Investigadores han expuesto las operaciones de un grupo de ransomware chino que utiliza un modelo altamente organizado y global de Malware-as-a-Service (MaaS). Este grupo recluta afiliados a nivel internacional para distribuir su ransomware, recibiendo una parte del rescate. El grupo está vinculado a campañas anteriores conocidas como BrutalLocker, RevengeLocker y los alias CFI/CFS.
Modelo de Negocio: Ransomware (RaaS)
El grupo opera bajo un modelo de negocio profesionalizado que distribuye el riesgo y maximiza la escala global de sus ataques.
- Rol del Operador Central: El núcleo del grupo se enfoca en el desarrollo del ransomware, el mantenimiento de la infraestructura de comando y control (C2), los portales de negociación y las plataformas de filtración de datos.
- Rol del Afiliado: Los afiliados son los responsables de la infección inicial a las víctimas (mediante phishing, explotación de vulnerabilidades o el uso de RDP abiertos), el despliegue del ransomware y la extracción del pago del rescate. El rescate se reparte entre el afiliado y el operador central.
- Infraestructura Global: La operación es resiliente gracias a servidores C2 distribuidos en Múltiples países, portales de negociación multilingües (inglés, ruso, español) y el uso de técnicas de anonimatoy cambio rápido de dominios para evadir bloqueos.
Tácticas y Técnicas
El grupo no solo cifra datos; También utiliza técnicas avanzadas para asegurar el control y la persistencia:
- Doble extorsión:Las campañas incluyen elrobo previo de datosantes del cifrado,permitiendo una extorsión secundaria mediante lafiltración parcial de la informaciónrobada.
- Vivir de la tierra: Utilizan herramientas y comandos legítimos del sistema operativo para el movimiento lateral,dificultando la detección.
- Evasión:Emplean el borrado deregistros,cifrado fuerte y ofuscación de binarios.
Recomendaciones
- Endurecer el Control Inicial de Acceso
- Restricción de Servicios: No exponer RDP, SSHu otros servicios de administración directamente a Internet.Si el acceso remoto es necesario,debe ser a través deVPNohosts de saltoseguros y estrictamente controlados.
- Autenticación Fuerte:Implementar laAutenticación Multifactor (MFA)en todos los servicios de acceso a la red,especialmente para cuentas administrativas.
- Contraseñas:Aplique políticas de contraseñas robustas y de rotación periódica.
- Segmentación de Red y Privilegios Mínimos
- Aislamiento:Implementar unasegmentación de red estricta(VLAN) para que una máquina comprometidano tenga acceso libre a toda la red (especialmente a los sistemas críticos ycopias de seguridad).
- Menor privilegio:Asegurarse de que cada servicio,cuenta de usuario y aplicación opere con lospermisos mínimos necesariospara realizar su función.
- Copias de Seguridad Inaccesibles
- Copias de seguridad desconectadas:Mantenerrespaldos fuera de línea (offline)o con acceso controlado e inmutable (protegidos de ser cifrados o eliminados por elransomware).
- Validación:Probar previamente larestaurabilidadde las copias de seguridad para garantizar una recuperación rápida tras un incidente.
- Parcheo y Monitoreo Constante
- Actualizaciones:Mantener el sistema operativo,las aplicaciones y los componentes críticoscompletamente actualizadospara eliminar vectores deexplotarconocidos.
- Detección de Anomalías:Configurar herramientas EDR/XDR paramonitorea registrosy alertar sobre accesorios inusuales,aumentos de privilegio o la carga de procesos extraños,detectando la fase de movimiento lateral antes del despliegue delransomware.
