Una nueva amenaza cibérnetica está empezando a tomar forma: ShinySp1d3r, una plataforma de ransomware como servicio (RaaS) que actualmente se encuentra en desarrollo, pero que ya deja ver el alcance potencial de su futura operación de extorsión.
Detrás de este RaaS emergente están actores vinculados a los grupos de cibercrimen ShinyHunters y Scattered Spider, ambos conocidos por su participación en ataques de alto perfil y robo de datos a gran escala. Hasta ahora, estos grupos solían aprovechar cifradores de otras bandas de ransomware como ALPHV/BlackCat, Qilin, RansomHub y DragonForce. Sin embargo, todo apunta a que están creando su propia infraestructura de ransomware, lo que les permitirá lanzar ataques directamente o mediante afiliados.
La existencia de ShinySp1d3r se dio a conocer a través de un canal de Telegram, donde un colectivo que se hace llamar "Scattered Lapsus$ Hunters" (una fusión de los nombres Scattered Spider, Lapsus$ y ShinyHunters) comenzó a extorsionar públicamente a víctimas de filtraciones, entre ellas Salesforce y Jaguar Land Rover (JLR).
En TecnetOne analizamos el comportamiento de esta nueva amenaza para detectar tendencias, identificar riesgos y ofrecer soluciones concretas que mejoren la ciberseguridad día a día.
Recientemente se ha detectado una muestra del ransomware ShinySp1d3r subida a VirusTotal, y desde entonces han aparecido nuevas variantes que han permitido a investigadores analizar más a fondo cómo funciona este nuevo cifrador.
Aunque en algunas capturas puede verse escrito como Sh1nySp1d3r, se ha confirmado que el nombre oficial del proyecto es ShinySp1d3r, y se espera que esa versión se mantenga en futuras actualizaciones del malware.
A diferencia de otros grupos que reutilizan código filtrado de proyectos como LockBit o Babuk, ShinyHunters está desarrollando este ransomware desde cero. Esto les da un mayor control sobre las funcionalidades del cifrador y refuerza la idea de que están apostando por construir una operación completamente propia y más sofisticada.
Ransomware ShinySp1d3r (Fuente: BleepingComputer)
Conoce más sobre: 7 Señales para Detectar un Ataque de Ransomware
El encriptador de Windows desarrollado por ShinySp1d3r no es uno más del montón. Incluye muchas funciones que ya hemos visto en otros ransomware, pero también incorpora algunas capacidades bastante inusuales y avanzadas que han llamado la atención de los analistas.
Estas son algunas de las funcionalidades más destacadas que se han identificado hasta ahora:
Oculta sus huellas en el sistema interceptando la función EtwEventWrite, lo que impide que ciertos eventos se registren en el Visor de eventos de Windows.
Finaliza procesos que impiden el cifrado de archivos, incluso si estos están en uso. Para lograrlo, identifica los procesos que tienen abierto un archivo y los cierra. También tiene una función llamada forceKillUsingRestartManager, que usa la API de Restart Manager, aunque aún no está activa en las muestras analizadas.
Rellena el espacio libre del disco escribiendo archivos temporales con datos aleatorios (wipe-[random].tmp). Esto sobrescribe archivos eliminados, haciendo prácticamente imposible su recuperación posterior.
Elimina una lista específica de procesos y servicios, probablemente para evitar interferencias durante el ataque.
Calcula la cantidad óptima de datos a leer, según la memoria disponible, para maximizar la eficiencia del cifrado.
Puede propagarse a otros dispositivos en la red local, usando varios métodos como:
deployViaSCM: crea un servicio que ejecuta el ransomware.
deployViaWMI: lo lanza remotamente usando WMI.
attemptGPODeployment: genera un script de inicio en GPO para ejecutar el malware.
Incluye técnicas anti-análisis, como sobrescribir buffers de memoria, para dificultar la ingeniería inversa y el análisis forense.
Elimina las copias de seguridad de Windows (copias sombra), una táctica clásica para evitar que los archivos cifrados se puedan recuperar fácilmente.
