El 29 de agosto de 2025, analistas de ciberseguridad descubrieron una variante de ransomware nunca antes vista, bautizada como Obscura. El nombre proviene de la nota de rescate (README_Obscura.txt), donde se hacía referencia repetidamente al término.
Primeras Observaciones
A diferencia de otras familias conocidas de ransomware, no existían referencias públicas previas a “Obscura” en el momento del hallazgo. El ejecutable fue detectado en varios equipos dentro de una organización víctima. Sin embargo, la falta de agentes de monitoreo en toda la red limitó tanto la detección como la respuesta, impidiendo identificar con certeza el vector inicial de acceso.
Ejecución en Controladores de Dominio
Uno de los hallazgos más preocupantes fue que el ejecutable del ransomware se encontraba en el controlador de dominio, en la ruta:
C:\WINDOWS\sysvol\sysvol\[domain].local\scripts\
Al ubicarse en la carpeta NETLOGON, los atacantes aprovecharon una característica crítica:
- Esta carpeta se replica automáticamente entre todos los controladores de dominio.
- Los scripts y GPOs (objetos de directiva de grupo) allí almacenados están disponibles para todos los usuarios.
El resultado fue que el binario malicioso se propagó automáticamente a lo largo de toda la infraestructura.
Persistencia y Abuso de Privilegios
Para garantizar persistencia, los atacantes crearon tareas programadas:
- SystemUpdate: Ejecutaba el ransomware desde la carpeta NETLOGON en múltiples sistemas.
- iJHcEkAG: Habilitaba el acceso remoto mediante RDP, modificando la configuración del firewall.
Estas técnicas les permitieron tanto propagar el malware como mantener acceso remoto a los sistemas comprometidos.
Acciones Destructivas
Una vez en ejecución, Obscura lanzaba comandos diseñados para bloquear la recuperación:
cmd.exe /c vssadmin delete shadows /all /quiet
Esto eliminaba todas las copias de seguridad en sombra, impidiendo restauraciones. La nota de rescate estaba incrustada en el binario como una cadena codificada en base64.
Conclusiones
El descubrimiento de Obscura ransomware demuestra cómo los cibercriminales continúan perfeccionando sus tácticas. Al enfocarse en controladores de dominio y en mecanismos de replicación, logran maximizar el alcance y el daño.
🔐 Recomendaciones de Sky Outsource:
- Asegurar la implementación de agentes de monitoreo en todos los sistemas.
- Auditar regularmente los GPOs y carpetas NETLOGON para detectar anomalías.
- Mantener copias de seguridad seguras y externas a la red, protegidas de la eliminación de sombras.
En Sky Outsource Inc ayudamos a las empresas a anticiparse a amenazas como Obscura mediante Neushield (www.neushield.com) monitoreo proactivo, respuesta a incidentes y fortalecimiento de la infraestructura de TI.
Contactanos al +507.303.8812 o escribenos a ventas@skyoutsource.com para mas informacion de Neushield.