Los investigadores de seguridad han identificado una nueva y peligrosa cepa de ransomware llamada Mamona que está revolucionando el panorama de las amenazas cibernéticas con un enfoque completamente diferente. A diferencia del ransomware tradicional, este malware opera de forma completamente local y sin necesidad de servidores de comando y control.

Características únicas que lo hacen especialmente peligroso

Mamona se ejecuta como un archivo binario independiente en sistemas Windows y su comportamiento offline expone un punto ciego crítico en las defensas convencionales. Los expertos de Wazuh han revelado que esta amenaza obliga a repensar cómo deben funcionar incluso los mejores sistemas antivirus y de detección cuando no hay actividad de red que monitorear.

Estrategias de evasión y autodestrucción

Al ejecutarse, el malware inicia un retraso de tres segundos utilizando un comando ping modificado: cmd.exe /C ping 127.0.0.7 -n 3 > Nul & Del /f /q, y luego se autodestruye.

Esta autodestrucción reduce significativamente los artefactos forenses, dificultando enormemente que los investigadores rastreen o analicen el malware después de su ejecución.

Una característica particularmente astuta es que, en lugar de usar la popular dirección 127.0.0.1, utiliza 127.0.0.7, lo que le ayuda a evadir las reglas de detección tradicionales. Este método evita patrones de detección simples y evita dejar rastros digitales que los escáneres tradicionales basados en archivos podrían detectar.

Impacto y método de ataque

El ransomware deja una nota de rescate titulada README.HAes.txt y renombra los archivos afectados con la extensión .HAes, señalando una operación de cifrado exitosa.

Los expertos de Wazuh advierten que la «naturaleza plug-and-play del malware reduce las barreras para los cibercriminales, contribuyendo a la comodificación más amplia del ransomware«.

Este cambio sugiere la necesidad de un mayor escrutinio sobre lo que califica como la mejor protección contra ransomware, especialmente cuando tales amenazas ya no necesitan infraestructura de control remoto para causar daño.

Estrategias de detección y respuesta

Reglas de detección personalizadas

El enfoque de Wazuh para detectar Mamona implica integrar Sysmon para captura de logs y usar reglas personalizadas para marcar comportamientos específicos como:

  • Regla 100901: Apunta a la creación del archivo README.HAes.txt
  • Regla 100902: Confirma la presencia de ransomware cuando tanto la actividad de nota de rescate como la secuencia de retraso/autodestrucción aparecen juntas

Respuesta en tiempo real

Para responder a Mamona antes de que ocurra el daño, Wazuh utiliza:

  • Reglas YARA
  • Sistema de Monitoreo de Integridad de Archivos (FIM) en tiempo real

Cuando se agrega o modifica un archivo sospechoso, especialmente en la carpeta Descargas de un usuario, el módulo Wazuh Active Response desencadena un escaneo YARA.

Implicaciones para la seguridad futura

Mamona representa un cambio significativo en la evolución del ransomware, demostrando que las amenazas pueden ser altamente efectivas sin depender de la conectividad a internet. Su naturaleza autónoma y furtiva plantea nuevos desafíos para:

  • Los sistemas de detección tradicionales
  • Los equipos de respuesta a incidentes
  • Las soluciones de seguridad basadas en análisis de tráfico de red

A medida que el ransomware continúa evolucionando, las mejores soluciones antivirus también deben hacerlo. Aunque ninguna herramienta única garantiza protección perfecta, las soluciones con respuesta modular brindan a los defensores una ventaja flexible y evolutiva.

Fuente

Artículos relacionadosMás del autor

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí