Sarcoma Group

De CiberWiki
Revisión del 13:24 5 jun 2025 de Fernando.VH (discusión | contribs.)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)

Sarcoma Group es un tipo de ransomware, es decir, un software malicioso diseñado para cifrar archivos en los sistemas que infecta, bloqueando el acceso de las víctimas a su información hasta que se pague un rescate. Este malware añade una extensión personalizada a cada archivo cifrado y genera una nota de rescate titulada FAIL_STATE_NOTIFICATION.pdf, en la que informa a la víctima sobre la situación crítica de su sistema, la destrucción de copias de seguridad y el robo de datos confidenciales, los cuales amenazan con exponer si no se establece contacto en un plazo de siete días.

A diferencia de variantes más simples, Sarcoma Group realiza un doble chantaje: no solo cifra los archivos, sino que roba datos antes del cifrado para presionar aún más a las víctimas. El ransomware se propaga a través de diversos métodos como correos electrónicos maliciosos, vulnerabilidades de software, configuraciones inseguras del Protocolo de Escritorio Remoto (RDP) y sitios web engañosos o infectados. Además, los atacantes proporcionan canales de contacto a través del navegador Tor y la aplicación Session, e incluso publican a las víctimas en un sitio de filtración de datos alojado en la dark web.

Esta amenaza representa un riesgo considerable para organizaciones y usuarios individuales debido a su capacidad de propagación en red, su cifrado robusto y su modelo de extorsión avanzada. Hasta la fecha, no existe una herramienta pública de descifrado gratuita para recuperar los archivos afectados, por lo que la mejor defensa sigue siendo la prevención mediante copias de seguridad externas, actualizaciones de seguridad constantes y prácticas de navegación seguras.

Funcionamiento

El ransomware Sarcoma Group es una familia de malware sofisticada que implementa múltiples técnicas de ataque para garantizar el máximo impacto y dificultar la recuperación del sistema comprometido. A continuación se describe su funcionamiento técnico y detallado en cada fase de la infección:

1. Vector de infección inicial

Sarcoma Group utiliza múltiples vectores de entrada para infiltrarse en los sistemas:

  • Phishing dirigido (spear phishing) con correos electrónicos que contienen archivos adjuntos maliciosos (por ejemplo, documentos ofimáticos con macros embebidas, archivos comprimidos con ejecutables).
  • Explotación de vulnerabilidades en software desactualizado o sin parches (por ejemplo, vulnerabilidades en servidores web, RDP, SMB, o aplicaciones de terceros).
  • Ataques de fuerza bruta o escaneo automatizado de RDP con configuraciones débiles o sin autenticación multifactor.
  • Distribución mediante droppers o loaders incluidos en instaladores falsos, cracks, keygens o software pirata.

Una vez ejecutado el malware inicial, este descarga e inyecta el payload principal del ransomware Sarcoma en la memoria del sistema.

2. Persistencia y reconocimiento del entorno

Después de ejecutarse, el malware establece mecanismos de persistencia utilizando técnicas como:

  • Creación de claves en el Registro de Windows (por ejemplo, HKCU\Software\Microsoft\Windows\CurrentVersion\Run) para ejecutar el ransomware en cada inicio.
  • Copia del ejecutable en rutas comunes del sistema con nombres camuflados.

Posteriormente, inicia una fase de reconocimiento para evaluar el entorno:

  • Recolecta información del sistema (nombre del equipo, red, usuario, versión de SO).
  • Enumera unidades lógicas, recursos compartidos de red, y busca accesos a directorios remotos para maximizar su alcance lateral.
  • Identifica procesos de respaldo o servicios relacionados con seguridad que podrían interferir (por ejemplo, detiene servicios de bases de datos o antivirus).

3. Exfiltración de datos

Antes del cifrado, Sarcoma Group ejecuta un módulo de data harvesting para robar información sensible:

  • Extrae archivos con extensiones específicas (doc, xlsx, pdf, sql, etc.) de unidades locales y mapeadas.
  • Comprime y cifra los datos recolectados.
  • Transfiere los datos a un servidor C2 (Command & Control) o los almacena temporalmente en servicios cloud explotados o infraestructuras privadas en la red Tor.

Esta fase se implementa para ejercer doble extorsión: el robo y posterior amenaza de divulgación de la información.

4. Cifrado de archivos

Sarcoma Group utiliza algoritmos de cifrado robustos, comúnmente una combinación de:

  • AES-256 en modo CBC o GCM para cifrar el contenido de los archivos.
  • RSA-2048 o RSA-4096 para cifrar las claves AES utilizadas en cada archivo.

El proceso incluye:

  • Recorrido de directorios para identificar archivos objetivo según una lista de extensiones o exclusiones predefinidas (evitando archivos críticos del sistema).
  • Renombramiento de archivos cifrados con una extensión personalizada (por ejemplo, .xp9Mq1ZD05), que puede variar por muestra.
  • Eliminación de copias de sombra del sistema (vssadmin delete shadows /all /quiet) y deshabilitación de recuperación de sistema (bcdedit /set {default} recoveryenabled No).
  • Desactivación de herramientas de respaldo comunes (como servicios de Veeam, Acronis o Windows Backup).

