España ha sido identificada como uno de los principales objetivos de una variante del ransomware MedusaLocker, conocida como BabyLokerKZ , según un reciente informe de Cisco Talos, la división de ciber-inteligencia de Cisco. Esta amenaza se ha expandido por Europa y América del Sur, afectando a más de 100 organizaciones mensualmente desde 2022.
El ciberataque está dirigido por un grupo con motivaciones financieras que utiliza una versión modificada del ransomware MedusaLocker. ‘BabyLokerKZ’ ha sido detectada por la ruta PDB que incluye la referencia «paid_memes», un indicador presente en otras herramientas relacionadas con esta actividad maliciosa, lo que sugiere que todas podrían provenir del mismo autor o grupo de atacantes. Aunque no se han confirmado las identidades de los responsables, se especula que podrían estar vinculados a organizaciones cibercriminales más amplias.
Hasta mediados de 2023, el grupo concentraba sus esfuerzos en varios países europeos, con especial incidencia en España, Francia, Alemania e Italia. Sin embargo, en los últimos meses han redirigido su atención hacia América del Sur, siendo Brasil, México, Argentina y Colombia los países más afectados. La diversificación de los objetivos geográficos responde a la evolución de las tácticas de los atacantes, que buscan maximizar su impacto y rentabilidad aprovechando las debilidades de seguridad en diferentes regiones.
Aumento de ataques de ransomware
El ransomware continúa siendo una de las principales amenazas para la ciberseguridad a nivel global, consolidándose como un riesgo predominante desde 2021. Además del correo corporativo, que sigue siendo un vector habitual de compromiso, los ataques de ransomware se han intensificado. Entre abril y junio de 2024, los incidentes de ransomware aumentaron un 22% en comparación con el trimestre anterior, afectando tanto a organizaciones grandes como a medianas.
En este contexto, se destacan grupos de ransomware ya conocidos, como Black Basta y BlackSuit, que mantienen su actividad constante. Paralelamente, nuevas familias de ransomware como Mallox, Underground Team y ahora ‘BabyLokerKZ’ han emergido, poniendo en riesgo a organizaciones en sectores clave, como el industrial, sanitario y financiero.
El uso de técnicas avanzadas, incluyendo el cifrado de datos críticos y la exigencia de rescates en criptomonedas, ha permitido que estos ciberataques se mantengan como una táctica lucrativa para los delincuentes. Las empresas no solo se enfrentan a pérdidas económicas directas por los rescates, sino también a interrupciones operativas significativas, daños reputacionales y posibles sanciones por incumplimiento de regulaciones de protección de datos.
Cisco Talos advierte sobre nuevas amenazas
El equipo de investigación de Cisco Talos ha alertado sobre la importancia de reforzar las medidas de ciberseguridad, especialmente en los sectores más afectados por estas amenazas. El análisis de Talos resalta que la aparición de nuevas variantes de ransomware como ‘BabyLokerKZ’ demuestra la capacidad de adaptación de los cibercriminales y su habilidad para explotar vulnerabilidades no parcheadas en infraestructuras críticas.
En particular, se recomienda a las organizaciones que implementen protocolos de seguridad avanzados, como la autenticación multifactor (MFA), políticas de respaldo de datos robustas y la actualización constante de sus sistemas y software de seguridad. Estos mecanismos pueden mitigar significativamente el impacto de los ataques y reducir las posibilidades de un compromiso exitoso.
La ciberseguridad ha pasado a ser una prioridad estratégica para muchas organizaciones, ya que los ataques no solo ponen en riesgo la integridad de los datos, sino también la continuidad de los negocios. Según Talos, mantener una postura de ciberseguridad proactiva y educar a los empleados sobre las tácticas de los ciberdelincuentes, como el phishing y el compromiso del correo electrónico, es clave para defenderse ante la creciente sofisticación de estas amenazas.
Impacto global y regional
La decisión de los atacantes de redirigir sus operaciones hacia América del Sur refleja una estrategia de diversificación geográfica que sigue patrones observados en otros grupos de ransomware. Esta región ha experimentado un crecimiento económico significativo en los últimos años, lo que la convierte en un objetivo atractivo para los cibercriminales que buscan rescates elevados y sectores industriales vulnerables a interrupciones operativas.
Aunque Europa sigue siendo un objetivo importante, la reciente focalización en Sudamérica indica que los delincuentes están ajustando sus tácticas para maximizar su rentabilidad. La infraestructura crítica en países como Brasil y México, que incluyen industrias como la energía y las telecomunicaciones, es especialmente vulnerable debido a las brechas en ciberseguridad que persisten a pesar de los esfuerzos de modernización.
Cisco Talos ha señalado que, aunque ‘BabyLokerKZ’ es una variante reciente, sigue patrones similares a otras variantes de MedusaLocker, que tradicionalmente han buscado infiltrarse en redes corporativas, encriptar grandes volúmenes de datos y exigir cuantiosos rescates a cambio de las claves de descifrado.
El futuro del ransomware
Con la aparición constante de nuevas variantes de ransomware, los expertos advierten que esta tendencia está lejos de disminuir. La creciente conectividad de dispositivos y la digitalización de procesos empresariales amplían la superficie de ataque disponible para los ciberdelincuentes, lo que facilita la propagación de malware como ‘BabyLokerKZ’. En respuesta, las empresas deberán adoptar estrategias de ciberseguridad más sofisticadas y colaborativas, tanto a nivel local como internacional, para hacer frente a esta amenaza en constante evolución.
