrado de adjuntos.
- Procedimientos de instalación de software (sólo desde repositorios y proveedores confiables).
- Restaurar datos únicamente desde backups offline verificados, confirmando que:
- No estuvieron montados ni accesibles durante el incidente.
- No contienen binarios ni scripts relacionados con 8Base.

Notas opcionales:
- 8Base se caracteriza por campañas agresivas contra PYMEs, combinando cifrado de datos con filtración en sitios de fuga para maximizar la presión económica y reputacional sobre las víctimas.]]> <![CDATA[Ransomware – Akira (2023)]]> https://forum.getoverx.com/showthread.php?tid=56 Sat, 29 Nov 2025 16:04:43 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=56 Nombre: Akira

Categoría: Ransomware (Windows/Linux)

Fecha de descubrimiento: 2023

Comportamiento (lo que hace y archivos que infecta):
- Ransomware orientado a entornos corporativos, con variantes para Windows y Linux/ESXi.
- Curve25519 encryption:
- Emplea cifrado híbrido:
- Algoritmo simétrico rápido (ej. ChaCha20/AES) para cifrar el contenido de los archivos.
- Intercambio de claves basado en Curve25519 para proteger las claves de cifrado de cada víctima.
- Su objetivo es cifrar datos de alto valor:
- Documentos Office, PDF, imágenes y proyectos.
- Bases de datos, máquinas virtuales, ficheros de aplicaciones de negocio.
- Backups accesibles y unidades de red mapeadas (shares SMB/NFS).
- Steals credentials:
- Antes o durante el cifrado, roba credenciales del sistema:
- Navegadores, clientes de correo, VPN, herramientas de administración.
- Archivos de configuración con usuarios/contraseñas o tokens.
- Las credenciales robadas se utilizan para movimiento lateral y, potencialmente, nuevos ataques.
- Suele acompañarse de exfiltración de datos antes del cifrado para aplicar esquemas de doble extorsión (filtración de datos + cifrado).

Persistencia:
- Fake services:
- Crea servicios falsos (con nombres que imitan componentes del sistema o herramientas de mantenimiento) apuntando a su ejecutable.
- Estos servicios se configuran para iniciarse automáticamente al arrancar el sistema.
- Puede complementarse con:
- Tareas programadas que relanzan el binario o sus loaders.
- Uso continuado de credenciales robadas para reintroducir el ransomware en caso de limpieza parcial.

Hash real de referencia (SHA-256):
Muestra pública asociada a Akira:

Code:
8b0e5d6814304f73691b141018e8af2169c9cbb86019034c5143f92b15bb1fa2

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Process anomaly detection (EDR):
- Activar en el módulo EDR la detección de anomalías de proceso para identificar:
- Procesos que abren, modifican y renombran grandes volúmenes de archivos en poco tiempo.
- Picos de uso de CPU y disco asociados a operaciones de cifrado.
- Configurar respuesta automática para:
- Matar el proceso sospechoso en cuanto se detecte patrón de cifrado.
- Registrar detalles (hash, ruta, usuario, host) en los logs unificados para análisis forense.
Block service creation from non-trusted apps (HIPS):
- En el módulo HIPS:
- Bloquear la creación de servicios por aplicaciones no confiables o no firmadas.
- Generar alertas cuando un ejecutable desconocido intente:
- Crear un nuevo servicio.
- Modificar servicios existentes para apuntar a binarios no legítimos.
- Establecer listas de aplicaciones confiables que sí pueden administrar servicios (herramientas de TI aprobadas, sistemas de gestión) y denegar el resto por defecto.
Enforce network isolation when ransomware behavior is detected:
- Integrar EDR con el firewall de GetOverX Shield para que, al detectar comportamiento de ransomware:
- Se apliquen reglas de aislamiento automático al host:
- Bloqueo de SMB, RDP y otros protocolos usados para movimiento lateral.
- Restricción de conexiones salientes a Internet salvo las estrictamente necesarias para gestión y remediación.
- Utilizar este aislamiento para evitar:
- Propagación a otros servidores y estaciones de trabajo.
- Exfiltración de datos hacia la infraestructura de los atacantes.

Notas opcionales:
- Akira se ha destacado por sus variantes multi-plataforma y el uso de criptografía moderna (Curve25519), lo que hace prácticamente imposible el descifrado sin la clave privada del atacante cuando no existen errores de implementación.]]> Nombre: Akira

Categoría: Ransomware (Windows/Linux)

Fecha de descubrimiento: 2023

Comportamiento (lo que hace y archivos que infecta):
- Ransomware orientado a entornos corporativos, con variantes para Windows y Linux/ESXi.
- Curve25519 encryption:
- Emplea cifrado híbrido:
- Algoritmo simétrico rápido (ej. ChaCha20/AES) para cifrar el contenido de los archivos.
- Intercambio de claves basado en Curve25519 para proteger las claves de cifrado de cada víctima.
- Su objetivo es cifrar datos de alto valor:
- Documentos Office, PDF, imágenes y proyectos.
- Bases de datos, máquinas virtuales, ficheros de aplicaciones de negocio.
- Backups accesibles y unidades de red mapeadas (shares SMB/NFS).
- Steals credentials:
- Antes o durante el cifrado, roba credenciales del sistema:
- Navegadores, clientes de correo, VPN, herramientas de administración.
- Archivos de configuración con usuarios/contraseñas o tokens.
- Las credenciales robadas se utilizan para movimiento lateral y, potencialmente, nuevos ataques.
- Suele acompañarse de exfiltración de datos antes del cifrado para aplicar esquemas de doble extorsión (filtración de datos + cifrado).