5. Generación y despliegue de la nota de rescate

Una vez completado el cifrado, Sarcoma Group:

  • Deja un archivo PDF con el nombre FAIL_STATE_NOTIFICATION.pdf en múltiples ubicaciones (escritorio, carpetas con archivos cifrados).
  • Cambia el fondo del escritorio en algunos casos (dependiendo de la muestra) para mostrar un mensaje de advertencia.
  • El contenido del PDF indica:
    • Que los datos han sido robados y cifrados.
    • Que las copias de seguridad fueron destruidas.
    • Que el único medio para recuperar los archivos es pagar el rescate.
    • Una amenaza explícita de publicar los datos en su sitio de filtración en Tor si no se establece contacto en 7 días.

La nota incluye instrucciones para usar el navegador Tor y el mensajero Session para iniciar contacto, utilizando un identificador de registro. También incentiva la delación interna ofreciendo recompensas por revelar “trapos sucios” de la organización afectada.

6. Post-explotación y monitoreo

Después del cifrado, Sarcoma Group puede mantener presencia en el sistema mediante:

  • Backdoors ocultos o shells persistentes para monitoreo remoto.
  • Posible instalación de troyanos bancarios o ladrones de credenciales para monetización adicional.
  • Comunicación con el servidor C2 para monitorear si se estableció contacto por parte de la víctima.

También es común que los operadores mantengan su infraestructura en redes cifradas y anónimas, dificultando su rastreo.

7. Consecuencias y detección

Las consecuencias de una infección incluyen:

  • Interrupción operativa total, dado que todos los archivos son inutilizables.
  • Pérdida y/o exposición de datos sensibles, como bases de datos, documentos financieros o propiedad intelectual.
  • Daño reputacional y legal, especialmente si se trata de sectores regulados (finanzas, salud, educación).

Las detecciones por parte de antivirus y herramientas de análisis dinámico indican firmas como:

  • Avast: Win32:Dh-A [Heur]
  • Microsoft: Ransom:Win64/Filecoder!MTB
  • Kaspersky: HEUR:Trojan-Ransom.Win64.Ymir.gen
  • Emsisoft / Combo Cleaner: Trojan.GenericKD.76175694

Impacto y consecuencias

El impacto del ransomware Sarcoma Group es significativo y multifacético, afectando tanto la integridad de los sistemas comprometidos como la seguridad de la información y la operatividad de las organizaciones. Técnicamente, una vez ejecutado, el malware inicia un proceso de cifrado masivo utilizando algoritmos criptográficos robustos —probablemente AES para el cifrado simétrico y RSA para el cifrado de claves— lo que impide el acceso a los archivos sin la clave privada en poder de los atacantes. Durante este proceso, el ransomware añade una extensión personalizada a los archivos cifrados (ej. .xp9Mq1ZD05), lo cual interrumpe la funcionalidad normal de los archivos y los deja inutilizables. Además, antes del cifrado, el malware realiza una exfiltración de datos confidenciales, que luego son utilizados como mecanismo de presión psicológica en el modelo de doble extorsión: si la víctima no paga, los datos son publicados en un sitio .onion accesible a través de la red Tor.

Las consecuencias operativas son graves. Las víctimas pierden acceso a información crítica, lo que puede provocar la paralización de operaciones, pérdida de productividad, interrupción de servicios y daños a la reputación. El hecho de que las copias de seguridad también sean objetivo de destrucción amplifica el impacto, dejando a las organizaciones sin alternativas de recuperación viables. Además, la filtración de datos puede desencadenar investigaciones regulatorias y sanciones legales, especialmente si se compromete información personal protegida por normativas como el GDPR o la Ley de Protección de Datos. La exposición pública en el sitio de filtraciones de Sarcoma Group también actúa como un factor de presión reputacional, ya que pone en evidencia brechas de seguridad que pueden afectar la confianza de socios, clientes y accionistas.

Desde una perspectiva de seguridad informática, la infección por Sarcoma Group también puede facilitar infecciones adicionales, ya que el ransomware puede actuar como vector de descarga para otros tipos de malware, incluyendo troyanos bancarios, keyloggers o herramientas de acceso remoto (RATs). Asimismo, el aprovechamiento de vectores como vulnerabilidades no parcheadas, protocolos RDP mal configurados y campañas de phishing dirigidas resalta la necesidad de una estrategia de defensa en profundidad. Finalmente, incluso si se paga el rescate, no hay garantía de recuperación completa, y las organizaciones quedan expuestas a futuras campañas por parte del mismo grupo o grupos afiliados.

Origen y motivación

El ransomware Sarcoma Group tiene su origen en un entorno cibercriminal profesionalizado y estructurado, posiblemente vinculado a actores de amenazas con experiencia previa en operaciones de doble extorsión, como parte del ecosistema Ransomware-as-a-Service (RaaS). Su motivación principal es financiera, enfocada en extorsionar a organizaciones mediante el cifrado de archivos y el robo de información sensible, que luego se utiliza como presión adicional con amenazas de divulgación pública. Además, el grupo demuestra una intención clara de maximizar sus ganancias explotando tanto el rescate por la recuperación de datos como la venta o publicación de la información robada, apuntando a sectores empresariales vulnerables y con mayor capacidad de pago.

Obtenido de «https://darfe.es/ciberwiki/index.php?title=Sarcoma_Group&oldid=2520»