logo SOS Ransomware
Emergencia 24/7
,

El ransomware Space Bears y Lexus

La ciberseguridad es un campo en constante evolución, y las amenazas de ransomware siguen diversificándose. Entre las más recientes y preocupantes se encuentran Space Bears y Lexus, dos variantes que comparten raíces comunes con el temido ransomware Phobos. Estos recién llegados no sólo destacan por su capacidad para cifrar los datos de las víctimas, sino que también utilizan otras tácticas agresivas para extorsionar. Si se familiariza con las tácticas empleadas por Space Bears y Lexus, podrá mejorar sus defensas digitales. Armarse de conocimientos y adoptar prácticas de seguridad sólidas es la clave para ir un paso por delante de estas sofisticadas amenazas.

Origen y evolución del ransomware Phobos

La aparición de Phobos

Desde mayo de 2018, el ransomware Phobos ha estado acumulando víctimas en todo el mundo. Habiendo surgido como una amenaza seria hace unos años, históricamente se ha dirigido principalmente a pequeñas y medianas empresas que utilizan un Protocolo de Escritorio Remoto (RDP ) vulnerable. Los ciberdelincuentes aprovechan estos agujeros de seguridad para infiltrarse en los sistemas antes de cifrar los archivos y pedir un rescate. Phobos, una variante del antaño extendido ransomware Dharma, se despliega en el marco de una operación RaaS, con versiones del malware licenciadas a equipos independientes para extorsionar a las víctimas y ofrecer a los operadores de RaaS una parte de los beneficios.

Características y funcionamiento

Phobos destaca por su capacidad para cifrar no sólo los archivos locales, sino también los compartidos en red. Además, este ransomware desactiva los cortafuegos y borra las copias de seguridad de volumen para dificultar la recuperación de los datos sin pagar el rescate. Asegura su persistencia en el sistema infectado duplicándose en determinados directorios y registrándose en claves específicas del registro de Windows. Las variantes de Phobos también se utilizan con frecuencia en otros ransomware, como 8base, y esporádicamente aparecen nuevas variantes, o presuntas variantes. De hecho, cabe suponer que este es también el caso de Space Bears y Lexus. Según un estudio de TrendMicro para el primer trimestre de 2024, publicado en mayo de 2024, el ransomware 8Base «se ha observado utilizando la versión 2.9.1 del ransomware Phobos. Esta versión utiliza SmokeLoader para la ofuscación inicial de la entrada, desempaquetado y carga de la carga útil.»

Familles de ransomware en nombre de machines par mois pour le premier trimestre 2024
Familias de ransomware en número de máquinas por mes para el primer trimestre de 2024, en términos de detección de archivos Fuente: Trend Micro

Anatomía del ransomware Lexus

Identificación y significado de las extensiones

El ransomware Lexus es una grave amenaza para la seguridad de los datos personales y empresariales. Descubierto recientemente, este malware tiene como objetivo cifrar sus archivos y exigir un rescate para desbloquearlos. Lexus pertenece a la familia Phobos de ransomware, conocida por su capacidad para desactivar cortafuegos y eliminarinstantáneas. Cuando Lexus renombra los archivos, añade una extensión específica que incluye el identificador de la víctima, una dirección de correo electrónico () y la extensión .Lexus. Este método permite a los operadores rastrear fácilmente a las víctimas y centralizar las peticiones de rescate.

Lexus capture ecran fichiers chiffrés
Captura de pantalla de los archivos cifrados por Lexus – Fuente PCrisk

El mensaje de rescate

El mensaje que deja Lexus informa a las víctimas de que sus datos han sido cifrados y descargados. El mensaje también promete que los datos se eliminarán tras el pago, sin embargo, si no se recibe respuesta en dos días, los datos se venderán a las partes interesadas.

Consejos en caso de infección

Desaconsejamos encarecidamente pagar el rescate. Es posible que los hackers nunca proporcionen las herramientas de descifrado prometidas. Para evitar pérdidas económicas y de datos, es aconsejable guardar copias de seguridad de los archivos importantes en un servidor remoto o en un dispositivo de almacenamiento desconectado. También debe saber que, cuando sus archivos han quedado inaccesibles, a menudo es posible confiarlos a empresas especializadas en la recuperación de datos cifrados, como SOS Ransomware.

La doble estrategia de extorsión de Space Bears

Una aparición reciente

Space Bears es un nombre nuevo en el mundo del ransomware. En abril de 2024,el equipo de Inteligencia sobre Ciberamenazas de S-RM identificó a un nuevo operador afiliado al grupo Phobos ransomware as a service (RaaS), que utiliza un nuevo sitio de filtraciones, titulado «Space Bears», para extorsionar a una víctima a cambio del pago de un rescate. La aparición de este sitio sigue a otros avistamientos de operadores que utilizan el sitio de filtraciones 8Base como lugar para publicar datos de víctimas.

