Hero

Hero es un ransomware perteneciente a la familia Proton, identificado por su comportamiento de cifrado de archivos y su mecanismo de extorsión a través de notas de rescate. Una vez que el archivo malicioso es ejecutado en el sistema víctima, Hero inicia su carga útil mediante técnicas comunes de evasión, como la desactivación de herramientas de seguridad básicas (por ejemplo, el Control de Cuentas de Usuario o funciones del antivirus activo), el establecimiento de persistencia en el sistema, y la eliminación de copias de seguridad locales, incluyendo las Shadow Volume Copies (cuando tiene los privilegios adecuados).

El ransomware escanea todas las unidades de almacenamiento conectadas —incluyendo unidades de red montadas y dispositivos extraíbles— en busca de archivos con extensiones comunes como .docx, .xlsx, .pdf, .jpg, .zip, entre otras. Una vez identificados, comienza el proceso de cifrado utilizando algoritmos criptográficos fuertes. Aunque el tipo específico de cifrado no fue revelado en el análisis preliminar, por lo general este tipo de ransomware emplea cifrado asimétrico (RSA) para bloquear los archivos con una clave pública, manteniendo la clave privada en poder de los atacantes, impidiendo su recuperación sin intervención externa. Los archivos afectados se renombran añadiendo al final su extensión personalizada “.hero77”, junto con la dirección de correo electrónico del atacante: [hero77@cock.li].

Tras completar el cifrado, Hero despliega mecanismos psicológicos para presionar a la víctima: cambia el fondo de escritorio del sistema con un mensaje que contiene direcciones de correo de contacto y una ID única asignada a la víctima, e inserta el archivo #Read-for-recovery.txt en múltiples ubicaciones del sistema. A diferencia de otros ransomware que detallan el monto a pagar o instrucciones para criptotransacciones, Hero limita su mensaje a exigir contacto directo vía email. Esto sugiere una estrategia de negociación personalizada con cada víctima, posiblemente para dificultar la detección automatizada y evitar ser rastreado por firmas preconfiguradas en motores antimalware. Finalmente, aunque no se observa propagación autónoma en redes locales, el ransomware podría integrarse con otros módulos maliciosos (por ejemplo, troyanos tipo loader o stealer) que amplíen su alcance o funcionalidades secundarias como robo de credenciales.

El impacto de Hero en los sistemas comprometidos se manifiesta principalmente en el cifrado irreversible de archivos críticos, afectando tanto a usuarios individuales como a organizaciones. Al cifrar archivos utilizando algoritmos criptográficos robustos, este ransomware bloquea el acceso a documentos personales, bases de datos, hojas de cálculo, imágenes y cualquier otro tipo de archivo susceptible, interrumpiendo procesos operativos, proyectos de trabajo, o incluso sistemas de atención al cliente en el caso de empresas. Este cifrado puede extenderse a recursos compartidos en red y dispositivos externos conectados al momento de la infección, generando un efecto de propagación lateral de consecuencias amplificadas.

Desde una perspectiva de ciberseguridad operativa, Hero también representa un riesgo sistémico, ya que su ejecución puede venir acompañada de comportamientos maliciosos adicionales: eliminación de copias de seguridad locales (volúmenes sombra), alteración del registro del sistema para establecer persistencia, e incluso la posibilidad de dejar puertas traseras (backdoors) activas que permitan nuevas infecciones o accesos remotos. Esta persistencia puede facilitar campañas de doble extorsión, donde además del cifrado, los atacantes roban información sensible antes de bloquearla, amenazando con su publicación si no se paga el rescate, aunque esta técnica específica no ha sido confirmada en Hero.

En términos de consecuencias estratégicas, la presencia de Hero implica interrupciones prolongadas en la continuidad del negocio, pérdida de confianza de los clientes, costes significativos de recuperación (incluso sin pago de rescate), y posibles sanciones legales si se ven comprometidos datos protegidos por leyes de privacidad (como GDPR o la Ley 1581 en Colombia). Además, dado que el rescate no garantiza la restauración de los datos y puede incluso alentar futuras campañas al financiar grupos delictivos, las víctimas se enfrentan a un dilema ético y técnico con implicaciones críticas a nivel organizacional. Por último, los sistemas afectados pueden quedar marcados como vulnerables, atrayendo nuevas campañas de ataque en el futuro si no se toman medidas de remediación completas.

El ransomware Hero pertenece a la familia de malware Proton, una línea de código malicioso desarrollada con el objetivo principal de extorsionar económicamente a sus víctimas mediante el cifrado de archivos y la exigencia de un pago para su recuperación. Aunque no se conoce con certeza el origen geográfico de sus desarrolladores, su infraestructura —incluyendo el uso de correos electrónicos en servicios como cock.li— sugiere afinidad con grupos ciberdelincuentes que operan en la dark web. La motivación detrás de Hero es eminentemente financiera, y su diseño apunta a maximizar el impacto con mínimas interacciones, mediante tácticas de ingeniería social y una comunicación directa y automatizada con las víctimas, sin brindar garantías reales de recuperación, lo que lo convierte en una amenaza orientada al lucro y la explotación de sistemas mal protegidos.

• Relación de acciones para mitigar el riesgo de esta actividad maliciosa.