Recientemente, se ha detectado una actividad significativa de los ransomware Makop y Lynx en América Latina, afectando a diversas organizaciones, incluidas infraestructuras críticas.

Ransomware Makop

Activo desde 2020, Makop es una variante del conocido ransomware Phobos. Los atacantes emplean técnicas manuales y herramientas tanto estándar como personalizadas para infiltrarse en los sistemas. Una vez dentro, cifran los archivos de la víctima, añadiendo extensiones como ".makop" o ".mkp", y exigen un rescate en bitcoins para su liberación. Actualmente, no existen herramientas gratuitas capaces de descifrar estos archivos.

Los vectores de ataque más comunes incluyen:

• Explotación de servicios RDP expuestos sin seguridad adecuada.

• Correos electrónicos de phishing con archivos adjuntos maliciosos.

• Descargas desde sitios de torrents y anuncios maliciosos.

Para fortalecer su posición en los sistemas comprometidos, Makop utiliza herramientas como "ARestore", diseñada para generar listas de posibles credenciales de Windows, y "PuffedUp", que asegura la persistencia en el sistema. También emplean herramientas de código abierto como Mimikatz y PowerShell para movimientos laterales y reconocimiento del entorno.

Ransomware Lynx

Lynx opera bajo un modelo de Ransomware como Servicio (RaaS), ofreciendo una plataforma estructurada con un programa de afiliados. Su panel de control incluye secciones como "Noticias", "Empresas", "Chats", "Información" y "Filtraciones", facilitando a los afiliados la gestión de ataques y negociaciones.

Los afiliados reciben el 80% de las ganancias obtenidas y son responsables de las negociaciones y la gestión de las billeteras de rescate. Lynx también proporciona herramientas para generar muestras de ransomware personalizadas y administrar cronogramas de filtración de datos.

Recomendaciones de Seguridad

Ante la creciente amenaza de estos ransomware en la región, se aconseja a las organizaciones:

• Realizar auditorías de seguridad periódicas.

• Mantener todo el software y sistemas actualizados.

• Implementar medidas de seguridad robustas, como la autenticación multifactor y la segmentación de la red.

• Capacitar al personal en la identificación de correos electrónicos de phishing y otras tácticas de ingeniería social.

Estas acciones son esenciales para mitigar el riesgo de infecciones por ransomware y proteger la integridad de los datos y sistemas organizacionales.