Persistencia:
- Fake services:
- Crea servicios falsos (con nombres que imitan componentes del sistema o herramientas de mantenimiento) apuntando a su ejecutable.
- Estos servicios se configuran para iniciarse automáticamente al arrancar el sistema.
- Puede complementarse con:
- Tareas programadas que relanzan el binario o sus loaders.
- Uso continuado de credenciales robadas para reintroducir el ransomware en caso de limpieza parcial.

Hash real de referencia (SHA-256):
Muestra pública asociada a Akira:

Code:
8b0e5d6814304f73691b141018e8af2169c9cbb86019034c5143f92b15bb1fa2

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Process anomaly detection (EDR):
- Activar en el módulo EDR la detección de anomalías de proceso para identificar:
- Procesos que abren, modifican y renombran grandes volúmenes de archivos en poco tiempo.
- Picos de uso de CPU y disco asociados a operaciones de cifrado.
- Configurar respuesta automática para:
- Matar el proceso sospechoso en cuanto se detecte patrón de cifrado.
- Registrar detalles (hash, ruta, usuario, host) en los logs unificados para análisis forense.
Block service creation from non-trusted apps (HIPS):
- En el módulo HIPS:
- Bloquear la creación de servicios por aplicaciones no confiables o no firmadas.
- Generar alertas cuando un ejecutable desconocido intente:
- Crear un nuevo servicio.
- Modificar servicios existentes para apuntar a binarios no legítimos.
- Establecer listas de aplicaciones confiables que sí pueden administrar servicios (herramientas de TI aprobadas, sistemas de gestión) y denegar el resto por defecto.
Enforce network isolation when ransomware behavior is detected:
- Integrar EDR con el firewall de GetOverX Shield para que, al detectar comportamiento de ransomware:
- Se apliquen reglas de aislamiento automático al host:
- Bloqueo de SMB, RDP y otros protocolos usados para movimiento lateral.
- Restricción de conexiones salientes a Internet salvo las estrictamente necesarias para gestión y remediación.
- Utilizar este aislamiento para evitar:
- Propagación a otros servidores y estaciones de trabajo.
- Exfiltración de datos hacia la infraestructura de los atacantes.

Code:
.PLAY

para marcar los archivos cifrados.
- Escanea unidades locales y de red en busca de:
- Documentos Office, PDF, imágenes y proyectos.
- Bases de datos, archivos de aplicaciones de negocio y backups accesibles.
- Filters execution by locale:
- Puede comprobar la configuración regional/idioma del sistema.
- Evita ejecutarse (o modifica su comportamiento) en equipos con determinados idiomas/regiones, típico de grupos que excluyen ciertos países.
- Antes o durante el cifrado, puede terminar servicios y procesos que mantienen archivos abiertos (bases de datos, aplicaciones de backup) para maximizar el número de ficheros cifrados.
- Puede combinar el cifrado con exfiltración de datos para aplicar doble extorsión (cifrado + amenaza de filtración pública).

Persistencia:
- Scheduled tasks:
- Crea tareas programadas que apuntan a su ejecutable o a un loader, asegurando su ejecución tras reinicios.
- Los nombres de las tareas pueden imitar tareas legítimas del sistema para pasar desapercibidos.
- Puede complementarse con:
- Copias del binario en rutas como ProgramData o directorios de usuario.
- Uso continuado de credenciales comprometidas y herramientas de administración remota para reintroducir el payload si es eliminado.

Hash real de referencia (SHA-256):
Muestra pública asociada a Play:

