Alerta: Ransomware Makop y Lynx Activos en América Latina

Desde 2020, los operadores del ransomware Makop han estado perfeccionando su negocio delictivo, basándose en una variante del infame ransomware Phobos. A través de una estructura de afiliados, este malware ha sido utilizado por ciberdelincuentes para atacar organizaciones en América Latina, incluyendo sectores críticos. Su estrategia es simple pero devastadora: cifran los archivos de sus víctimas y exigen un pago en bitcoins para restaurar el acceso.

Hoy en día, los ataques de ransomware están más activos, y Makop, junto con Lynx, se ha convertido en una de las amenazas más agresivas en la región. Pero, ¿cómo operan estos ataques? ¿Por qué han aumentado en América Latina? Y lo más importante: ¿qué puedes hacer para protegerte antes de que sea demasiado tarde? En este artículo, te explicamos todo lo que necesitas saber para mantener tu información a salvo.

Ransomware Makop: ¿Cómo se infiltra y qué herramientas que usa para atacar?

El ransomware Makop es una verdadera pesadilla para sus víctimas. Una vez que infecta un sistema, cifra los archivos y les añade extensiones como ".makop" o ".mkp", dejando a los afectados sin acceso a su información. Y lo peor es que, hasta ahora, no existen herramientas gratuitas para descifrar los archivos bloqueados.

¿Cómo se infiltra Makop en los sistemas?

Los ciberdelincuentes detrás de Makop utilizan varias estrategias para colarse en las redes de sus víctimas. Algunos de los métodos más comunes incluyen:

1. Accesos remotos sin seguridad (RDP expuesto): Si una empresa tiene servicios de Escritorio Remoto mal configurados, los atacantes pueden aprovecharlos para entrar.
   
   
2. Correos electrónicos de phishing: Envían mensajes falsos con archivos adjuntos maliciosos que, al abrirse, inyectan el ransomware en el sistema.
   
   
3. Descargas de torrents y anuncios maliciosos: Algunas víctimas terminan instalando el malware sin darse cuenta, al descargar software de fuentes no confiables.

Una vez dentro, Makop no actúa solo. Sus operadores cuentan con un arsenal de herramientas, tanto personalizadas como de código abierto, para moverse dentro de la red y asegurarse de que el ataque sea exitoso.

Conoce más sobre: ¿Qué hacer si recibes un correo electrónico fraudulento?

Herramientas usadas por Makop para maximizar su impacto

Investigaciones de expertos en ciberseguridad han revelado que la banda detrás de Makop usa herramientas desarrolladas a medida. Entre ellas está ARestore, una herramienta creada en 2020 que genera listas de posibles nombres de usuario y contraseñas de Windows para intentar acceder a las cuentas de los equipos infectados. También utilizan PuffedUp, un programa diseñado para mantener la persistencia en el sistema, asegurando que el malware no desaparezca tras un simple reinicio.

Pero eso no es todo. También aprovechan herramientas de código abierto ampliamente conocidas en la comunidad de seguridad, como:

1. Mimikatz: Para robar credenciales almacenadas en el sistema.
   
   
2. PsExec: Para ejecutar comandos en otras computadoras dentro de la red.
   
   
3. Putty: Para conexiones remotas y movimientos laterales dentro del sistema.
   
   
4. PowerShell y NLBrute: Para automatizar tareas maliciosas y forzar contraseñas.
   
   
5. Advanced Port Scanner y Everything: Para escanear redes y encontrar información clave sobre la infraestructura de la víctima.

Además, se ha detectado que los atacantes han utilizado YDArk, una herramienta de administración del sistema que les ayuda a controlar mejor el entorno que han comprometido.

¿Cómo protegerse de Makop?

Dado que los ataques de Makop están en constante evolución, la mejor defensa es mantener una postura de seguridad proactiva. Algunas recomendaciones clave incluyen:

1. Realizar auditorías de seguridad periódicas para detectar vulnerabilidades antes de que los atacantes las exploten.
   
   
2. Mantener actualizado el software y los sistemas operativos para cerrar posibles brechas de seguridad.
   
   
3. Configurar correctamente el acceso remoto y evitar que servicios como RDP estén abiertos sin protección.
   
   
4. Educar a los empleados y usuarios sobre cómo identificar correos de phishing y amenazas en línea.
   
   
5. Contar con soluciones de ciberseguridad robustas como TecnetProtect, una plataforma avanzada que combina protección contra ransomware, monitoreo de amenazas y copias de seguridad automatizadas. Con una herramienta como esta, las empresas pueden detectar y bloquear ataques antes de que causen daños, además de garantizar la recuperación de datos en caso de una infección.

