{"id":1611877,"date":"2025-03-07T17:48:33","date_gmt":"2025-03-07T17:48:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/fin7-fin8-y-otros-usan-ragnar-loader-para-el-acceso-persistente-y-las-operaciones-de-ransomware\/"},"modified":"2025-03-07T17:48:38","modified_gmt":"2025-03-07T17:48:38","slug":"fin7-fin8-y-otros-usan-ragnar-loader-para-el-acceso-persistente-y-las-operaciones-de-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fin7-fin8-y-otros-usan-ragnar-loader-para-el-acceso-persistente-y-las-operaciones-de-ransomware\/","title":{"rendered":"Fin7, Fin8 y otros usan Ragnar Loader para el acceso persistente y las operaciones de ransomware"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>07 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los cazadores de amenazas tienen luz de cobertizo<\/a> en un “kit de herramientas de malware sofisticado y en evoluci\u00f3n” llamado Cargador ragnar<\/b> Eso es utilizado por varios grupos de delitos cibern\u00e9ticos y de ransomware como Ragnar Locker (tambi\u00e9n conocido como Monstruus Mantis), FIN7, FIN8 y Mantis despiadados (ex Revil).<\/p>\n

“Ragnar Loader desempe\u00f1a un papel clave para mantener el acceso a los sistemas comprometidos, ayudando a los atacantes a permanecer en las redes para operaciones a largo plazo”, dijo la compa\u00f1\u00eda suiza de ciberseguridad ProDaft en un comunicado compartido con Hacker News.<\/p>\n

“Si bien est\u00e1 vinculado al grupo de casilleros Ragnar, no est\u00e1 claro si lo poseen o simplemente lo alquilan a los dem\u00e1s. Lo que s\u00ed sabemos es que sus desarrolladores est\u00e1n constantemente agregando nuevas caracter\u00edsticas, lo que lo hace m\u00e1s modular y m\u00e1s dif\u00edcil de detectar”.<\/p>\n

Ragnar Loader, tambi\u00e9n conocido como Sardonic, fue documentado por primera vez por Bitdefender en agosto de 2021 en relaci\u00f3n con un ataque fallido realizado por FIN8 dirigido a una instituci\u00f3n financiera no identificada ubicada en los Estados Unidos, se dice que se ha utilizado desde 2020.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Luego, en julio de 2023, Symantec, propiedad de Broadcom, revel\u00f3 el uso de FIN8 de una versi\u00f3n actualizada de la puerta trasera para entregar el ahora desaparecido BlackCat Ransomware.<\/p>\n

La funcionalidad central del cargador Ragnar es su capacidad para establecer puntos de apoyo a largo plazo dentro de entornos espec\u00edficos, al tiempo que emplea un arsenal de t\u00e9cnicas para evitar la detecci\u00f3n y garantizar la resiliencia operativa.<\/p>\n

“El malware utiliza cargas \u00fatiles basadas en PowerShell para la ejecuci\u00f3n, incorpora fuertes m\u00e9todos de encriptaci\u00f3n y codificaci\u00f3n (incluidas RC4 y Base64) para ocultar sus operaciones y emplea estrategias de inyecci\u00f3n de procesos sofisticadas para establecer y mantener un control sigiloso sobre los sistemas comprometidos”, se\u00f1al\u00f3 Pindeft.<\/p>\n

“Estas caracter\u00edsticas mejoran colectivamente su capacidad para evadir la detecci\u00f3n y persistir dentro de entornos espec\u00edficos”.<\/p>\n

\"Operaciones<\/a><\/div>\n

El malware se ofrece a los afiliados en forma de un paquete de archivo de archivo que contiene m\u00faltiples componentes para facilitar el shell inverso, la escalada de privilegios locales y el acceso de escritorio remoto. Tambi\u00e9n est\u00e1 dise\u00f1ado para establecer comunicaciones con el actor de amenaza, lo que les permite controlar de forma remota el sistema infectado a trav\u00e9s de un panel de comando y control (C2).<\/p>\n

T\u00edpicamente ejecutado en sistemas de v\u00edctimas utilizando PowerShell, Ragnar Loader integra un grupo de t\u00e9cnicas anti-an\u00e1lisis para resistir la detecci\u00f3n y oscurecer la l\u00f3gica del flujo de control.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Adem\u00e1s, presenta la capacidad de realizar varias operaciones de puerta trasera ejecutando complementos DLL y shellcode, as\u00ed como leer y exfiltrar el contenido de archivos arbitrarios. Para habilitar el movimiento lateral dentro de una red, hace uso de otro archivo de pivote basado en PowerShell.<\/p>\n

Otro componente cr\u00edtico es un archivo ELF ejecutable de Linux llamado BC dise\u00f1ado para facilitar las conexiones remotas, lo que permite que el adversario inicie una y ejecute instrucciones de l\u00ednea de comandos directamente en el sistema comprometido.<\/p>\n

“Emplea t\u00e9cnicas avanzadas de ofuscaci\u00f3n, cifrado y anti-an\u00e1lisis, incluidas las cargas \u00fatiles basadas en PowerShell, las rutinas de descifrado RC4 y Base64, la inyecci\u00f3n din\u00e1mica de procesos, la manipulaci\u00f3n de tokens y las capacidades de movimiento lateral”, dijo Productaft. “Estas caracter\u00edsticas ejemplifican la creciente complejidad y adaptabilidad de los ecosistemas modernos de ransomware”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n