Code:
feaacadad1365077e94fa5defb7945f85efd6adefa94b4321f62d5c6edc60a58

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Block unauthorized task creation (HIPS):
- En el módulo HIPS de GetOverX Shield:
- Bloquear la creación y modificación de tareas programadas por aplicaciones no confiables o no firmadas.
- Generar alertas cuando un ejecutable desconocido intente:
- Crear nuevas tareas.
- Cambiar la ruta de ejecución de una tarea existente hacia un binario sospechoso.
- Mantener una lista de aplicaciones de administración autorizadas que sí pueden gestionar tareas programadas (herramientas de TI, scripts corporativos firmados) y denegar el resto por defecto.
Real-time file activity monitoring (EDR):
- Activar en el EDR el monitoreo en tiempo real de actividad de archivos para detectar:
- Cambios de extensión masivos hacia
Code:
.PLAY
u otras extensiones no habituales.
- Escritura y renombrado intensivo de miles de archivos en ventanas de tiempo muy cortas.
- Configurar respuesta automática para:
- Matar el proceso responsable cuando se detecte patrón de cifrado.
- Bloquear el hash del ejecutable.
- Registrar detalles (ruta, usuario, host, número de archivos afectados) en los logs unificados para análisis forense.
Signature scan with AV engine:
- Mantener el motor Antivirus de GetOverX Shield actualizado con firmas específicas de Play y sus variantes.
- Ejecutar escaneos programados en:
- Directorios de sistema.
- ProgramData y carpetas de usuario donde puedan alojarse droppers o payloads.
- Unidades de red mapeadas y repositorios compartidos.
- Usar el escaneo bajo demanda (on-demand) en equipos donde:
- Se hayan detectado intentos de creación de tareas sospechosas.
- El EDR haya observado actividad de archivos anómala aunque no se haya completado el cifrado.
Medidas adicionales recomendadas:
- Limitar la exposición de servicios remotos (RDP, VPN, paneles de administración) con MFA y listas de IP permitidas.
- Revisar y rotar credenciales privilegiadas tras un incidente.
- Verificar y endurecer la segmentación de red para impedir que un host comprometido pueda cifrar shares críticos o sistemas de backup.

Notas opcionales:
- Play ransomware se ha asociado a intrusiones dirigidas con foco en organizaciones de tamaño pequeño y mediano, aprovechando credenciales filtradas y servicios expuestos para obtener acceso inicial antes de desplegar el cifrado.]]> Nombre: Play

Categoría: Ransomware

Fecha de descubrimiento: 2022

Comportamiento (lo que hace y archivos que infecta):
- Ransomware dirigido principalmente a entornos corporativos.
- Utiliza la extensión:

Code:
.PLAY

Code:
feaacadad1365077e94fa5defb7945f85efd6adefa94b4321f62d5c6edc60a58

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Block unauthorized task creation (HIPS):
- En el módulo HIPS de GetOverX Shield:
- Bloquear la creación y modificación de tareas programadas por aplicaciones no confiables o no firmadas.
- Generar alertas cuando un ejecutable desconocido intente:
- Crear nuevas tareas.
- Cambiar la ruta de ejecución de una tarea existente hacia un binario sospechoso.
- Mantener una lista de aplicaciones de administración autorizadas que sí pueden gestionar tareas programadas (herramientas de TI, scripts corporativos firmados) y denegar el resto por defecto.
Real-time file activity monitoring (EDR):
- Activar en el EDR el monitoreo en tiempo real de actividad de archivos para detectar:
- Cambios de extensión masivos hacia
Code:
.PLAY
u otras extensiones no habituales.
- Escritura y renombrado intensivo de miles de archivos en ventanas de tiempo muy cortas.
- Configurar respuesta automática para:
- Matar el proceso responsable cuando se detecte patrón de cifrado.
- Bloquear el hash del ejecutable.
- Registrar detalles (ruta, usuario, host, número de archivos afectados) en los logs unificados para análisis forense.
Signature scan with AV engine:
- Mantener el motor Antivirus de GetOverX Shield actualizado con firmas específicas de Play y sus variantes.
- Ejecutar escaneos programados en:
- Directorios de sistema.
- ProgramData y carpetas de usuario donde puedan alojarse droppers o payloads.
- Unidades de red mapeadas y repositorios compartidos.
- Usar el escaneo bajo demanda (on-demand) en equipos donde:
- Se hayan detectado intentos de creación de tareas sospechosas.
- El EDR haya observado actividad de archivos anómala aunque no se haya completado el cifrado.
Medidas adicionales recomendadas:
- Limitar la exposición de servicios remotos (RDP, VPN, paneles de administración) con MFA y listas de IP permitidas.
- Revisar y rotar credenciales privilegiadas tras un incidente.
- Verificar y endurecer la segmentación de red para impedir que un host comprometido pueda cifrar shares críticos o sistemas de backup.

Notas opcionales:
- Play ransomware se ha asociado a intrusiones dirigidas con foco en organizaciones de tamaño pequeño y mediano, aprovechando credenciales filtradas y servicios expuestos para obtener acceso inicial antes de desplegar el cifrado.]]> <![CDATA[Ransomware – Black Basta (2022)]]> https://forum.getoverx.com/showthread.php?tid=54 Sat, 29 Nov 2025 16:02:37 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=54 Nombre: Black Basta

Categoría: Ransomware

Fecha de descubrimiento: 2022

Comportamiento (lo que hace y archivos que infecta):
- Fast encryption:
- Está diseñado para cifrar rápidamente grandes volúmenes de archivos en estaciones y servidores.
- Recorre unidades locales y de red, además de unidades mapeadas, priorizando documentos de trabajo y datos de negocio.
- Data exfiltration:
- Antes o durante el cifrado, los operadores extraen (exfiltran) información sensible:
- Documentos internos, bases de datos, proyectos, datos de clientes.
- Información que pueda usarse para presión reputacional o legal.
- Double extortion:
- Combina cifrado de archivos con la amenaza de filtrar la información robada si la víctima no paga.
- La víctima se enfrenta al riesgo de pérdida de datos + exposición pública de la información.
- Archivos afectados:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos y ficheros de aplicaciones corporativas.
- Copias de seguridad accesibles, máquinas virtuales y shares de red (SMB/NAS).
- Suele detener servicios y procesos que bloquean archivos (bases de datos, aplicaciones de backup) para maximizar el número de ficheros cifrados.

