Alertan por “Golden Mexican Wolf”, el primer atacante de ransomware surgido en México

“Golden Mexican Wolf” es una nueva amenaza que distribuye ransomware en México, señalada por realizar un ataque dirigido a una organización del sector servicios. Se trata de la primera amenaza de este tipo que podría haber surgido en el país, según expertos de SCILabs, equipo mexicano de ciberseguridad.

“Es la primera vez que un ataque de ransomware tiene características que nos hace pensar que surgió por actores en México, no necesariamente de nacionalidad mexicana porque es imposible saberlo, pero que por lo menos entienden bien la cultura y el país”.

Expertos de SCILabs (Telmex-SCITUM)

¿Qué es “Golden Mexican Wolf”, nueva amenaza para empresas mexicanas?

“Golden Mexican Wolf” es un nuevo atacante identificado a inicios de diciembre de 2024 y que fue nombrado por SCILabs, según señaló la propia compañía el pasado 22 de enero en un análisis detallado de su actividad.

El objetivo de este cibercriminal es obtener un beneficio económico al robar y cifrar información de empresas mexicanas, según complementaron los analistas mexicanos en entrevista con Unotv.com.

Este actor de amenazas vulnera a objetivos dirigidos dentro de México, ya que su vía de acceso es física, es decir, requiere acceso a las instalaciones de la organización atacada, según las primeras hipótesis de SCILabs.

Los especialistas también reconocieron que el atacante decide de manera consciente a quién vulnerar. “No ataca a quien caiga, lo piensa bien, sobre todo a personas claves en la organización para tener mayor impacto. No es al azar“.

“La víctima puede estar más en la mira, a diferencia de cuando el vector de ataque es totalmente virtual“, señalaron los expertos mexicanos en materia de ciberseguridad.

Un cibercriminal posiblemente surgido en México

Cuando el equipo de SCILabs comenzó a analizar a “Golden Mexican Wolf“, se dio cuenta de que el atacante se dirige a sus víctimas en español o, en su defecto, en inglés. Se trata de una particularidad notable, pues los ataques de ransomware suelen venir de otros países como Rusia o China.

“Encontrar un adversario que le habla en su idioma a las víctimas es poco usual”, razón por la que los especialistas concluyeron que se trata de un atacante nuevo, y muy posiblemente, originado en México.

“Es raro que alguien extorsione en español y con un lenguaje fluido (…) tampoco parecía que se tradujera del ruso a español con ChatGPT, sino que era un español mexicano”.

Expertos de SCILabs (Telmex-SCITUM)

Además, el equipo mexicano de seguridad digital detectó el código con el que este ciberdelincuente ataca a sus víctimas, en el cual encontraron trazas de idioma español con regionalismos mexicanos.

[TE RECOMENDAMOS: ¡Cuidado con el ‘ElPaco’! Nuevo ransomware desactiva medidas de seguridad y destruye respaldos en Windows]

¡Aprende a identificar los ataques de “Golden Mexican Wolf”!

“Golden Mexican Wolf” inicia sus ataques con una vía de acceso física, es decir, tiene acceso presencial a las instalaciones de la organización atacada y, a partir de ahí, hace un proceso de identificación de los dispositivos de dicha empresa.

Se mantiene dentro de la red de su víctima durante varios días haciendo actividades de reconocimiento y volcado de credenciales sin ser detectado, con el fin de hacer movimientos laterales hasta llegar al directorio activo y distribuir ransomware en la red.

• Los especialistas señalaron que este atacante pasa desapercibido gracias a técnicas “living off the land“, es decir, herramientas de adminsitración válidas para moverse en el sistema de su víctima y utilizan las credenciales reales del usuario en su propio equipo para no levantar alertas.

De esta forma, el cibercriminal analiza la infraestructura en donde se almacenan los detalles de los clientes para robar cualquier dato sensible de la organización y, posteriormente, cifrar información específica que le pueda causar un perjuicio a la empresa.

“Lo que buscan es un beneficio económico, así que la información que extraen depende del tipo de víctima. Si la víctima tiene mucha información financiera monetizable, la van a extraer; si hay información que puede dañar a la víctima si se da a conocer públicamente, van a extraer eso”.

Expertos de SCILabs (Telmex-SCITUM)

Una vez que “Golden Mexican Wolf” adquiere la información cifrada de sus víctimas, procede a extorsionar a la compañía mediante mensajes de WhatsApp tanto en inglés como en español, ofreciéndole recuperar sus datos a cambio de dinero.

Además, tal como en otros ataques de ransomware, este criminal pide el rescate apelando a un sentido de urgencia para que la víctima no piense demasiado y reaccione de inmediato para que el conflicto se resuelva pronto.

