Marzo 2025 ha visto una evolución significativa en tácticas de amenaza cibernética, con grupos de ransomware adoptando nuevas técnicas y expandiendo sus operaciones. Los investigadores de seguridad han identificado varias amenazas de alto impacto este mes, incluyendo el cambio de un grupo de espionaje corporativo al ransomware, nuevas herramientas de evasión de EDR, ataques sofisticados de estado-nación, y campañas de phishing engañosas dirigidas a empresas. This comprehensive analysis covers the most significant cybersecurity developments that security professionals and businesses should be aware of.
Fuente: Analyzed data from Acronis Threat Research Unit Combinado con las evaluaciones de impacto de la industria
RedCurl evoluciona: El grupo de espionaje corporativo lanza la primera campaña de ransomware con QWCrypt
En marzo 26, 2025, Los investigadores de seguridad identificaron que el notorio grupo de piratería RedCurl (También conocido como Earth Kapre y Red Wolf) ha cambiado de sus actividades tradicionales de espionaje corporativo a implementar ransomware por primera vez. Este pivote estratégico marca una evolución significativa en las tácticas del grupo, técnicas, y procedimientos (TTPS).
Análisis técnico de ransomware QWCrypt
La tensión de ransomware recién identificada, llamado QWCrypt, específicamente se dirige a máquinas virtuales, haciéndolo particularmente peligroso para las organizaciones con infraestructura virtualizada. La cadena de ataque del malware comienza con sofisticados correos electrónicos de phishing de lanza que contienen señuelos con temática de recursos humanos. Estos correos electrónicos entregan PDF maliciosos e archivos ISO que SideLoad Malware a través de un ejecutable legítimo de Adobe, Explotación de rutas de aplicación de confianza para evadir la detección.
| Fase de ataque | Detalle técnico |
|---|---|
| Acceso inicial | Correos electrónicos de phishing con señuelos con temas de recursos humanos que contienen PDF maliciosos y archivos ISO |
| Ejecución | Malware lateral a través del ejecutable legítimo de Adobe |
| Persistencia | Modificaciones de registro y tareas programadas creadas con privilegios del sistema |
| Movimiento lateral | Robo de credenciales y explotación de vulnerabilidades sin parpaderos |
| Impacto | Cifrado de máquinas virtuales, Haciendo infraestructuras completas inoperables |
El diseño del ransomware parece imitar elementos de grupos establecidos como Lockbit y Hardbit, potencialmente para confundir los esfuerzos de atribución. Notablemente, Los investigadores no han identificado un sitio de fuga dedicado asociado con estos ataques, Al plantear preguntas sobre si la demanda de rescate es genuina o si la implementación de ransomware sirve como una distracción de las actividades tradicionales de espionaje del grupo.
Objetivos y distribución geográfica
RedCurl ha dirigido históricamente a organizaciones en Canadá, Alemania, Noruega, el Reino Unido, y los Estados Unidos. El cambio del grupo a las operaciones de ransomware potencialmente expande su perfil de amenaza desde el robo de datos hasta la interrupción operativa en estas regiones.
EDRKillShifter: La herramienta de evasión de seguridad de RansomHub vincula múltiples grupos de delitos cibernéticos
En un desarrollo significativo rastreado durante todo marzo, Los investigadores de seguridad han descubierto conexiones entre tres grupos de delitos cibernéticos separados mediante su uso de una herramienta de evasión de seguridad común llamada Edrkillshifter. Esta herramienta, Desarrollado originalmente para afiliados del ransomhub ransomware como servicio (Raas) operación, Explota a los controladores vulnerables para deshabilitar la detección y respuesta del punto final (EDR) software.
Capacidades de herramientas y detalles técnicos
Edrkillshifter representa un avanzado “Trae tu propio conductor vulnerable” (BYOVD) Enfoque para deshabilitar las defensas de seguridad. La herramienta se dirige a los impulsores del sistema legítimos pero vulnerables, Explotarlos para cerrar las medidas de protección dentro del sistema operativo. Cuando se despliega con éxito, it effectively blinds security tools to subsequent malicious activities.
A newly identified threat actor, dubbed QuadSwitcher, has been observed using EDRKillShifter in attacks attributed to multiple ransomware groups, incluido:
- RansomHub
- Play ransomware
- Medusa ransomware
- BianLian ransomware
Researchers confirmed the connection between these groups by analyzing shared EDRKillShifter samples and command-and-control server infrastructure, demonstrating how tooling is being shared across different ransomware operations.