Persistencia:
- Malicious services:
- Crea servicios maliciosos en el sistema con nombres que imitan servicios legítimos.
- Estos servicios apuntan al ejecutable del ransomware o a un loader intermedio.
- Se configuran como inicio automático para relanzar el malware tras reinicios.
- Puede complementarse con:
- Copias del binario en rutas como ProgramData o carpetas de usuario.
- Uso de credenciales comprometidas y herramientas de administración remota para volver a entrar incluso después de intentos de limpieza.

Hash real de referencia (SHA-256):
Muestra pública asociada a Black Basta:

Code:
0cf4236d3b2d14d83fe46ea55a41fc4e9eef6ad4e29a23995b8e6fd0c07e7920

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Block suspicious service creation (HIPS):
- Configurar el módulo HIPS para:
- Bloquear la creación y modificación de servicios por aplicaciones no firmadas o no confiables.
- Generar alertas cuando un binario desconocido intente:
- Crear un nuevo servicio.
- Cambiar la ruta de un servicio existente hacia un ejecutable sospechoso.
- Mantener una lista de herramientas de administración autorizadas que sí puedan gestionar servicios y denegar el resto por defecto.
Detect abnormal file encryption bursts (EDR):
- Activar en el EDR la detección de:
- Oleadas de cifrado (muchos ficheros abiertos, modificados y renombrados en muy poco tiempo).
- Cambios masivos de extensión y creación de archivos cifrados en múltiples directorios.
- Configurar respuesta automática para:
- Matar el proceso responsable en cuanto se detecte patrón de ransomware.
- Bloquear el hash del ejecutable.
- (Opcional) Trigar el aislamiento de red del host afectado.
Quarantine payloads using AV + YARA signatures:
- Mantener el motor Antivirus actualizado con:
- Firmas específicas de Black Basta y sus loaders.
- Reglas YARA que identifiquen patrones usados por la familia (payloads y droppers).
- Ejecutar escaneos:
- Programados en servidores, estaciones críticas y shares de red.
- Bajo demanda en sistemas sospechosos.
- Cuarentenar inmediatamente cualquier binario que coincida con firmas AV/YARA, evitando su ejecución.
Sandbox suspicious attachments before execution:
- Enviar a la Sandbox:
- Adjuntos de correo sospechosos (ZIP, DOCX, PDFs con macros, etc.).
- Ejecutables y scripts descargados desde enlaces no confiables.
- Observar si:
- Intentan cifrar archivos en la VM de prueba.
- Crean servicios, tareas programadas o claves de persistencia.
- Se comunican con dominios/IPs desconocidos.
- Sólo permitir su uso en el entorno real si superan el análisis sin indicadores maliciosos.

Notas opcionales:
- Black Basta es un actor de ransomware de alto perfil asociado a campañas dirigidas contra organizaciones medianas y grandes, con fuerte énfasis en velocidad de cifrado y técnicas de doble extorsión.]]> Nombre: Black Basta

Categoría: Ransomware

Fecha de descubrimiento: 2022

Comportamiento (lo que hace y archivos que infecta):
- Fast encryption:
- Está diseñado para cifrar rápidamente grandes volúmenes de archivos en estaciones y servidores.
- Recorre unidades locales y de red, además de unidades mapeadas, priorizando documentos de trabajo y datos de negocio.
- Data exfiltration:
- Antes o durante el cifrado, los operadores extraen (exfiltran) información sensible:
- Documentos internos, bases de datos, proyectos, datos de clientes.
- Información que pueda usarse para presión reputacional o legal.
- Double extortion:
- Combina cifrado de archivos con la amenaza de filtrar la información robada si la víctima no paga.
- La víctima se enfrenta al riesgo de pérdida de datos + exposición pública de la información.
- Archivos afectados:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos y ficheros de aplicaciones corporativas.
- Copias de seguridad accesibles, máquinas virtuales y shares de red (SMB/NAS).
- Suele detener servicios y procesos que bloquean archivos (bases de datos, aplicaciones de backup) para maximizar el número de ficheros cifrados.

Persistencia:
- Malicious services:
- Crea servicios maliciosos en el sistema con nombres que imitan servicios legítimos.
- Estos servicios apuntan al ejecutable del ransomware o a un loader intermedio.
- Se configuran como inicio automático para relanzar el malware tras reinicios.
- Puede complementarse con:
- Copias del binario en rutas como ProgramData o carpetas de usuario.
- Uso de credenciales comprometidas y herramientas de administración remota para volver a entrar incluso después de intentos de limpieza.

