El grupo de Ransomware-as-a-Service (RaaS) RansomHouse ha desplegado una actualización mayor en su herramienta de cifrado (conocida como “Mario”), cambiando las reglas del juego para las víctimas que intentan recuperar sus datos mediante análisis forense.
El grupo ha abandonado su método de cifrado lineal tradicional para adoptar un procesamiento de datos multi-capa mucho más agresivo.
La Innovación Técnica: “Mario” 2.0
El nuevo encriptador implementa dos cambios críticos diseñados para frustrar a los investigadores de seguridad:
- Doble Llave de Cifrado: En lugar de una sola pasada, el malware ahora utiliza una transformación de dos etapas con dos claves distintas: una clave primaria de 32 bytes y una secundaria de 8 bytes. Esto aumenta la entropía del archivo, haciendo inútiles las herramientas de recuperación que buscan patrones predecibles.
- Fragmentación Dinámica (Dynamic Chunking): El malware ya no cifra el archivo de principio a fin de la misma manera. Ahora decide cómo “romper” el archivo basándose en su tamaño (con un umbral de 8 GB). Utiliza fórmulas matemáticas complejas para determinar el orden de procesamiento, lo que convierte la ingeniería inversa estática en una pesadilla.
¿Por qué es peligroso?
El objetivo de RansomHouse con esta actualización es eliminar la “Recuperación Parcial”.
En ataques anteriores, las víctimas a veces podían “arreglar” bases de datos corruptas o recuperar fragmentos de archivos grandes sin pagar el rescate. Con el nuevo cifrado multi-capa y la mezcla de claves, si no tienes el desencriptador oficial del atacante, los datos son estadísticamente irrecuperables.
De “Mediadores” a “Destructores”
RansomHouse es peculiar porque históricamente se vendían como “mediadores profesionales” que solo querían que las empresas pagaran por sus fallos de seguridad. Sin embargo, el desarrollo de herramientas automatizadas como MrAgent (para atacar entornos VMware ESXi masivamente) y ahora esta actualización de cifrado, demuestra que están invirtiendo fuertemente en hacer daño real y rápido.
La Amenaza a la Virtualización
Este grupo se especializa en entornos virtualizados. La nueva técnica de cifrado está optimizada para corromper discos virtuales gigantes (archivos .vmdk o .vhdx) en tiempo récord, asegurándose de que las copias de seguridad locales también queden inservibles antes de que el administrador se dé cuenta.
¿Qué hacer?
- Backups Inmutables: Es la única defensa contra el cifrado destructivo. Tus copias de seguridad deben estar fuera de línea o en un almacenamiento que no pueda ser sobrescrito ni borrado por el usuario administrador.
- Detección de Comportamiento: Los antivirus tradicionales fallarán ante “Mario” porque el binario cambia constantemente. Necesitas herramientas EDR que detecten la escritura masiva en disco a alta velocidad.
Ficha Técnica: RansomHouse ‘Mario’
| Característica | Detalle Técnico |
| Nombre del Malware | Mario (Nueva Variante) |
| Método de Cifrado | Multi-capa (2 etapas) |
| Gestión de Claves | Primaria (32-byte) + Secundaria (8-byte) |
| Técnica de Evasión | Cifrado no lineal y tamaño de bloque dinámico |
| Objetivo Principal | Entornos VMware ESXi y Servidores de Archivos Grandes |
