Spacebears ransomware
En abril de 2024 se detectó la aparición de un grupo de ransomware denominado Spacebears, el cual se atribuyó ese mismo mes los ataques a siete compañías en distintos países. Este grupo ha sido vinculado con Rusia, debido a que el sitio de filtraciones del grupo está alojado en Moscú, Rusia.
Además, Spacebears ha sido relacionado con otros grupos, ya que se ha detectado que grupos de ransomware como Phobos utilizan el sitio de filtraciones de Spacebears para alojar datos robados de sus víctimas.
Este grupo no limita sus ataques a un solo país ni a un sector específico, sino que afecta a diversos sectores, como lo son la manufactura, pequeñas empresas de tecnología, salud, entre otros.
Este grupo de ransomware utiliza tácticas de doble extorsión, como la mayoría de los grupos actuales. Este método consiste en que, al comprometer una red, antes de cifrar la información, esta es exfiltrada por el grupo. Una vez completado este proceso, se procede a cifrar los archivos y datos de la víctima, para así amenazarla con filtrar su información en su sitio de filtraciones.
Imagen del sitio de filtraciones [1]
Cabe destacar que su sitio de filtraciones presenta elementos peculiares, como un mensaje de bienvenida en el que se cuestiona si se puede confiar en la compañía listada para tener la información del lector. En general, el sitio tiene un aspecto profesional, algo poco común entre los sitios de filtraciones de ransomware.
Mensaje de bienvenida del sitio de filtraciones [1]
A las compañías que están listadas en el sitio se les da una serie de recomendaciones sobre qué hacer y cómo proceder con ellos para la liberación de sus datos. Además, si pagan el rescate, se les ofrecen ciertas garantías sobre lo que ocurrirá al hacerlo.
Imagen de las garantías por pagar el rescate. [1]
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- RANSOMLOOK. (2025). Space Bears. NIST. Recuperado el 10 de abril de 2025 en: https://www.ransomlook.io/group/space%20bears
- SOCRADAR (2024, Junio 20) Dark Web Profile: SpaceBears. Recuperado el 10 de abril de 2025 en: https://socradar.io/dark-web-profile-spacebears/
- DAILY DARK WEB (2024, Abril 29) New Ransomware Group “SpaceBears” Attacks: Multiple High-Profile Victims Targeted. Recuperado el 10 de abril de 2025 en: https://dailydarkweb.net/new-ransomware-group-spacebears-attacks-multiple-high-profile-victims-targeted/
