Una nueva cepa de ransomware sofisticada llamada Kawa4096 ha surgido en el panorama de ciberseguridad, que muestra técnicas de evasión avanzadas y elementos de diseño de préstamos de actores de amenaza establecidos.
El nombre de la palabra japonesa para “River”, este software malicioso apareció por primera vez en junio de 2025 y ya ha reclamado al menos 11 víctimas en múltiples regiones, con Estados Unidos y Japón sirviendo como objetivos principales.
El ransomware demuestra una tendencia preocupante entre los cibercriminales de adoptar elementos exitosos de grupos de amenazas comprobados para mejorar su credibilidad y efectividad operativa.
Los operadores de Kawa4096 han modelado estratégicamente su formato de nota de rescate después del notorio grupo de ransomware Qilin mientras diseñan su sitio de fuga de datos para reflejar la distintiva interfaz terminal verde sobre la característica de la operación de ransomware Akira.
Analistas de confianza identificado Esta amenaza emergente a través del monitoreo integral de la actividad global de ransomware, observando sus sofisticadas capacidades técnicas y la imitación deliberada de familias de ransomware establecidas.
Kawa4096 (izquierda) vs Nota de rescate Qilin (derecha) (fuente – Trustwave)
La arquitectura multiproceso del malware permite un cifrado eficiente en los sistemas infectados al implementar mecanismos de evasión robustos para evitar la detección por soluciones de seguridad.
Kawa4096 emplea mecanismos particularmente notables de persistencia y anti-recuperación que lo distinguen de las variantes típicas de ransomware.
El malware crea un mutex único llamado “say_hi_2025” para evitar que múltiples instancias se ejecuten simultáneamente, asegurando la estabilidad operativa durante el proceso de cifrado.
Eliminación de la copia de la sombra a través de WMI
La innovación técnica más significativa del ransomware radica en su eliminación sistemática de las copias de Windows Shadow utilizando la instrumentación de administración de Windows.
Kawa4096 aprovecha el método Win32_process :: Crear WMI para ejecutar dos comandos críticos que eliminen por completo las opciones de recuperación del sistema.
Terminación de los servicios (fuente – Trustwave)
El malware primero se ejecuta vssadmin.exe Eliminar sombras /todo /silencio para eliminar silenciosamente todas las copias de volumen de sombra, seguido de WMIC ShadowCopy Delete /Nointeractive para garantizar la eliminación integral sin indicaciones de interacción del usuario.
Creación de hilos (fuente – Trustwave)
Este enfoque de doble comando evita que las víctimas recuperen archivos encriptados a través de los mecanismos de copia de seguridad incorporados de Windows, aumentando significativamente la presión para pagar las demandas de rescate.
Muestra de archivos cifrados (fuente – Trustwave)
La técnica representa una comprensión sofisticada de los sistemas de recuperación de Windows y demuestra el compromiso de los actores de amenaza de maximizar el impacto operativo mientras se mantiene sigiloso durante todo el proceso de ataque.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
