Ha surgido un sofisticado ataque de ransomware dirigido a organizaciones a través de credenciales de proveedores de servicios administrados por terceros comprometidos (MSP), que muestran las tácticas evolucionadas de los ciberdelabinales en 2025.
El Grupo Sinobi, que funciona como un afiliado de ransomware como servicio (RAAS), se infiltra con éxito en redes corporativas explotando las credenciales VPN de Sonicwall SSL asignadas a cuentas de directorio activo demasiado privilegiado con los derechos del administrador del dominio.
La campaña de ataque demuestra una tendencia preocupante en la que los actores de amenazas aprovechan las relaciones confiables de terceros para obtener el acceso inicial de la red, sin pasar por alto las defensas perímetro tradicionales.
Una vez dentro de la red, los atacantes establecieron la persistencia al crear nuevas cuentas de administrador y ejecutar el movimiento lateral a través de la infraestructura comprometida, implementando la carga útil de ransomware de Sinobi en las unidades de red locales y compartidas.
Analistas de Esentire identificado El código significativo se superpone entre SinoBi y el ransomware Lynx previamente conocido, lo que sugiere que SinoBi representa un cambio de marca de la operación Lynx RaaS que surgió por primera vez en 2024.
Los investigadores de seguridad observaron con confianza media que el grupo Lynx probablemente compró el código fuente de ransomware de Inc de un usuario llamado “Salfetka” a través de foros de piratería subterránea, lo que indica la comercialización de herramientas de desarrollo de ransomware.
Lynx vs SINOBI Comparación del sitio de fuga (fuente-Esentire)
La sofisticación técnica del malware se hace evidente a través de su enfoque sistemático para deshabilitar los controles de seguridad y maximizar el impacto en el cifrado.
Al obtener acceso, los actores de amenaza intentaron desinstalar el EDR negro de carbono utilizando las operaciones de Repo Uninstaler y de línea de comandos, y finalmente tuvieron éxito después de descubrir códigos de desregistro almacenados en unidades de red mapeadas.
Mecanismos avanzados de cifrado y exfiltración de datos
El ransomware de Sinobi emplea una implementación criptográfica robusta utilizando Curve-25519 Donna combinada con el cifrado AES-128-CTR, lo que hace imposible la recuperación de archivos sin la clave privada del atacante.
El malware genera claves de cifrado únicas para cada archivo a través de la función CryptGenrandom, asegurando una generación de claves criptográficamente segura que elimine las posibles oportunidades de descifrado.
Antes del cifrado, el ransomware prepara sistemáticamente el entorno de destino al eliminar las copias de la sombra de volumen a través de una técnica sofisticada que utiliza dispositivos de dispositivos con el código de control IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE.
El malware ejecuta la siguiente secuencia de comando:-
sc config cbdefense start = desactivado cmd /c sc config cbdefense binpath = “c: \ programaData \ bin.exe” & shutdown /r /t 0
La exfiltración de datos ocurre a través de RCLONE, una utilidad legítima de transferencia de nubes, que dirige la información robada a los servidores operados por Global Connectivity Solutions LLP, un proveedor de alojamiento con frecuencia observado en los ataques cibernéticos.
Ransom Note Wallpaper (Fuente – Esentire)
El ransomware crea archivos encriptados con la extensión .sinobi e implementa notas de ransom de readMe.txt que contienen canales de comunicación basados en TOR e instrucciones de pago, exigiendo que las víctimas negocien dentro de los siete días para evitar la publicación de datos en los sitios de fuga web oscura.
El ataque subraya la importancia crítica de implementar una administración de privilegios estrictos para cuentas de acceso remoto y evitar el almacenamiento de los códigos de desregistro de herramientas de seguridad en ubicaciones de red accesibles.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