Hash real de referencia (SHA-256):
Muestra pública asociada a Black Basta:

Code:
0cf4236d3b2d14d83fe46ea55a41fc4e9eef6ad4e29a23995b8e6fd0c07e7920

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Block suspicious service creation (HIPS):
- Configurar el módulo HIPS para:
- Bloquear la creación y modificación de servicios por aplicaciones no firmadas o no confiables.
- Generar alertas cuando un binario desconocido intente:
- Crear un nuevo servicio.
- Cambiar la ruta de un servicio existente hacia un ejecutable sospechoso.
- Mantener una lista de herramientas de administración autorizadas que sí puedan gestionar servicios y denegar el resto por defecto.
Detect abnormal file encryption bursts (EDR):
- Activar en el EDR la detección de:
- Oleadas de cifrado (muchos ficheros abiertos, modificados y renombrados en muy poco tiempo).
- Cambios masivos de extensión y creación de archivos cifrados en múltiples directorios.
- Configurar respuesta automática para:
- Matar el proceso responsable en cuanto se detecte patrón de ransomware.
- Bloquear el hash del ejecutable.
- (Opcional) Trigar el aislamiento de red del host afectado.
Quarantine payloads using AV + YARA signatures:
- Mantener el motor Antivirus actualizado con:
- Firmas específicas de Black Basta y sus loaders.
- Reglas YARA que identifiquen patrones usados por la familia (payloads y droppers).
- Ejecutar escaneos:
- Programados en servidores, estaciones críticas y shares de red.
- Bajo demanda en sistemas sospechosos.
- Cuarentenar inmediatamente cualquier binario que coincida con firmas AV/YARA, evitando su ejecución.
Sandbox suspicious attachments before execution:
- Enviar a la Sandbox:
- Adjuntos de correo sospechosos (ZIP, DOCX, PDFs con macros, etc.).
- Ejecutables y scripts descargados desde enlaces no confiables.
- Observar si:
- Intentan cifrar archivos en la VM de prueba.
- Crean servicios, tareas programadas o claves de persistencia.
- Se comunican con dominios/IPs desconocidos.
- Sólo permitir su uso en el entorno real si superan el análisis sin indicadores maliciosos.

Notas opcionales:
- Black Basta es un actor de ransomware de alto perfil asociado a campañas dirigidas contra organizaciones medianas y grandes, con fuerte énfasis en velocidad de cifrado y técnicas de doble extorsión.]]> <![CDATA[WORM – WannaCry]]> https://forum.getoverx.com/showthread.php?tid=46 Sat, 29 Nov 2025 15:53:23 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=46 Nombre: WannaCry / WCry

Categoría: Gusano + Ransomware

Familia: WannaCrypt

Fecha de descubrimiento: 2017

Descripción general:
Gusano/ransomware que explotó la vulnerabilidad EternalBlue en SMBv1 para propagarse automáticamente a nivel mundial. Una vez en un equipo vulnerable, se replica a otros hosts en la red y cifra archivos con un esquema híbrido (AES + RSA), mostrando una nota de rescate y pidiendo pago en Bitcoin.

Vulnerabilidad explotada (CVE):
- EternalBlue – ejecución remota de código en SMBv1:

Code:
CVE-2017-0144

Comportamiento (lo que hace y archivos que infecta):

Auto-propagación por red:
- Escanea otros equipos en la red intentando conectarse al puerto 445/TCP.
- Explota la vulnerabilidad SMBv1 (EternalBlue) en sistemas sin parche MS17-010.
- Una vez comprometido un host, repite el proceso de escaneo y propagación, actuando como gusano.
Cifrado de archivos:
- Cifra archivos de usuario y corporativos utilizando criptografía híbrida (AES + RSA).
- Target típico: documentos Office, imágenes, archivos de proyecto, bases de datos y otros datos de trabajo.
Rescate en Bitcoin:
- Muestra una nota de rescate exigiendo pago en Bitcoin a cambio de la supuesta clave de descifrado.
- Plantea plazos y amenazas de pérdida permanente de los datos.
Impacto global:
- Su combinación de gusano + ransomware causó interrupciones masivas en redes de empresas, hospitales y organismos públicos en 2017.

Persistencia:
- Ninguna avanzada:
- No implementa técnicas sofisticadas de persistencia a largo plazo.
- Depende principalmente de:
- La permanencia del exploit en la red (otros equipos vulnerables que lo reinfectan).
- La ejecución inicial en sistemas que todavía tienen SMBv1 habilitado y sin parchear.
- Aun así, mientras el proceso está activo, mantiene el cifrado en curso y la nota de rescate visible.