Los ataques de ransomware no muestran signos de desaceleración, y Makop es una prueba de ello. Estar informado y preparado es la mejor forma de evitar caer en sus manos.

Podría interesarte leer:  Seguridad Avanzada en Microsoft 365 con TecnetProtect

Ransomware Lynx: ¿Cómo opera esta peligrosa red criminal?

El ransomware Lynx no es un grupo cualquiera. Detrás de esta operación hay una estructura bien organizada que funciona como un "negocio" del crimen digital, donde afiliados de todo el mundo pueden unirse para lanzar ataques a cambio de una parte de las ganancias.

Una plataforma bien organizada para el delito

Lynx opera bajo un modelo de ransomware como servicio (RaaS), lo que significa que cualquiera con los contactos y los conocimientos adecuados puede convertirse en afiliado y usar sus herramientas para realizar ataques. Para facilitarles el trabajo, han desarrollado un panel de control con secciones como "Noticias", "Empresas", "Chats", "Información" y "Filtraciones".

Este sistema permite a los afiliados:

1. Seleccionar y administrar a sus víctimas.
   
   
2. Generar versiones personalizadas del ransomware.
   
   
3. Coordinar la filtración de datos en caso de que las víctimas no paguen.

Los afiliados no solo tienen control total sobre las negociaciones, sino que se quedan con el 80% de cada pago de rescate. Lynx incluso ofrece "servicios adicionales", como centros de llamadas para acosar a las víctimas y soluciones de almacenamiento avanzadas para sus miembros más exitosos.

Ataques en múltiples sistemas y cifrado a medida

A diferencia de otros ransomware, Lynx no se limita a Windows. Su "paquete de ataque" incluye binarios para Windows, Linux y servidores ESXi, y es compatible con múltiples arquitecturas, como ARM, MIPS y PPC. Esto lo hace extremadamente peligroso, ya que puede infectar una amplia variedad de dispositivos y redes.

Además, sus operadores han introducido diferentes modos de cifrado:

🔹 Rápido – Prioriza la velocidad del ataque.

🔹 Medio – Equilibra velocidad y profundidad del cifrado.

🔹 Lento – Asegura una mayor afectación de los archivos.

🔹 Completo – Cifra absolutamente todo en el sistema.

Para garantizar que los archivos sean irrecuperables sin pagar el rescate, Lynx usa algoritmos de cifrado avanzados como Curve25519 Donna y AES-128.

Reclutamiento selectivo y tácticas de doble extorsión

Lynx no deja entrar a cualquiera en su red. Buscan hackers con experiencia en pruebas de penetración, a los que reclutan a través de foros clandestinos. Antes de aceptarlos, los someten a un riguroso proceso de verificación para asegurarse de que sean profesionales del cibercrimen y no infiltrados.

Curiosamente, Lynx dice tener "códigos éticos" y evita atacar hospitales, iglesias, ONGs y organismos gubernamentales clave. Sin embargo, siguen siendo una amenaza para el resto de empresas y organizaciones.

Como muchas otras bandas de ransomware, Lynx emplea la doble extorsión:

1. Primero cifran los archivos y exigen un rescate.
2. Si la víctima no paga, publican los datos robados en su propio sitio de filtraciones (DLS).

Este sitio no solo sirve como un escaparate para presionar a las víctimas, sino también como una "carta de presentación" para atraer nuevos afiliados y demostrar la efectividad de sus ataques.

Conoce más sobre: ¿Cuánto tiempo tardan los hackers en descifrar algoritmos de hashing?

Conclusión

Lynx representa una de las amenazas de ransomware más avanzadas y organizadas en la actualidad. Su modelo de afiliados, su capacidad para atacar múltiples plataformas y su estrategia de doble extorsión lo convierten en un grupo extremadamente peligroso. Para protegerse, las empresas deben reforzar su seguridad, actualizar sus sistemas y educar a sus trabajadores sobre cómo evitar caer en las trampas del phishing y otros métodos de ataque.

Si algo está claro, es que Lynx no es solo un malware: es un negocio delictivo en toda regla, y la mejor manera de enfrentarlo es no ser su próxima víctima.