Recomendaciones de defensa
Since these attacks require administrative access, organizations can implement several preventive measures:
- Implement driver blocklisting for known vulnerable drivers
- Use Windows Defender’s driver blocklist feature for protection
- Monitor for driver loading events, particularly those associated with third-party tools
- Implemente soluciones EDR avanzadas que puedan detectar intentos de deshabilitar el software de seguridad
- Implementar controles de acceso fuertes para evitar que los atacantes obtengan privilegios administrativos
El ascenso de los asesinos de EDR destaca una tendencia preocupante en las tácticas de ransomware, A medida que los actores de amenaza se adaptan continuamente a las defensas de seguridad cada vez más sofisticadas.
El grupo de apartamento chino famosa evoluciona el kit de herramientas de ataque con shadowpad
Los investigadores de seguridad han identificado ataques dirigidos contra un EE. UU.. Grupo comercial y un instituto de investigación mexicano atribuido a la amenaza persistente avanzada china (APTO) Grupo Famoso SPARROW. La campaña, Primero detectado a principios de marzo 2025, Implica la implementación del patio trasero de gorrión de la firma del grupo junto con el malware Shadowpad, que marca la primera instancia observada de FamoussParrow utilizando esta herramienta en particular.
Detalles técnicos del ataque
El análisis de la campaña reveló dos nuevas versiones de Sparrowdoor, incluyendo una variante modular significativamente mejorada con capacidades de ejecución de comandos mejoradas. La secuencia de ataque sigue un patrón familiar para los actores de estado-nación:
- Acceso inicial: Explotación de las vulnerabilidades obsoletas de Windows Server y Microsoft Exchange Server
- Persistencia: Despliegue de un shell web sofisticado para mantener el acceso
- Entrega de carga útil: Instalación de Sparrowdoor Backdoor y Shadowpad Malware
La versión modular de Sparrowdoor admite múltiples capacidades avanzadas, incluido:
- Registro de teclas para el robo de credenciales
- Transferencia de archivos para la exfiltración de datos
- Manipulación de procesos para mantener sigiloso
- Captura de escritorio remoto para la recopilación de inteligencia visual
Shadow, una puerta trasera modular comúnmente asociada con actores de amenaza patrocinados por el estado chino, expande significativamente las capacidades de FamoussParrow, sugiriendo una colaboración potencial o intercambio de herramientas entre grupos aptos chinos.
Advertencia del FBI: Convertidores de archivos falsos robando información e implementando ransomware
La oficina de campo del FBI Denver ha emitido una advertencia urgente después de observar un aumento en los informes de convertidores de documentos en línea falsos que se utilizan para robar información confidencial e implementar ransomware. Esta advertencia, emitido en marzo 20, 2025, destaca una tendencia preocupante dirigida a los usuarios personales y comerciales.
Cómo funciona el ataque
Los ciberdelincuentes crean sitios web engañosos que afirman proporcionar servicios de conversión de documentos gratuitos, pero oculta las intenciones maliciosas:
- Los usuarios que buscan herramientas de conversión de documentos encuentran estos sitios, a menudo promovido a través de los anuncios de Google
- Los sitios parecen legítimos y en realidad pueden proporcionar la funcionalidad de conversión prometida
- Cuando los usuarios cargan documentos para la conversión, Los sitios extraen información confidencial del contenido del archivo
- Los archivos convertidos devueltos contienen malware integrado que establece un acceso remoto
- En casos más severos, Se implementa el ransomware, Cifrar los archivos de la víctima
Los investigadores han identificado múltiples indicadores que ayudan a identificar estos sitios convertidores fraudulentos:
| Señal de advertencia | Detalles |
|---|---|
| Edad del dominio | Típicamente registrado en el pasado 30 días |
| política de privacidad | Información de privacidad faltante o extremadamente vaga |
| Información del contacto | No hay datos de contacto de negocios legítimos |
| Certificado SSL | A menudo utilizando certificados gratuitos con validación mínima |
| Diseño del sitio web | Clon de servicios legítimos con modificaciones menores |
El malware entregado a través de estos servicios puede extraer una amplia gama de información confidencial., incluyendo nombres, contraseñas, semillas de criptomonedas, y credenciales bancarias, conduciendo a pérdidas financieras significativas para las víctimas.
Prevenir ataques convertidores falsos
Para proteger contra estas amenazas, El FBI recomienda varias medidas preventivas:
- Use solo establecido, Herramientas y servicios de conversión de archivos de buena reputación
- Instale un software de seguridad integral que pueda identificar sitios web maliciosos
- Verificar la legitimidad del sitio web antes de cargar documentos confidenciales
- Considere usar herramientas de conversión fuera de línea al manejar información confidencial
- Realice una copia de seguridad de los archivos críticos para habilitar la recuperación en caso de ataque de ransomware
Para empresas e individuos que ya han sido víctimas de estas estafas, un aviso proceso de eliminación de malware es esencial para mitigar el daño potencial.
