P: ¿Cuál es la novedad de la investigación? ¿Es nueva o única? ¿Se había descubierto anteriormente?
La investigación no presenta una nueva familia de ransomware, sino que ofrece un análisis técnico más profundo de la evolución reciente de Makop. Makop ha circulado desde 2020 como una variante derivada de Phobos, pero su conjunto de herramientas y su flujo de trabajo actuales no se habían documentado con este nivel de detalle.
El hallazgo más notable es el primer uso documentado de Guloader en los ataques de Makop. Guloader suele distribuir malware común, pero en estos incidentes distribuyó cargas útiles de Makop, lo que muestra un cambio hacia la distribución basada en cargadores en lugar de depender únicamente de la implementación manual basada en RDP.
El informe también describe la estrategia operativa de los atacantes, mostrando cómo combinan el compromiso de RDP, herramientas comerciales, antivirus killers, controladores vulnerables y un amplio conjunto de exploits de escalada de privilegios locales a lo largo de muchos años de CVE. Esta consolidación ofrece una imagen más clara del enfoque eficaz y de bajo esfuerzo de Makop.
La investigación destaca un patrón regional en la actividad de Makop. Con un 55 % de las víctimas observadas en la India, los resultados muestran cómo los operadores adaptan partes de su kit de herramientas (como el uso de un desinstalador de Quick Heal) para que coincidan con los productos de seguridad habituales en esa región. Esta información geográfica añade un contexto importante para los defensores y los medios de comunicación que cubren las tendencias regionales en materia de objetivos.
P: ¿Cuál es el nivel de amenaza de esta investigación?
- El nivel de amenaza es alto porque el manual de Makop refleja técnicas utilizadas en muchas familias de ransomware.
- Cualquier organización que exponga RDP o funcione con controles de seguridad débiles se enfrenta a un riesgo elevado.
- La combinación de herramientas comunes con nuevos elementos como Guloader muestra que incluso los actores de baja complejidad siguen evolucionando de formas que los defensores deben vigilar de cerca.
P: ¿Quién es el público objetivo? ¿A quién afecta?
- Equipos de seguridad, responsables de la respuesta a incidentes y administradores de TI que se defienden contra el ransomware.
- Organizaciones con servicios RDP expuestos o controles de seguridad débiles, especialmente pequeñas y medianas empresas.
- Regiones con mayores índices de victimización, incluida la India, donde se produjeron la mayoría de los ataques observados.
P: ¿La amenaza está muy extendida geográficamente o solo afecta a determinadas regiones?
La investigación muestra que, aunque una parte significativa (55 %) de los ataques se ha registrado en la India, con incidentes adicionales en Brasil, Alemania y otras regiones, el enfoque de Makop es oportunista. Esto significa que la amenaza no se limita estrictamente a una zona geográfica. Se trata más bien de la vulnerabilidad de las redes; los atacantes se centran en cualquier organización con una debilidad (normalmente debido a sistemas RDP expuestos públicamente), independientemente de su ubicación.
Por lo tanto, aunque las estadísticas actuales destacan un mayor número de incidentes en regiones específicas, el riesgo subyacente es global, especialmente en aquellos lugares donde las medidas de seguridad son deficientes.
Más información en la página sobre el informe: https://www.acronis.com/en/tru/posts/makop-ransomware-guloader-and-privilege-escalation-in-attacks-against-indian-businesses/
