DEV Community

Cover image for Obscura: la nueva y oscura variante de ransomware que pone en jaque a las empresas
Lucatonny Raudales
Lucatonny Raudales

Posted on

Obscura: la nueva y oscura variante de ransomware que pone en jaque a las empresas

#ransomware #cybersecurity #security #programming

Publicado originalmente en BleepingComputer

Traducción y adaptación profesional al español para la comunidad hispanohablante en ciberseguridad.

Overview

El 29 de agosto de 2025, la firma de ciberseguridad Huntress reportó la detección de un nuevo y desconocido ransomware bautizado como Obscura.

Lo inquietante no es solo que no existían referencias públicas previas a este malware, sino la forma en que se propagó: utilizando el NETLOGON folder de un controlador de dominio, lo que le permitió expandirse de manera automática en toda la red de la víctima.

El caso Obscura ilustra perfectamente cómo los atacantes siguen innovando en tácticas de camuflaje, persistencia y presión psicológica, elevando el riesgo para organizaciones que no cuentan con visibilidad total de su infraestructura.

Contexto del descubrimiento

Huntress observó que el binario malicioso se ejecutaba en múltiples hosts dentro de la red comprometida.

El despliegue de agentes de seguridad en la víctima era limitado, lo que restringió la capacidad de detección y respuesta del SOC. Esto impidió identificar el vector inicial de acceso.

Sin embargo, se confirmó que el ransomware se almacenó en el controlador de dominio bajo la ruta:

C:\WINDOWS\sysvol\sysvol[dominio].local\scripts\

En un intento de camuflaje, el ejecutable llevaba el mismo nombre que el dominio de la víctima.

El análisis posterior reveló que estaba escrito en Go, con un Go build ID incrustado y referencias a directorios locales de desarrollo, por ejemplo:

/run/media/veracrypt1/Backups/Obscura/Locker/windows/locker/
/run/media/veracrypt1/Locker Deps/go1.15.linux-amd64/go/src/os/exec

Propagación y persistencia

La clave de la propagación de Obscura estuvo en aprovechar el NETLOGON folder, que sincroniza controladores de dominio. Al introducir ahí el binario, este se replicó automáticamente en múltiples sistemas.

Para garantizar persistencia, los atacantes crearon tareas programadas, entre ellas:

  • SystemUpdate: encargada de ejecutar el binario desde el recurso compartido NETLOGON.
  • iJHcEkAG: diseñada para habilitar acceso remoto RDP mediante firewall con el comando:

cmd.exe /C netsh firewall set service type = remotedesktop mode = enable > \Windows\Temp\SJYfXB 2>&1

Asimismo, el ransomware ejecutaba de forma embebida la eliminación de copias de seguridad locales:

cmd.exe /c vssadmin delete shadows /all /quiet

Propagación y persistencia

La clave de la propagación de Obscura estuvo en aprovechar el NETLOGON folder, que sincroniza controladores de dominio. Al introducir ahí el binario, este se replicó automáticamente en múltiples sistemas.

Para garantizar persistencia, los atacantes crearon tareas programadas, entre ellas:

  • SystemUpdate: encargada de ejecutar el binario desde el recurso compartido NETLOGON.
  • iJHcEkAG: diseñada para habilitar acceso remoto RDP mediante firewall con el comando:

Análisis técnico

  • Lenguaje: Go
  • Estrategia de camuflaje: nombre idéntico al dominio víctima
  • Propagación: NETLOGON folder (replicación automática)
  • Persistencia: creación de tareas programadas
  • Acciones destructivas: eliminación de shadow copies
  • Indicadores de desarrollo: rutas incrustadas con Veracrypt1 y dependencias de Go

Hasta el momento, no se ha identificado un grupo conocido detrás de Obscura ni se han encontrado sitios de filtración (leak sites) asociados.

Nota de rescate (traducción íntegra)

Archivo: README_Obscura.txt

¡Buen día! Su empresa ha fallado en una simple prueba de penetración.

Su red ha sido completamente encriptada por nuestro software.

Nuestro virus de ransomware utiliza tecnología de criptografía avanzada que hará muy difícil recuperar su información.

Toda la información ha sido robada.

Hemos extraído todos los datos de su red, incluidos NAS: pasaportes de empleados, documentación interna, documentos financieros, etc.

Tiene unas 240 horas para responder.

De no hacerlo, toda la información será distribuida.

Si decide contactarnos, estaremos dispuestos a negociar un precio de rescate. Al pagar recibirá:

un informe de cómo nos infiltramos en su red

instrucciones y software para descifrar los archivos

nuestra asistencia en la recuperación

Ellos no lo ayudarán; son sus enemigos.

Agencias de recuperación, la policía y otros servicios NO LO AYUDARÁN. Ellos quieren su dinero, pero no saben negociar.

Impacto estratégico

La campaña de Obscura pone de manifiesto varias lecciones clave:

  1. Los controladores de dominio son un blanco prioritario. Al comprometer NETLOGON, los atacantes logran una propagación rápida y amplia.
  2. La visibilidad parcial cuesta caro. Un despliegue incompleto de agentes SOC redujo la capacidad de reacción.
  3. La presión psicológica sigue siendo parte del negocio. El tono de la nota de rescate busca aislar a la víctima de cualquier apoyo externo.
  4. La profesionalización del ransomware es evidente. Uso de Go, tareas programadas y técnicas clásicas combinadas en un solo ataque.

Reflexión final

El ransomware Obscura no es solo un nuevo nombre en la larga lista de amenazas: es un recordatorio de cómo la falta de monitoreo profundo y segmentación de red puede ser explotada por actores maliciosos para paralizar infraestructuras críticas.

Mientras no se conozca su origen o posibles vínculos con grupos de ransomware establecidos, la comunidad de ciberseguridad debe estar atenta a nuevas muestras y tácticas asociadas.

Este hallazgo subraya la importancia de implementar una defensa en profundidad, fortalecer la supervisión de controladores de dominio y no depender exclusivamente de un solo nivel de protección.

Fuente original

Artículo completo en inglés:

Obscura, an obscure new ransomware variant – BleepingComputer

Top comments (0)