Mal karma para este Mario: ciberdelincuentes convierten al héroe de la infancia en una pesadilla para los usuarios

El grupo responsable de uno de los servicios de distribución de ransomware más conocidos, RansomHouse, ha reforzado el componente técnico de sus ataques. Según especialistas, en el arsenal de los ciberdelincuentes apareció una herramienta de cifrado actualizada, que se diferencia por una arquitectura más compleja y un funcionalidad ampliada. Los cambios afectan tanto al propio algoritmo de procesamiento de archivos como a los métodos que dificultan su análisis posterior.

RansomHouse opera desde finales de 2021, comenzando con filtraciones de datos y luego pasando al uso activo de cifradores en ataques. El servicio se ha desarrollado activamente, incluyendo la aparición de la utilidad MrAgent para el bloqueo masivo de hipervisores VMware ESXi. Uno de los episodios más recientes conocidos fue el uso de distintas variantes de malware de rescate contra la empresa japonesa Askul, especializada en comercio electrónico.

Un informe reciente del equipo Unit 42 de Palo Alto Networks describe una nueva variante del cifrador llamada «Mario». A diferencia de la versión anterior, que utilizaba un procesamiento en una sola etapa, la modificación actual aplica un enfoque en dos fases con el uso de dos claves: una principal de 32 bytes y una auxiliar de 8 bytes. Esto aumenta de forma significativa la resistencia del cifrado y complica los intentos de recuperación de datos.

Una protección adicional la proporciona el mecanismo revisado de procesamiento de archivos. En lugar de un esquema lineal se aplica una división dinámica en bloques con un umbral de 8 GB y cifrado parcial. El tamaño y la forma de tratamiento de cada archivo dependen de su volumen y se calculan mediante operaciones matemáticas complejas. Este enfoque dificulta el análisis estático y hace que el comportamiento del cifrador sea menos predecible.

También se modificó la estructura de trabajo con la memoria RAM: ahora para cada etapa del cifrado se utilizan búferes separados. Esto aumenta la complejidad del código y reduce la probabilidad de detección durante el análisis. Además, la nueva versión muestra información más detallada durante el procesamiento de archivos, mientras que antes solo indicaba la finalización de la tarea.

Los objetivos de los ataques siguen siendo los archivos de máquinas virtuales, que tras el cifrado obtienen la extensión «.emario». En cada directorio afectado se deja un mensaje con instrucciones para recuperar el acceso a los datos.

Los especialistas de Unit 42 subrayan que esta evolución del cifrador RansomHouse es una señal preocupante. La mayor complejidad dificulta el descifrado y complica significativamente el análisis de las muestras, lo que indica una estrategia claramente orientada no al volumen sino a la eficacia y el sigilo.