Un bitcoin por el rescate: por qué un nuevo grupo que ataca infraestructuras críticas desata una guerra de precios en el mercado de ciberamenazas
Los afectados atribuyen los ataques a una vulnerabilidad en el servidor de correo Zimbra.
El nuevo cifrador 01flip, escrito en Rust, ha empezado a aparecer con mayor frecuencia en ataques contra organizaciones en la región de Asia y el Pacífico. Según la unidad Unit 42 de Palo Alto Networks, la actividad hasta ahora ha afectado a un número limitado de objetivos, pero incluye entidades relacionadas con infraestructuras críticas en el sudeste asiático.
Los autores del informe rastrean la campaña bajo la designación CL-CRI-1036 y consideran que los atacantes actúan con fines económicos y en gran medida de forma manual. En uno de los casos, poco después del incidente apareció en un foro de la dark web un mensaje sobre la posible publicación de datos de la organización afectada. Se menciona además una entrada en un foro especializado donde la supuesta víctima relaciona el ataque con la compromisión de un servidor Zimbra.
El acceso inicial, según se indica, podría haber comenzado con intentos de explotar vulnerabilidades antiguas, incluida CVE-2019-11580, en aplicaciones accesibles desde internet. A continuación, los atacantes desplegaron la versión para Linux de Sliver —una herramienta multiplataforma que se usa para controlar nodos comprometidos y moverse lateralmente en la red. Más tarde, 01flip se propagó por la infraestructura y se ejecutó en equipos con Windows y Linux; no obstante, no se pudo determinar el mecanismo exacto de despliegue masivo.
La funcionalidad de 01flip es típica del ransomware, pero la implementación en Rust complica el análisis del código. El malware enumera los discos, crea notas con instrucciones en los directorios con permisos de escritura, cifra archivos usando AES-128-CBC y protege la clave con RSA-2048; a continuación renombra los datos añadiendo la extensión .01flip y procura eliminar rastros de su presencia.
Para ocultarse se usan llamadas al sistema de bajo nivel y codificación de cadenas, y en algunas muestras se detectó una comprobación sencilla de 'sandbox': si el archivo tiene un nombre concreto, no se realiza el cifrado.
La suma del rescate en los casos registrados fue de un bitcoin (aproximadamente 90 000 dólares en el momento de la publicación). Además, la campaña todavía no muestra la infraestructura de doble extorsión típica de los grupos grandes. Un detalle curioso fue la cadena 'lockbit' en la lista de excepciones de extensiones, lo que sugiere un posible solapamiento con el ecosistema LockBit; sin embargo, no se encontraron otras confirmaciones de esa relación.
Las huellas digitales son tu debilidad, y los hackers lo saben