Cuando el ransomware se camufla en herramientas legítimas
Un grupo de ciberdelincuentes está utilizando software de gestión remota y scripts de PowerShell para infiltrar un ransomware sofisticado llamado Prinz Eugen. Esta amenaza ha afectado a organizaciones en varios países, desde grandes bancos hasta empresas regionales.
Lo particular de Prinz Eugen es su forma de operar: en lugar de cifrar archivos en orden alfabético, prioriza los documentos más recientes, bases de datos activas y trabajos recién guardados. Esto aumenta la presión sobre las víctimas para pagar antes de que los respaldos puedan restaurar la información.
Además, tras completar el cifrado, el malware se elimina a sí mismo, borrando cualquier rastro de su presencia. No deja notas de rescate en el disco; toda comunicación con las víctimas se realiza por canales externos, dificultando la investigación forense.
Acceso inicial y uso de herramientas legítimas
El acceso inicial se logra mediante credenciales comprometidas de Remote Desktop Protocol. Luego, los atacantes descargan el ejecutable del ransomware en una carpeta poco habitual y utilizan RemotePC, un software legítimo de administración remota, para ejecutar scripts de PowerShell que descargan herramientas adicionales para robar datos.
También crean cuentas administrativas ocultas para mantener el control del entorno. El uso de software legítimo permite que las acciones maliciosas pasen desapercibidas en el tráfico normal de la red y eviten alertas comunes.
Infraestructura y limpieza post-ataque
La infraestructura que sostiene la campaña es pequeña pero bien diseñada. Incluye dominios que imitan a entidades legítimas para engañar a las víctimas. Cuando la dirección IP del servidor se hizo pública, los atacantes desactivaron todo para evitar ser rastreados.
El ransomware emplea un cifrado avanzado con claves únicas por archivo y un proceso complejo para derivar esas claves, lo que hace casi imposible recuperar datos sin la clave original. Antes de finalizar, elimina las claves de la memoria y se autodestruye mediante comandos programados.
Este nivel de sofisticación muestra un operador con experiencia tanto en entornos empresariales como en evasión de respuestas estándar ante incidentes.
Reflexión para equipos de seguridad
El uso de herramientas legítimas para acciones maliciosas es un desafío creciente. Supervisar el uso no autorizado de software de administración remota y la ejecución de scripts PowerShell puede ser clave para detectar movimientos sospechosos a tiempo.
¿Tu empresa tiene visibilidad sobre el uso de estas herramientas y controles para limitar accesos? La prevención y detección temprana son la mejor defensa contra este tipo de ataques.