Escanea la red en busca de recursos compartidos abiertos y los cifra si tiene acceso.
Utiliza un esquema de cifrado sofisticado, fragmentando los archivos en partes con diferentes tamaños y desplazamientos. Aún no está del todo claro por qué lo hace, ni si guarda esta información en una cabecera cifrada para facilitar la recuperación tras el pago del rescate.
Cifra los archivos con ChaCha20, una técnica de cifrado rápida y segura, y protege la clave con RSA-2048. Además, cada archivo cifrado recibe una extensión única, generada mediante una fórmula matemática, lo que le da una "firma" individual a cada archivo afectado.
Carpeta Cifrada por Ransomware ShinySp1der
Cuando ShinySp1d3r cifra un archivo, le añade una cabecera especial que empieza con SPDR y termina con ENDS. Esta cabecera contiene varios datos clave sobre el archivo cifrado, como el nombre original del archivo, una clave privada cifrada y otros metadatos técnicos necesarios para el proceso de descifrado (si se paga el rescate, claro. Esta práctica no es recomendable).
Además, en cada carpeta donde se hayan cifrado archivos, el ransomware deja una nota de rescate. En ella se explica brevemente qué ocurrió, se ofrecen instrucciones para negociar el rescate y se incluye una dirección TOX, que es el medio de comunicación elegido por los atacantes para mantener el contacto con la víctima de forma anónima y cifrada.
La nota de rescate que deja ShinySp1d3r incluye un enlace al supuesto sitio de filtración de datos en la red Tor, aunque por ahora se trata de una URL .onion provisional que no funciona, lo que sugiere que el sitio aún está en desarrollo o en espera de ser activado.
El mensaje arranca con un tono serio y directo:
“Esta comunicación ha sido emitida en nombre del grupo ShinySp1d3r. Está destinada exclusivamente al personal interno de respuesta a incidentes, al liderazgo técnico o a los asesores externos designados.”
A continuación, la nota informa que se ha producido un incidente crítico en la infraestructura de la víctima, indicando que varios activos digitales han sido cifrados y que algunos datos han sido respaldados (es decir, robados antes del cifrado).
El mensaje también aclara que el objetivo no es interrumpir las operaciones, sino ofrecer una "oportunidad" para resolver el incidente de forma confidencial, rápida y (según ellos) definitiva. Es un enfoque de doble extorsión, donde no solo se bloquea el acceso a los archivos, sino que también se amenaza con la filtración de datos si no se paga el rescate.
Nota de Rescate de ShinySp1der
La nota de rescate de ShinySp1d3r no deja mucho margen: las víctimas tienen un plazo de tres días para iniciar negociaciones. Si no lo hacen, los atacantes amenazan con hacer público el incidente en su sitio de filtración de datos en la red Tor.
Además de dejar las clásicas notas de rescate en cada carpeta afectada, el ransomware también modifica el fondo de pantalla de Windows del sistema comprometido. La nueva imagen advierte a la víctima sobre el ataque y la insta a leer la nota para saber qué hacer.
Fondo de Pantalla ShinySp1der (Fuente: BleepingComputer)
Podría interesarte leer: Ransomware 2025: Estadísticas, Costos y Cómo Proteger tu Empresa
Por el momento, el cifrador disponible está enfocado en sistemas Windows, pero los creadores ya confirmaron que tienen casi listas las versiones para Linux y ESXi, lo que ampliaría significativamente su alcance. También dicen haber desarrollado una versión basada en línea de comandos con configuración de tiempo de ejecución, algo que puede facilitar la personalización del ataque según el entorno.
Pero eso no es todo: los atacantes están trabajando en una versión especial llamada “Lightning”, diseñada para ser extremadamente rápida. Está escrita en ASM puro (lenguaje ensamblador), lo que la haría más ligera y difícil de detectar. Según explican, esta variante es similar a LockBit Green, otra conocida familia de ransomware desarrollada con un enfoque similar.
