Área clientes

Storm-0249: Nueva campaña de ransomware con técnicas avanzadas de evasión

El panorama de las amenazas cibernéticas continúa evolucionando, y el grupo Storm-0249 es un claro ejemplo de ello. Originalmente un broker de acceso inicial, este actor ahora adopta técnicas más avanzadas para facilitar ataques de ransomware. Entre estas técnicas se incluyen la suplantación de dominios, el ‘DLL sideloading’ (carga lateral de DLLs) y la ejecución de PowerShell sin archivos, lo que les permite evadir las defensas de seguridad, infiltrarse en redes, mantener la persistencia y operar sin ser detectados.

La campaña más reciente de Storm-0249 se basa en la táctica de ingeniería social ‘ClickFix’, engañando a los usuarios para que ejecuten comandos maliciosos a través del diálogo ‘Ejecutar’ de Windows, bajo la falsa promesa de solucionar problemas técnicos. El comando en cuestión utiliza ‘curl.exe’ para descargar un script de PowerShell desde una URL que imita un dominio de Microsoft, buscando generar confianza en la víctima. Este script se ejecuta de forma ‘fileless’, lo que dificulta su detección.

El script de PowerShell, a su vez, ejecuta un paquete MSI malicioso con privilegios SYSTEM, que instala una DLL troyanizada asociada con la solución de seguridad endpoint de SentinelOne (‘SentinelAgentCore.dll’) en la carpeta AppData del usuario, junto con el ejecutable legítimo ‘SentinelAgentWorker.exe’. El objetivo es cargar lateralmente la DLL maliciosa cuando se inicia el proceso ‘SentinelAgentWorker.exe’, permitiendo que la actividad pase desapercibida. La DLL establece una comunicación cifrada con un servidor de comando y control (C2).

Además, Storm-0249 utiliza utilidades administrativas legítimas de Windows, como ‘reg.exe’ y ‘findstr.exe’, para extraer identificadores únicos del sistema, como ‘MachineGuid’, preparándose para futuros ataques de ransomware. El uso de tácticas ‘Living off the Land’ (LotL), combinado con la ejecución de comandos bajo el proceso de confianza ‘SentinelAgentWorker.exe’, reduce significativamente la probabilidad de que la actividad genere alertas.

Esta evolución de tácticas indica un cambio de las campañas de phishing masivas a ataques de precisión que aprovechan la confianza asociada con procesos firmados para lograr mayor sigilo. Grupos de ransomware como LockBit y ALPHV utilizan el ‘MachineGuid’ para vincular las claves de cifrado a sistemas individuales, asegurando que los archivos no puedan ser descifrados sin la clave controlada por el atacante, incluso si los defensores capturan el binario del ransomware o intentan aplicar ingeniería inversa al algoritmo de cifrado.

Fuente original: Ver aquí

Comparte esta Noticia:


Noticias Relacionadas

Ataque de Phishing utiliza Credenciales Robadas para Instalar Herramientas de Acceso Remoto LogMeIn

Recientemente se ha detectado una sofisticada campaña de ciberataque que utiliza una técnica denominada ‘vulneración mediante herramientas legítimas’. En lugar de emplear virus personalizados que podrían ser detectados fácilmente, los atacantes están utilizando software de Monitoreo y Gestión Remota (RMM) confiable para establecer acceso persistente en los equipos de las

Nuevo Malware DynoWiper: Intento de Ataque de Sandworm contra el Sector Eléctrico en Polonia

El grupo de hacking Sandworm, vinculado al estado ruso, ha sido señalado como responsable del que se describe como el mayor ciberataque contra el sistema eléctrico de Polonia, ocurrido en los últimos días de diciembre de 2025. Según el ministro de energía de Polonia, Milosz Motyka, el ataque fue detectado

Resumen Semanal de Ciberseguridad: Vulnerabilidades en Fortinet, Malware con IA y Amenazas en Navegadores

El panorama de la ciberseguridad evoluciona a un ritmo vertiginoso, y esta semana lo confirma con hallazgos que afectan desde infraestructuras críticas hasta el usuario final. En INGENIERÍA TELEMÁTICA SAS analizamos los puntos clave para su seguridad corporativa. ### Vulnerabilidades Críticas en Fortinet Fortinet ha confirmado la explotación activa de

Campaña de Phishing tributario en India distribuye el peligroso malware Blackmoon

Especialistas en ciberseguridad han alertado sobre una campaña activa de ciberespionaje dirigida a usuarios en la India. El ataque comienza con correos electrónicos de phishing que simulan notificaciones de sanciones del Departamento de Impuestos, engañando a las víctimas para que descarguen un archivo malicioso comprimido. Una vez ejecutado, este malware

Vulnerabilidad Crítica en Grist-Core Permite Ataques de Ejecución Remota de Código (RCE)

Investigadores de seguridad han revelado una falla crítica en Grist-Core, la versión de código abierto y autogestionada de la base de datos relacional Grist. La vulnerabilidad, identificada como CVE-2026-24002 y apodada ‘Cellbreak’, posee una puntuación CVSS de 9.1, lo que subraya su alta peligrosidad. El problema técnico radica en el

Microsoft lanza parche de emergencia para vulnerabilidad Zero-Day en Office (CVE-2026-21509)

Microsoft ha publicado actualizaciones de seguridad de emergencia para abordar una vulnerabilidad crítica de ‘día cero’ (Zero-Day) en Microsoft Office, identificada como CVE-2026-21509. Este fallo, con una puntuación de severidad de 7.8, permite a atacantes saltarse funciones de seguridad integradas en la suite ofimática. La vulnerabilidad afecta específicamente a las

Únete a nuestras Noticias

El panorama de amenazas cambia cada día. ¿Está su empresa al tanto de las últimas vulnerabilidades? Suscríbase a nuestro Boletín de Inteligencia Semanal y reciba en su correo un resumen curado por nuestros ingenieros expertos.

  • Reciba alertas priorizadas sobre las vulnerabilidades que le afectan.

  • Entienda las nuevas tácticas y tendencias del cibercrimen.

  • Gratuito, sin spam y con la confianza de Ingeniería Telemática.

Ingresa tus datos para Registrarte