Storm-0501 pasa del ransomware tradicional a la extorsión en la nube 

Microsoft ha advertido que el actor de amenazas Storm-0501 ha evolucionado sus operaciones, dejando atrás el ransomware on-premise para centrarse en ataques basados en la nube. En lugar de desplegar malware para bloquear archivos, ahora el grupo abusa de funciones nativas de la nube para robar datos, borrar copias de seguridad y cifrar cuentas de almacenamiento con claves gestionadas por los clientes. Luego presionan a las víctimas para que paguen rescates y recuperen el acceso. 

Activo desde 2021, Storm-0501 ha utilizado previamente familias de ransomware como Sabbath, Hive y LockBit. Sin embargo, campañas recientes muestran un enfoque en inquilinos de Microsoft Entra ID y entornos de Azure. Aprovechando implementaciones débiles de Microsoft Defender y cuentas privilegiadas comprometidas, los atacantes obtuvieron control administrativo, deshabilitaron defensas y destruyeron opciones de recuperación. 

El cambio resalta una tendencia creciente: los grupos de extorsión abandonan el ransomware tradicional por métodos más sigilosos y nativos de la nube, más difíciles de bloquear. Microsoft ha compartido guías de detección y enfatizado la importancia de un MFA sólido y defensas robustas en la nube. 

Descubierto el primer ransomware impulsado por IA: Promptlock 

Investigadores de ESET han descubierto el primer ransomware impulsado por inteligencia artificial, llamado PromptLock, que aprovecha el modelo gpt-oss:20b de OpenAI para generar scripts maliciosos bajo demanda. Escrito en Golang, el malware se conecta a través de la API de Ollama y utiliza prompts predefinidos para producir dinámicamente scripts Lua destinados a escaneo de sistemas de archivos, robo de datos y cifrado. En particular, PromptLock emplea el cifrado ligero SPECK de 128 bits, un algoritmo débil y poco usado en ransomware, lo que sugiere que sigue siendo un proof-of-concept y no una amenaza activa. 

ESET encontró la muestra en VirusTotal y confirmó que no ha sido desplegada en ataques reales. Más pruebas, como una billetera Bitcoin vinculada a Satoshi Nakamoto y la ausencia de funciones de destrucción de datos, refuerzan la idea de que es experimental. Sin embargo, PromptLock es significativo porque demuestra cómo la IA generativa puede ser utilizada como arma en malware, ofreciendo capacidades multiplataforma y flexibilidad operativa. 

Su descubrimiento sigue al informe del CERT de Ucrania sobre LameHug, otra herramienta impulsada por LLM atribuida a APT28, lo que indica una tendencia emergente. 

Ciberataque a Miljödata interrumpe 200 municipios suecos 

Un ciberataque al proveedor sueco de sistemas TI Miljödata ha interrumpido servicios en más de 200 municipios, generando preocupación por el robo de datos personales sensibles. Los atacantes habrían exigido un rescate de 1,5 Bitcoin (unos 168.000 dólares) para evitar la publicación de la información robada. 

Miljödata, que provee sistemas de gestión de RRHH y entornos laborales a alrededor del 80% de los municipios suecos, respalda funciones críticas como certificados médicos, reportes de lesiones laborales y gestión de casos de rehabilitación. El director ejecutivo Erik Hallén confirmó el ataque el 25 de agosto, declarando que la empresa trabaja con expertos externos para investigar el incidente y restaurar los sistemas. 

Algunas regiones, como Halland y Gotland, han advertido a los ciudadanos que datos sensibles podrían haberse filtrado. El ministro sueco de defensa civil, Carl-Oskar Bohlin, anunció que CERT-SE y la policía están evaluando el impacto. Ningún grupo de ransomware ha reclamado la autoría, y tanto la web como los servidores de correo de Miljödata siguen sin funcionar. 

Shadowsilk apunta a gobiernos de Asia Central y APAC 

Investigadores han vinculado una ola de ciberataques contra entidades gubernamentales en Asia Central y la región Asia-Pacífico a un grupo de amenazas llamado ShadowSilk. Se han identificado casi tres docenas de víctimas en Uzbekistán, Kirguistán, Myanmar, Tayikistán, Pakistán y Turkmenistán, con intrusiones dirigidas principalmente al robo de datos. 

ShadowSilk muestra fuertes similitudes con grupos previamente rastreados como YoroTrooper, SturgeonPhisher y Silent Lynx. Los analistas sugieren que la operación es llevada a cabo por un equipo bilingüe, con desarrolladores rusoparlantes vinculados al código heredado de YoroTrooper y operadores sinoparlantes que dirigen las intrusiones activas. 

Los ataques suelen comenzar con correos de spear-phishing que contienen archivos protegidos por contraseña, lo que lleva a cargadores personalizados capaces de ocultar el tráfico C2 detrás de bots de Telegram. El grupo explota vulnerabilidades conocidas en Drupal y plugins de WordPress, y utiliza un amplio arsenal de herramientas, incluidas Cobalt Strike, Metasploit y ladrones de contraseñas personalizados. 

NSA y NCSC vinculan campañas de hacking de Salt Typhoon a empresas chinas 

La NSA de EE. UU., el NCSC del Reino Unido y agencias de ciberseguridad de 13 países han atribuido las campañas de espionaje Salt Typhoon a tres empresas tecnológicas chinas: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology y Sichuan Zhixin Ruijie Network Technology. Según los avisos conjuntos, estas compañías apoyaron al Ministerio de Seguridad del Estado de China y al Ejército Popular de Liberación en operaciones cibernéticas contra redes gubernamentales, telecomunicaciones, transporte y militares en todo el mundo. 

Activo al menos desde 2021, Salt Typhoon ha explotado vulnerabilidades ampliamente conocidas y parcheadas en dispositivos de Ivanti, Palo Alto y Cisco para mantener persistencia y robar datos sensibles. En lugar de usar zero-days, el grupo abusa de dispositivos de borde sin actualizar, creando túneles, recopilando tráfico de autenticación y desplegando herramientas SFTP personalizadas en Golang. 

La NSA y el NCSC advierten que Salt Typhoon sigue siendo altamente efectivo e instan a las organizaciones a priorizar el parcheo, restringir los servicios de gestión, deshabilitar funciones heredadas de Cisco y monitorear activamente signos de compromiso. 

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.