Dado que lo que se ha observado hasta ahora es solo una versión de prueba en desarrollo, es muy probable que se añadan nuevas funciones en las próximas versiones.
Todo apunta a que la operación completa de ransomware-as-a-service (RaaS) será gestionada por el grupo ShinyHunters, pero operará bajo una nueva marca: Scattered LAPSUS$ Hunters (SLH). De hecho, el nombre “ShinySp1d3r” sería un guiño a esa alianza entre grupos conocidos, como ShinyHunters, Scattered Spider y LAPSUS$.
Los responsables del ransomware aseguran que su cifrador no se usará para atacar a organizaciones del sector sanitario, incluyendo hospitales, clínicas, laboratorios farmacéuticos y aseguradoras. Aunque esta promesa suena tranquilizadora, la historia del ransomware nos muestra que este tipo de afirmaciones suelen romperse. Otros grupos han dicho lo mismo en el pasado, y luego ignoraron por completo esas “reglas”.
También afirman que sus afiliados tienen prohibido atacar empresas de Rusia y países de la Comunidad de Estados Independientes (CEI). Esto se debe a que muchos de los operadores y colaboradores del ransomware provienen de esa región, y atacar allí podría atraer la atención de las autoridades locales.
En TecnetOne entendemos que el ransomware evoluciona constantemente, y por eso es clave adoptar una estrategia de ciberseguridad proactiva y bien estructurada. A continuación, te compartimos una guía práctica con medidas esenciales para prevenir y responder ante amenazas como ShinySp1d3r.
1. Capacitación del personal: Muchos ataques comienzan con un simple correo electrónico de phishing. Capacitar a tu equipo para identificar correos sospechosos, enlaces maliciosos y archivos adjuntos peligrosos es una de las primeras líneas de defensa frente al ransomware.
2. Copias de seguridad actualizadas: Contar con backups confiables, tanto en la nube como fuera de línea, te permite restaurar tus sistemas sin depender del rescate. Es fundamental programar copias de seguridad automáticas y probar regularmente su integridad. Soluciones como TecnetProtect te permiten automatizar las copias de seguridad, proteger múltiples entornos y verificar su integridad de forma regular, lo que asegura una recuperación rápida y efectiva ante cualquier incidente.
3. Actualización de sistemas y software: Mantener actualizados el sistema operativo, las aplicaciones y todos los parches de seguridad reduce significativamente las vulnerabilidades que los atacantes pueden aprovechar para infiltrarse.
4. Fortalecimiento de la seguridad de red: Implementar firewalls, sistemas de detección de intrusos (IDS) y segmentación de red ayuda a contener posibles infecciones y evitar que se propaguen dentro de tu infraestructura.
5. Aplicación del modelo Zero Trust: Limita el acceso de cada usuario solo a los recursos que necesita para su función. Este enfoque, conocido como “principio de menor privilegio”, minimiza los riesgos en caso de una cuenta comprometida.
6. Monitoreo constante: Supervisar de forma continua tus sistemas y redes te permite detectar comportamientos inusuales y responder de inmediato ante posibles amenazas. El monitoreo proactivo es clave para contener un incidente antes de que cause un daño mayor.
Además de las medidas preventivas, es importante mantener una postura de seguridad sólida y estar preparados para actuar si ocurre un ataque de ransomware.
Realiza auditorías internas, análisis de vulnerabilidades y pruebas de penetración con regularidad para detectar fallos antes de que lo hagan los atacantes. También es fundamental contar con un plan de respuesta a incidentes bien definido y probado, que incluya roles, pasos a seguir, canales de comunicación y procesos de recuperación.
En caso de sufrir un incidente, notifica de inmediato a las autoridades correspondientes, como los equipos de respuesta a incidentes (CERT), y busca apoyo profesional en ciberseguridad, como TecnetOne, para guiar la contención y recuperación del ataque.
Consejo final: Protegerse del ransomware no se trata de una única acción, sino de una estrategia continua. ShinySp1d3r y otras amenazas seguirán evolucionando, y tu defensa también debe hacerlo.