Una nueva operación de Ransomware-as-a-Service (RaaS) está tomando forma en el ecosistema criminal: ShinySp1d3r, desarrollada por actores vinculados a ShinyHunters, Scattered Spider y el colectivo Scattered LAPSUS$ Hunters. Aunque aún se encuentra en fase de desarrollo, sus primeras muestras revelan un proyecto ambicioso, diseñado desde cero y orientado a campañas de extorsión de alto impacto.
1. Origen y actores detrás de la operación
ShinySp1d3r surge como un esfuerzo conjunto entre tres grupos altamente temidos por la industria:
ShinyHunters, conocidos por brechas masivas y campañas de extorsión.
Scattered Spider, uno de los actores más agresivos en ingeniería social corporativa.
LAPSUS$, famoso por ataques disruptivos a grandes tecnológicas.
El grupo opera bajo el paraguas “Scattered LAPSUS$ Hunters (SLH)”, presentándose como una alianza estratégica para consolidar sus capacidades ofensivas.
2. Un ransomware construido desde cero
A diferencia de otras operaciones que se apoyan en código filtrado (como LockBit o Babuk), el nuevo encryptor de ShinySp1d3r fue construido íntegramente desde cero. Muestras subidas a VirusTotal permitieron a investigadores analizar una versión preliminar, revelando funcionalidades avanzadas:
Funciones principales identificadas
Hooking de EtwEventWrite para evitar registro de eventos en Windows.
Terminado forzado de procesos que impiden la encriptación de archivos.
Función forceKillUsingRestartManager (aún no implementada) para forzar el cierre mediante API.
Sobrescritura del espacio libre del disco con archivos wipe-[random].tmp para impedir recuperación forense.
Eliminación de Shadow Volume Copies.
Propagación lateral en red vía:
SCM (creación de servicios)
WMI (Win32_Process.Create)
GPO (scripts de inicio)
Búsqueda y cifrado de unidades compartidas en red.
Anti-análisis y borrado de buffers para evitar análisis de memoria.
Cifrado ChaCha20 + RSA-2048, con extensiones únicas por archivo basadas en un algoritmo propio.
Encabezado personalizado SPDR–ENDS con metadatos internos.
3. Ransom note y elementos de extorsión
Cada carpeta recibe una nota de rescate con un mensaje elaborado que se presenta como una “comunicación técnica confidencial”. Incluye:
Instrucciones de negociación vía TOX.
Un enlace placeholder al futuro sitio de filtraciones en Tor.
Advertencia de que los datos serán revelados si no se inicia contacto en tres días.
Adicionalmente, el malware modifica el wallpaper de Windows para guiar a la víctima hacia la nota.
4. Expansión del proyecto: Linux, ESXi y versión “Lightning”
ShinyHunters afirmó que el encryptor tendrá:
Una versión CLI con configuración en tiempo real.
Builds para Linux y VMware ESXi casi finalizados.
Una versión “Lightning”, escrita en Assembly (ASM), diseñada para velocidad extrema, comparada con LockBit Green.
Es claro que ShinySp1d3r apunta a convertirse en un RaaS competitivo y multifuncional.
5. Restricciones “éticas” del grupo
Al igual que otros operadores, el colectivo afirma que sus afiliados:
No pueden atacar a organizaciones de salud (hospitales, farmacéuticas, aseguradoras).
No pueden atacar empresas en Rusia y países de la CEI.
Históricamente, estas “políticas” han sido inconsistentes, por lo que su valor real es debatible.
6. ¿Por qué ShinySp1d3r es relevante para las empresas?
Aunque aún es un proyecto en desarrollo, ShinySp1d3r ya muestra características de un ransomware de próxima generación, combinando:
Propagación lateral automatizada.
Técnicas anti-forense.
Mecanismos de evasión avanzados.
Un ecosistema afiliado respaldado por grupos altamente efectivos.
Este tipo de amenazas exige que las organizaciones refuercen:
Controles de acceso y privilegios mínimos.
Segmentación de red y monitoreo de movimiento lateral.
Backups inmutables y pruebas de restauración.
Detección temprana basada en comportamiento.
Plan de respuesta a incidentes actualizado.
Conclusión
ShinySp1d3r representa un nuevo capítulo en la evolución del ransomware: más modular, más evasivo y respaldado por actores con amplia trayectoria. Las empresas deben mantenerse alertas, fortalecer sus mecanismos de defensa y actualizar sus modelos de riesgo ante la inminente llegada de esta nueva amenaza en el ecosistema criminal global.
