Una nueva cepa de ransomware sofisticada conocida como Dire Wolf se ha convertido en una amenaza significativa para las organizaciones en todo el mundo, combinando técnicas de cifrado avanzadas con capacidades destructivas contra la recuperación.
El Grupo de Malware apareció por primera vez en mayo de 2025 y desde entonces ha dirigido a 16 organizaciones en diversas industrias, incluidas la fabricación, la TI, la construcción y las finanzas en regiones que abarcan Asia, Australia, Italia y los Estados Unidos.
Dire Wolf emplea una estrategia de doble extorsión que no solo cifra los datos de las víctimas, sino que también amenaza con filtrar información confidencial públicamente.
El grupo opera a través de los sitios de fugas de DarkNet y se comunica con las víctimas a través de la plataforma Tox Messenger, afirmando que su motivación principal es la ganancia financiera.
Junta de víctimas de Direwolf (Fuente – ASEC)
Dentro de los meses de su aparición, han demostrado una comprensión sofisticada de los entornos empresariales y los mecanismos de recuperación.
Analistas de ASEC identificado Varias características distintivas que distinguen el lobo terrible de otras familias de ransomware.
El malware demuestra capacidades técnicas avanzadas a través de su combinación de Curve25519 Key Exchange con el cifrado de transmisión Chacha20, creando claves de sesión únicas para cada archivo encriptado.
Flujo de ejecución de Direwolf (fuente – ASEC)
Este enfoque criptográfico bloquea efectivamente todos los métodos de descifrado conocidos, dejando a las víctimas sin opciones de recuperación más allá de negociar con los atacantes.
La ejecución del ransomware comienza con los mecanismos de control basados en argumentos, utilizando parámetros de línea de comandos como -D para la orientación de directorio y -h para funciones de ayuda.
Tras la inicialización, realiza verificaciones de protección utilizando el sistema Mutex Global \ DirewolfappMutex y busca el marcador de finalización c: \ runfinish.exe para evitar infecciones duplicadas.
Técnicas avanzadas contra la recuperación y evasión
La característica más preocupante de Dire Wolf radica en su destrucción sistemática de la infraestructura de recuperación.
El malware implementa un mecanismo de eliminación de registro de eventos persistente que monitorea y termina continuamente el servicio de registro de eventos de Windows.
Este proceso implica ejecutar comandos de PowerShell para identificar la identificación del proceso de servicio de eventlog a través de consultas WMI:-
Get -wmioBject -class win32_service -filter “name =” eventlog “” | seleccionar -ExP processID
El malware luego termina por la fuerza el servicio utilizando los comandos de TaskKill en un bucle infinito, asegurando que incluso si los administradores reinician el servicio, permanece bloqueado durante todo el ataque.
Estructura de cifrado (Fuente – ASEC)
Además, Dire Wolf elimina sistemáticamente los puntos de restauración del sistema utilizando comandos como Vssadmin eliminar las sombras /todo /silenciar y deshabilitar el entorno de recuperación de Windows a través de BCDEDIT /SET {predeterminado} RecoveryEnabled No.
El ransomware termina proactivamente procesos críticos, incluidas bases de datos (MSSQL, Oracle), servidores de correo (intercambio), plataformas de virtualización (VMware) y software de copia de seguridad (VeEAM, Veritas BackuPExec).
Nota de rescate (fuente – ASEC)
Después de completar el cifrado, crea el archivo marcador, obliga a un reinicio del sistema con un retraso de 10 segundos y ejecuta una rutina de autoselección para eliminar trazas del ejecutable malicioso, lo que complica significativamente el análisis forense y los esfuerzos de respuesta a incidentes.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