“El problema es que pagar el rescate no siempre resuelve el problema”, según los expertos de SCILabs, quienes reconocen que algunas víctimas pagan el rescate y reciben llaves para descifrar sus datos que no sirven del todo. Además, el costo del rescate puede ser millonario y, por lo tanto, imposible de cubrir.

[TE PODRÍA INTERESAR: Red WinterDog: alertan por cibercriminal que se hace pasar por el SAT]

“Golden Mexican Wolf”, un cibercriminal diferente a los demás

Este actor de amenazas no utiliza las técnicas convencionales asociadas a otros grupos de ransomware que operan en México y Latinoamérica, de acuerdo con los expertos del equipo de ciberseguridad.

Tanto su vía de acceso física como la forma de extorsionar a las víctimas lo diferencia de otros atacantes; sin embargo, a nivel técnico también es diferente, según SCILabs.

“Golden Mexican Wolf” usa una técnica que consiste en entregar el malware en varias etapas, rompiendo el comportamiento tradicional que analizan las herramientas antimalware, de acuerdo con los especialistas.

Por otro lado, para ejecutar sus ataques, usa el “Inicio de Modo Seguro de Windows“, es decir, un modo que usan los técnicos en computación para iniciar sesión y en el que las herramientas de seguridad no funcionan. El dispositivo queda desprotegido y es ahí cuando el atacante distribuye el malware.

Cabe destacar que, a pesar de este funcionamiento, SCILabs no descarta que los ataques funcionen en otros sistemas operativos ajenos a Windows como MacOS o Linux.

Recomendaciones para evitar las graves consecuencias de estos ataques

“Golden Mexican Wolf” podría afectar la continuidad de un negocio, alterar la disponibilidad de información crítica en los sistemas, dañar la operación diaria, comprometer la confianza de los clientes, reducir las posibilidades de ingresos económicos y dañar la reputación de la empresa, según los analistas mexicanos.

“Si tienes una empresa que depende altamente de la digitalización y toda tu entrega del servicio depende de la digitalización, un ataque de estos te puede aniquilar. Ya hay casos de empresas que se han ido a la quiebra tras un ataque de ransomware (…) puede acabar con una pequeña y mediana empresa (PyME)”.

Expertos de SCILabs (Telmex-SCITUM)

Para prevenir que esto suceda, los expertos de SCILabs ofrecieron las siguientes recomendaciones.

• Ten cuidado con usar redes gratuitas de WiFi en una empresa, pues los atacantes pueden tener acceso a la infraestructura de la organización.
• Cuida los nodos de red (puntos de conexión que permiten enviar, recibir, crear y almacenar datos en una red), pues pueden ser vectores de inicio del ataque.

Fuente: SCILabs

Además, considerando que las herramientas de seguridad podrían no funcionar para proteger a la víctima, los especialistas recomendaron a las organizaciones mexicanas entender el comportamiento de “Golden Mexican Wolf” para implementar reglas de comportamiento contra el atacante.

Los especialistas también aseguraron que las herramientas de seguridad no funcionan por sí solas, sino que tienen que estar administradas por un “ojo entrenado“; asimismo, es recomendable actualizar cualquier protección, pues el actor malicioso seguramente también se actualizará eventualmente.

A pesar de ser un atacante con particularidades, no desestimaron a las organizaciones implementar medidas de prevención clásicas contra ransomware como:

• Aplica el múltiple factor de autenticación para entrar a los sistemas de la organización.
• Actualiza tus equipos que están expuestos a internet.
• Mantén una estrategia de seguridad sin concentrar tu protección en una sola herramienta.
• Contrata a alguien 24/7 para revisar tus herramientas de seguridad y detectar ataques oportunamente.
• Usa gafetes de identificación visibles y verifica siempre la identidad de quienes entran a las instalaciones de tu organización. Asegúrate de que los visitantes sean acompañados por personal autorizado y que el equipo de seguridad confirme su identidad antes de dejarlos ingresar.
• Ofrece una red WiFi exclusiva para visitantes y separada de la red interna de tu organización
• Asegúrate de que los equipos y nodos de red, estén en áreas seguras y de acceso restringido. Solo el personal autorizado debe poder conectarse a la red de la organización.

Fuente: SCILabs

Las organizaciones tampoco deben confiarse en que este tipo de vulnerabilidades nunca les van a pasar, pues cualquier compañía puede ser vulnerable a este ciberataque, remataron los expertos de SCILabs.

Te recomendamos:

TikTok, Instagram, Threads y otras apps que recopilan tu información, alertan especialistas

DeepSeek: cibercriminales usan sitios falsos de la IA china para infectarte con malware, ¿cómo protegerte?

¿Cómo podría ayudar DeepSeek a evitar riesgos de ciberseguridad, según ESET?

Ciberdelincuentes aprovecharon la llegada del Año Nuevo chino para crear tiendas ‘online’ fraudulentas: ¿cómo protegerte?