Hash real de referencia (SHA-256):
Muestra pública asociada a WannaCry:

Code:
db349b97c37d22f5ea1d1841e3c89eb4

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Ejecutar escaneo completo en todos los equipos Windows de la red para:
- Detectar y eliminar el binario de WannaCry y sus componentes asociados.
- Mantener activas las heurísticas de ransomware para identificar:
- Patrones de cifrado masivo.
- Intentos de modificación de grandes cantidades de archivos en poco tiempo.
Firewall:
- Bloquear puertos 445:
- Restringir o bloquear el puerto 445/TCP desde/hacia redes no confiables o entre segmentos que no requieran SMB.
- Segmentar la red para que la explotación de un host no implique el compromiso inmediato de todos los demás.
- Registrar intentos repetidos de conexión a 445 desde un mismo host como posible indicador de gusano.
HIPS / EDR:
- Process anomaly detection:
- Detectar procesos que lanzan conexiones masivas a puertos 445 de múltiples IPs en poco tiempo.
- Registrar y bloquear:
- Creación masiva de archivos cifrados.
- Cambios de extensión y comportamiento típico de ransomware.
- Respuesta automática:
- Matar el proceso responsable del cifrado.
- Iniciar aislamiento de red del host afectado para evitar más propagación.
Sandbox:
- Analizar en Sandbox:
- Adjuntos sospechosos y ejecutables que lleguen por correo o desde rutas de descarga.
- Observar si:
- Intentan conectarse a múltiples IPs en el puerto 445.
- Ejecutan cifrado de archivos en el entorno de prueba.
Hardening del protocolo SMB (medidas específicas):
- Deshabilitar SMBv1:
- Desactivar SMBv1 en todos los sistemas Windows donde no sea estrictamente necesario.
- Aplicar el parche de seguridad:
- MS17-010 en todas las versiones de Windows afectadas, con prioridad máxima.
- Verificar regularmente, con herramientas de inventario y escaneo, que:
- No existan hosts con SMBv1 habilitado sin necesidad.
- Todos los sistemas tengan las actualizaciones críticas aplicadas.

Code:
CVE-2017-0144

Comportamiento (lo que hace y archivos que infecta):

Auto-propagación por red:
- Escanea otros equipos en la red intentando conectarse al puerto 445/TCP.
- Explota la vulnerabilidad SMBv1 (EternalBlue) en sistemas sin parche MS17-010.
- Una vez comprometido un host, repite el proceso de escaneo y propagación, actuando como gusano.
Cifrado de archivos:
- Cifra archivos de usuario y corporativos utilizando criptografía híbrida (AES + RSA).
- Target típico: documentos Office, imágenes, archivos de proyecto, bases de datos y otros datos de trabajo.
Rescate en Bitcoin:
- Muestra una nota de rescate exigiendo pago en Bitcoin a cambio de la supuesta clave de descifrado.
- Plantea plazos y amenazas de pérdida permanente de los datos.
Impacto global:
- Su combinación de gusano + ransomware causó interrupciones masivas en redes de empresas, hospitales y organismos públicos en 2017.

Code:
db349b97c37d22f5ea1d1841e3c89eb4

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Ejecutar escaneo completo en todos los equipos Windows de la red para:
- Detectar y eliminar el binario de WannaCry y sus componentes asociados.
- Mantener activas las heurísticas de ransomware para identificar:
- Patrones de cifrado masivo.
- Intentos de modificación de grandes cantidades de archivos en poco tiempo.
Firewall:
- Bloquear puertos 445:
- Restringir o bloquear el puerto 445/TCP desde/hacia redes no confiables o entre segmentos que no requieran SMB.
- Segmentar la red para que la explotación de un host no implique el compromiso inmediato de todos los demás.
- Registrar intentos repetidos de conexión a 445 desde un mismo host como posible indicador de gusano.
HIPS / EDR:
- Process anomaly detection:
- Detectar procesos que lanzan conexiones masivas a puertos 445 de múltiples IPs en poco tiempo.
- Registrar y bloquear:
- Creación masiva de archivos cifrados.
- Cambios de extensión y comportamiento típico de ransomware.
- Respuesta automática:
- Matar el proceso responsable del cifrado.
- Iniciar aislamiento de red del host afectado para evitar más propagación.
Sandbox:
- Analizar en Sandbox:
- Adjuntos sospechosos y ejecutables que lleguen por correo o desde rutas de descarga.
- Observar si:
- Intentan conectarse a múltiples IPs en el puerto 445.
- Ejecutan cifrado de archivos en el entorno de prueba.
Hardening del protocolo SMB (medidas específicas):
- Deshabilitar SMBv1:
- Desactivar SMBv1 en todos los sistemas Windows donde no sea estrictamente necesario.
- Aplicar el parche de seguridad:
- MS17-010 en todas las versiones de Windows afectadas, con prioridad máxima.
- Verificar regularmente, con herramientas de inventario y escaneo, que:
- No existan hosts con SMBv1 habilitado sin necesidad.
- Todos los sistemas tengan las actualizaciones críticas aplicadas.