Profesionales de SEO atacados por una sofisticada campaña de phishing
Una campaña de phishing recientemente identificada está dirigida específicamente a los profesionales de SEO que utilizan anuncios falsos de Google Semrush diseñados para robar las credenciales de la cuenta de Google. Semrush, Una popular plataforma SaaS que proporciona herramientas para SEO, publicidad en línea, y marketing de contenidos, se está haciendo pasar por esta campaña altamente dirigida.
Detalles y objetivos de la campaña
Los analistas de seguridad creen que un grupo de amenazas brasileñas está detrás de esta campaña, que tiene como objetivo específicamente capturar las cuentas de los anuncios de Google para el lanzamiento de más ataques de malvertición. La operación demuestra una comprensión sofisticada del ecosistema de marketing digital:
- Los atacantes crean sitios de phishing convincentes que imitan la interfaz de Semrush
- Estos sitios usan nombres de dominio similares a SEMRUSH pero con diferentes dominios de nivel superior
- Las víctimas se ven obligadas a autenticarse a través de “Iniciar sesión con Google” funcionalidad
- Cuando se ingresan las credenciales, Los atacantes obtienen acceso a la cuenta de Google de la víctima
- Este acceso permite el robo de datos comerciales confidenciales de Google Analytics y Google Search Console
En un desarrollo relacionado, Otra campaña de phishing en curso es aprovechar los anuncios falsos de Sseek en Google en los resultados de la búsqueda de Google para entregar los heracles msil troyan, Un malware que se abarca la información dirigida a las billeteras de criptomonedas. Esta campaña utiliza resultados de búsqueda de Google patrocinados para dirigir a las víctimas a sitios web maliciosos que distribuyen el Infente.
Impacto y prevención de la industria
Estas campañas de phishing destacan la naturaleza en evolución de los ataques específicos contra grupos profesionales específicos. Los profesionales de SEO y de marketing digital deben implementar medidas de seguridad adicionales, incluido:
- Habilitar la autenticación multifactor en todas las cuentas de Google
- Verificar cuidadosamente la URL de las páginas de inicio de sesión antes de ingresar credenciales
- Uso de administradores de contraseñas con capacidades de detección de phishing
- Ser escéptico de los anuncios de Google para servicios de software, Incluso cuando aparecen en la parte superior de los resultados de búsqueda
- Implementación de la capacitación de conciencia de seguridad en toda la empresa sobre estas amenazas específicas
Las organizaciones también deben considerar implementar Soluciones de seguridad integrales que pueden detectar y bloquear los intentos de phishing y las descargas de malware automáticamente.
Defensa coordinada: Respondiendo al panorama de amenazas en evolución
Como demuestran estas amenazas, Las tácticas cibercriminales continúan evolucionando en sofisticación e impacto. Las organizaciones deben adoptar un enfoque de seguridad de varias capas que incluya:
- Gestión de vulnerabilidad: Mantener un inventario actualizado de sistemas e implementar parches regulares, particularmente para aplicaciones orientadas a Internet como Microsoft Exchange.
- Seguridad de correo electrónico: Disgima soluciones avanzadas de filtrado de correo electrónico para detectar y bloquear los sofisticados intentos de phishing, especialmente aquellos que usan señuelos con temática de recursos humanos.
- Soluciones EDR/XDR: Implementar plataformas modernas de protección de punto final que puedan detectar y responder a los intentos de deshabilitar las herramientas de seguridad.
- Conciencia de seguridad: Realizar capacitación regular para los empleados, con un enfoque especial en reconocer intentos de phishing y sitios web sospechosos.
- Planificación de respuesta a incidentes: Desarrollar y probar regularmente procedimientos de respuesta a incidentes para garantizar una contención y recuperación rápidas en caso de violación de seguridad.
La convergencia de las operaciones de ransomware, tácticas de estado nación, y las campañas de phishing dirigidas crean un entorno de seguridad desafiante que requiere vigilancia y medidas de defensa proactivas. Mantenerse informado sobre las amenazas emergentes e implementar controles de seguridad apropiados, Las organizaciones pueden reducir su exposición al riesgo en este paisaje en evolución.
Para individuos y empresas preocupadas por posibles infecciones, Considere usar herramientas como Eliminador de troyanos para escanear y eliminar el malware que podría haber comprometido sus sistemas.