Los Space Bears llamaron la atención con una serie de ataques en 2024, que afectaron al menos a siete víctimas en su primera oleada. La información sobre esta organización es limitada, pero su enfoque ya parece eficaz e intimidatorio.El grupo Space Bears ha ganado rápidamente notoriedad por su sitio de filtración de datos de temática corporativa y sus alianzas estratégicas. Su alineación estratégica con Phobos demuestra su capacidad y alcance, lo que sugiere un alto nivel de organización y un apoyo financiero potencialmente significativo, indicativo de una red cibercriminal internacional bien coordinada.

Space Bears annonce d'attaques par DarkWe Informer sur X - Capture d'écran
Captura de pantalla de Dark WebInformer en X – Fuente @DarkWebInformer

Doble extorsión: mayor presión sobre las víctimas

La principal técnica utilizada por Space Bears es la doble extorsión. No sólo cifran los datos, sino que amenazan con publicarlos si no se paga el rescate. Space Bears también utiliza un «muro de la vergüenza» para humillar públicamente a las víctimas, lo que añade más presión y riesgo para su reputación y aumenta las posibilidades de recibir el pago.

Capture d'écran du mur de la honte de Space Bears
Muro de la vergüenza de los Space Bears – Fuente RansomLook

Resista la tentación de negociar

Como en el caso de Lexus, es aconsejable no ceder a las peticiones de rescate. Esto puede alentar más ataques. Es esencial reforzar sus defensas contra las ciberamenazas en lugar de financiar a estos ciberdelincuentes.

Mecanismos de distribución habituales

Vulnerabilidad del protocolo de escritorio remoto (RDP)

Los RDP siguen siendo uno de los principales objetivos de los distribuidores de ransomware como Lexus y Space Bears, y ésta es una de las características distintivas del ransomware Phobos. Los ciberdelincuentes buscan activamente puntos débiles en estos servicios para penetrar en las redes y desplegar sus ataques.

Correos electrónicos maliciosos

Otro vector clásico pero todavía eficaz es el uso decorreos electrónicos que contienen enlaces o archivos adjuntos maliciosos. Educar a los empleados sobre los riesgos asociados a los correos electrónicos sospechosos sigue siendo crucial para prevenir las infecciones. El phishing sigue siendo una amenaza constante y sus mensajes son cada vez más sofisticados, lo que los hace aún más difíciles de detectar, así que ¡cuidado!

Medidas de prevención y protección

La amenaza constante de robo de datos por ransomware significa que las organizaciones deben dar prioridad a la protección de los datos sensibles para limitar el impacto comercial de un incidente que implique la pérdida de datos. Recomendamos aplicar las siguientes medidas para protegerse contra el impacto del robo de datos:

  • Mantenga copias de seguridadperiódicas, guarde copias de seguridad de sus archivos esenciales fuera de línea o en servidores remotos. Esto le permitirá restaurar los datos sin tener que pagar un rescate.
  • Cifre los datos sensiblesen tránsito y en reposo para evitar accesos no autorizados, en caso de que los datos sensibles sean interceptados por un tercero.
  • Refuerce la seguridad RDP, asegurándose de que su acceso RDP está protegido por políticas estrictas, incluyendo el uso de contraseñas seguras yautenticación multifactor. Es importante escanear y supervisar periódicamente los puertos RDP que puedan haberse abierto por accidente o por una configuración incorrecta.
  • Aplicar políticas sólidas de gobernanza de datos. A menudo, las empresas no son conscientes de la cantidad de datos obsoletos que siguen disponibles en sus sistemas, como antiguos archivos de (ex)empleados o clientes. Borrar periódicamente estos datos que han dejado de ser útiles y aplicar una política de retención de datos ya reduce parte del impacto del robo de datos.
  • Instale un EDR (Endpoint Detection and Response) en todos los sistemas. Esto permitirá detectar rápidamente cualquier actividad sospechosa o maliciosa y responder con rapidez.
  • Formación y concienciación continuas, invertir en la formación de los empleados sobre amenazas digitales y buenas prácticas de seguridad puede reducir significativamente el riesgo de infección.

En conclusión, aunque Lexus y Space Bears y todos los ransomware de la familia Phobos representan graves amenazas en el campo del ransomware, las medidas proactivas pueden ayudar a minimizar los riesgos. Comprender las vías de ataque y reforzar las defensas siguen siendo las mejores estrategias para protegerse contra estas nuevas formas de ciberdelincuencia.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Copyright © 2025 Recoveo | Réalisation par Tell It