Notas opcionales:
- WannaCry es un caso de estudio clásico que muestra el impacto de explotar vulnerabilidades conocidas en protocolos antiguos (SMBv1) sin parches. La combinación de hardening (SMBv1 deshabilitado), parches al día y EDR reduce drásticamente el riesgo de incidentes similares.]]> <![CDATA[RANSOMWARE – BlackCat / ALPHV]]> https://forum.getoverx.com/showthread.php?tid=43 Sat, 29 Nov 2025 15:47:52 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=43 Nombre: BlackCat / ALPHV

Categoría: Ransomware escrito en Rust (RaaS)

Año / Fecha de descubrimiento: 2021

Comportamiento (lo que hace y archivos que infecta):
- Ransomware escrito en Rust, altamente configurable y operado bajo modelo Ransomware-as-a-Service (RaaS).
- Orientado a entornos corporativos (Windows y, en muchas campañas, también Linux/ESXi).
- Exfiltración de datos:
- Antes o durante el cifrado, roba documentación interna, bases de datos, proyectos y otros datos sensibles.
- Utiliza la exfiltración para la “doble extorsión”: amenaza con publicar la información robada si la víctima no paga.
- Borrado de backups:
- Intenta borrar copias de seguridad locales y copias de sombra (Shadow Copies).
- Puede detener o manipular servicios de backup para impedir la recuperación rápida.
- Cifrado multihilo:
- Utiliza cifrado multihilo para acelerar la operación:
- Recorre unidades locales, unidades de red mapeadas y shares (SMB/NAS).
- Cifra documentos Office, PDF, imágenes, proyectos, bases de datos y máquinas virtuales.
- En muchos incidentes:
- Finaliza servicios que mantienen archivos abiertos (bases de datos, herramientas de copia de seguridad, aplicaciones de negocio).
- Puede intentar desactivar soluciones de seguridad antes o durante el ataque.

Persistencia:
- Suele apoyarse en la ventana de tiempo del ataque más que en persistencia a largo plazo, pero se han observado:
- Creación de servicios maliciosos que apuntan al binario de BlackCat o a loaders intermedios.
- Uso de tareas programadas para relanzar el ejecutable tras reinicio.
- Copias del binario en rutas como

Code:
C:\ProgramData\

o directorios de usuario con nombres que parecen legítimos.
- A nivel operativo:
- Los atacantes se apoyan en credenciales comprometidas (AD, VPN, herramientas de administración remota) y utilidades legítimas (RDP, PSExec, scripts) para mantener acceso mientras despliegan el cifrado y la exfiltración.

Hash real de referencia (SHA-256):
Muestra pública asociada a BlackCat / ALPHV:

Code:
a3d5d0db0d03550e920c9c1f59cd2ebdf9d452be4e6e9b5f56796ba056a74bfa

Mitigación con GetOverX Shield v3.0.2.0 o superior:

HIPS / EDR – Detección de comportamiento:
- Activar reglas para identificar:
- Cifrado multihilo: procesos que abren, modifican y renombran grandes volúmenes de archivos en muy poco tiempo.
- Uso de
Code:
vssadmin
,
Code:
wmic
u otras herramientas para borrar copias de sombra o desactivar backups.
- Accesos anómalos a grandes cantidades de ficheros en shares de red.
- Configurar respuesta automática para:
- Matar el proceso responsable del cifrado.
- Bloquear el hash del ejecutable.
- Disparar el aislamiento de red del host comprometido.
Monitoreo y protección de backups:
- Crear reglas específicas en HIPS/EDR para:
- Bloquear comandos de borrado de copias de sombra y acciones destructivas sobre software de backup.
- Mantener backups:
- Offline o inmutables (no accesibles directamente desde las cuentas de usuario/servicio comprometidas).
- Verificados periódicamente para asegurar su integridad.
Antivirus + YARA (detección de Rust-based payloads):
- Mantener el motor AV actualizado con firmas específicas de BlackCat/ALPHV.
- Complementar con reglas YARA orientadas a binarios Rust y a patrones de BlackCat.
- Escanear:
- ProgramData, directorios de usuario, carpetas de herramientas administrativas.
- Shares de red donde puedan almacenarse droppers o payloads listos para su despliegue.
- Cuarentenar inmediatamente los artefactos detectados para evitar su ejecución.
Firewall y exfiltración:
- Restringir conexiones salientes desde servidores críticos y hosts sensibles:
- Sólo hacia destinos necesarios y conocidos.
- Registrar y alertar sobre:
- Conexiones HTTPS/SSH inusuales hacia IPs o dominios desconocidos desde servidores de ficheros y backup.
- Aislar el host cuando se detecten:
- Picos de tráfico de subida (posible exfiltración).
- Comportamiento de cifrado masivo combinado con conexiones externas.
Sandbox:
- Analizar en la Sandbox:
- Adjuntos de correo sospechosos.
- Herramientas “de soporte” enviadas por terceros o proveedores.
- Observar si el archivo:
- Intenta cifrar datos.
- Crea servicios o tareas programadas.
- Se comunica con C2 antes del cifrado (exfiltración).
Medidas posteriores al incidente:
- Rotar credenciales:
- Administradores de dominio.
- Cuentas de servicio usadas en backups, hipervisores y aplicaciones críticas.
- Revisar:
- GPOs, scripts de despliegue y herramientas de administración remota para detectar backdoors.
- Restaurar sistemas únicamente desde backups offline verificados, asegurando que no contienen binarios ni scripts de BlackCat.

