El paisaje de ciberseguridad fue testigo de una violación significativa a principios de 2025 cuando el ransomware de Arkana surgió como un actor de amenaza formidable, debut con un ataque devastador en Wideopenwest (¡guau!), Un importante proveedor de servicios de Internet de los Estados Unidos.
El ataque, que ocurrió a fines de marzo de 2025, demostró las capacidades sofisticadas del grupo, ya que afirmaron haber exfiltrado con éxito dos bases de datos extensas que contienen aproximadamente 403,000 y 2.2 millones de registros de clientes respectivamente.
Más allá del robo de datos masivos, los actores de amenaza también obtuvieron un control no autorizado sobre la infraestructura crítica de back-end, incluidas las plataformas de AppiiCloud y Symphonica de WOW!, Mostrando su capacidad para comprometer los sistemas de nivel empresarial.
La operación de ransomware sigue un modelo distintivo de extorsión trifásica que comprende las etapas de rescate, venta y fuga, cada una diseñada para maximizar la presión sobre las víctimas para cumplir con sus demandas.
Lo que distingue a Arkana de los grupos de ransomware tradicionales es su enfoque inicial en la guerra psicológica y la exfiltración de datos en lugar del cifrado inmediato del sistema, utilizando sus tácticas de “muro de vergüenza” para exponer públicamente la información confidencial y la presión a las víctimas al pago.
Los patrones de comunicación del grupo, incluido el uso del texto cirílico en idioma ruso, sugieren fuertemente los orígenes o conexiones rusas, alineándose con la tendencia más amplia de las operaciones cibercriminales de Europa del Este.
Analistas de Socradar identificado Con respecto a los indicadores que vinculan a Arkana con la red de qilin en expansión, una plataforma sofisticada de ransomware como servicio (RAAS) operada por el Grupo de Ransomware de Qilin, que se ha convertido en una de las organizaciones ciberninales más activas en 2025.
La conexión se hizo evidente cuando los investigadores descubrieron el logotipo de Qilin Network que se muestra prominentemente en la página “Acerca y contacto” de Arkana dentro de su infraestructura web oscura, lo que sugiere una afiliación directa o recursos operativos compartidos.
Acerca de y contacta la sección de DLS de Ransomware de Arkana que muestra el logotipo de Qilin (fuente – Sócradar)
Esta relación representa una escalada significativa en el panorama de amenazas, ya que Qilin ofrece a los afiliados cargas útiles de ransomware personalizadas incorporadas en los lenguajes de programación de óxido o GO, junto con servicios de apoyo técnico y legal.
Análisis de vectores de ataque y mecanismos de recolección de credenciales
El análisis técnico revela que el vector de ataque principal de Arkana se centra en el robo de credenciales y las técnicas de movimiento lateral, empleando las tácticas del marco MITER ATT & CK T1078 (cuentas válidas), T1486 (datos encriptados por impacto) y T1565 (manipulación de datos).
Estadísticas de víctimas para el ransomware Arkana (fuente – Sócradar)
El grupo generalmente inicia el compromiso al recolectar credenciales de inicio de sesión de computadoras de personal infectadas, aprovechando posteriormente estas cuentas válidas para acceder a sistemas internos, incluidas plataformas de facturación e interfaces administrativas.
Una vez que se establece el acceso inicial, los actores de amenaza implementan herramientas de movimiento lateral como PSEXEC para la ejecución de comandos remotos, al tiempo que utiliza un software de acceso remoto legítimo que incluye Citrix y AnyDesk para mantener la persistencia y evitar la detección.
La metodología del grupo demuestra una preferencia por “vivir fuera de la tierra”, explotar herramientas administrativas legítimas para combinar con el tráfico normal de la red y evadir los sistemas de monitoreo de seguridad.
Su enfoque operativo en la exfiltración de datos sobre el cifrado inmediato los distingue de los grupos de ransomware convencionales, lo que sugiere un enfoque más calculado para maximizar los rendimientos financieros a través de campañas de extorsión prolongadas dirigidas a bases de datos de clientes de alto valor e información corporativa sensible.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