Notas opcionales:
- BlackCat / ALPHV destaca por combinar un código moderno en Rust, alta configurabilidad y tácticas agresivas de exfiltración y borrado de backups, lo que exige especial atención a la protección de copias de seguridad y a la detección por comportamiento.]]> Nombre: BlackCat / ALPHV

Categoría: Ransomware escrito en Rust (RaaS)

Año / Fecha de descubrimiento: 2021

Comportamiento (lo que hace y archivos que infecta):
- Ransomware escrito en Rust, altamente configurable y operado bajo modelo Ransomware-as-a-Service (RaaS).
- Orientado a entornos corporativos (Windows y, en muchas campañas, también Linux/ESXi).
- Exfiltración de datos:
- Antes o durante el cifrado, roba documentación interna, bases de datos, proyectos y otros datos sensibles.
- Utiliza la exfiltración para la “doble extorsión”: amenaza con publicar la información robada si la víctima no paga.
- Borrado de backups:
- Intenta borrar copias de seguridad locales y copias de sombra (Shadow Copies).
- Puede detener o manipular servicios de backup para impedir la recuperación rápida.
- Cifrado multihilo:
- Utiliza cifrado multihilo para acelerar la operación:
- Recorre unidades locales, unidades de red mapeadas y shares (SMB/NAS).
- Cifra documentos Office, PDF, imágenes, proyectos, bases de datos y máquinas virtuales.
- En muchos incidentes:
- Finaliza servicios que mantienen archivos abiertos (bases de datos, herramientas de copia de seguridad, aplicaciones de negocio).
- Puede intentar desactivar soluciones de seguridad antes o durante el ataque.

Persistencia:
- Suele apoyarse en la ventana de tiempo del ataque más que en persistencia a largo plazo, pero se han observado:
- Creación de servicios maliciosos que apuntan al binario de BlackCat o a loaders intermedios.
- Uso de tareas programadas para relanzar el ejecutable tras reinicio.
- Copias del binario en rutas como

Code:
C:\ProgramData\

Code:
a3d5d0db0d03550e920c9c1f59cd2ebdf9d452be4e6e9b5f56796ba056a74bfa

Mitigación con GetOverX Shield v3.0.2.0 o superior:

HIPS / EDR – Detección de comportamiento:
- Activar reglas para identificar:
- Cifrado multihilo: procesos que abren, modifican y renombran grandes volúmenes de archivos en muy poco tiempo.
- Uso de
Code:
vssadmin
,
Code:
wmic
u otras herramientas para borrar copias de sombra o desactivar backups.
- Accesos anómalos a grandes cantidades de ficheros en shares de red.
- Configurar respuesta automática para:
- Matar el proceso responsable del cifrado.
- Bloquear el hash del ejecutable.
- Disparar el aislamiento de red del host comprometido.
Monitoreo y protección de backups:
- Crear reglas específicas en HIPS/EDR para:
- Bloquear comandos de borrado de copias de sombra y acciones destructivas sobre software de backup.
- Mantener backups:
- Offline o inmutables (no accesibles directamente desde las cuentas de usuario/servicio comprometidas).
- Verificados periódicamente para asegurar su integridad.
Antivirus + YARA (detección de Rust-based payloads):
- Mantener el motor AV actualizado con firmas específicas de BlackCat/ALPHV.
- Complementar con reglas YARA orientadas a binarios Rust y a patrones de BlackCat.
- Escanear:
- ProgramData, directorios de usuario, carpetas de herramientas administrativas.
- Shares de red donde puedan almacenarse droppers o payloads listos para su despliegue.
- Cuarentenar inmediatamente los artefactos detectados para evitar su ejecución.
Firewall y exfiltración:
- Restringir conexiones salientes desde servidores críticos y hosts sensibles:
- Sólo hacia destinos necesarios y conocidos.
- Registrar y alertar sobre:
- Conexiones HTTPS/SSH inusuales hacia IPs o dominios desconocidos desde servidores de ficheros y backup.
- Aislar el host cuando se detecten:
- Picos de tráfico de subida (posible exfiltración).
- Comportamiento de cifrado masivo combinado con conexiones externas.
Sandbox:
- Analizar en la Sandbox:
- Adjuntos de correo sospechosos.
- Herramientas “de soporte” enviadas por terceros o proveedores.
- Observar si el archivo:
- Intenta cifrar datos.
- Crea servicios o tareas programadas.
- Se comunica con C2 antes del cifrado (exfiltración).
Medidas posteriores al incidente:
- Rotar credenciales:
- Administradores de dominio.
- Cuentas de servicio usadas en backups, hipervisores y aplicaciones críticas.
- Revisar:
- GPOs, scripts de despliegue y herramientas de administración remota para detectar backdoors.
- Restaurar sistemas únicamente desde backups offline verificados, asegurando que no contienen binarios ni scripts de BlackCat.