Ransomware Arcusmedia (Actualización)
Este grupo de ransomware ha estado activo desde casi mediados del año 2024 y aunque ya lleva mas de un año en operación no cuenta con cantidades disparadas de víctimas tomando en cuenta que desde sus inicios se ha mantenido activo, pero lo que si ha llamado la atención es que se inclina por atacar a países como Brasil, Estados unidos, España, Italia y México.
Esto pone en alerta a organizaciones o posibles víctimas de México, ya que se ha monitoreado que este ransomware a atacado a víctimas del país. También se ha detectado que esta amenaza ataca a organizaciones que ofrecen servicios en sectores de tecnología, transporte, agricultura, manufactura y servicios empresariales.
Grafica de sectores con mayor número de ataques del ransomware Arcusmedia [1]
Este ransomware ha mantenido la mayoría de sus técnicas y tácticas de ataque como obtención de acceso inicial mediante campañas de phishing cuidadosamente diseñadas, en las cuales se distribuyen correos electrónicos con archivos adjuntos o enlaces maliciosos. Cuando la víctima interactúe con estos correos se ejecutan scripts que descargan e instalan malware, lo que les permite acceder al sistema de sus víctimas. Después de haber obtenido acceso, los atacantes aseguran su permanencia mediante la creación de tareas programadas, también para evitar ser detectados deshabilitan los mecanismos de seguridad del sistema como antivirus, EDR o firewalls.
Posteriormente, el grupo busca escalar privilegios utilizando herramientas como Mimikatz para extraer credenciales, una vez con privilegios elevados realizan movimientos laterales buscando obtener exceso a servidores o algún otro dispositivo conectado en la infraestructura de las víctimas. En paralelo esta amenaza, realiza reconocimiento del entorno y exfiltra información crítica, para posteriormente utilizar los datos exfiltrados como una estrategia de doble extorsión.
Esta estrategia es muy utilizada por la mayoría de los grupos de ransomware ya que se basa en exfiltrar información crítica, cifrarla y después pedir un pago de rescate. Pero este grupo antes de cifrador los archivos, interrumpen los procesos críticos como bases de datos y servicios de respaldo. El proceso de cifrado de esta amenaza es un poco diferente a las demás amenazas, ya que utilizan un cifrado que reduce el tiempo de cifrado debido a que solo cifra parcialmente los archivos de gran tamaño, lo cual vuelve inutilizables documentos completos en cuestión de segundos. También agregan una nota de rescate que contiene los pasos para comunicarse con los ciberdelincuentes y poder negociar el pago de rescate, estas técnicas y tácticas utilizadas por el grupo Arcusmedia permiten generar presión en las victimas de sus ataques, ya que en caso de no pagar el pago de rescate, amenazan con publicar los datos obtenidos en su sitio de filtración y ponerlos a la venta.
Sitio de filtraciones de Arcusmedia [2]
Taxonomía MITRE ATT&CK
|
Táctica |
ID |
Técnica |
|
Initial Access |
T1566 |
Phishing |
|
Execution |
T1204.002 |
User Execution: Malicious File |
|
Persistence |
T1053 |
Scheduled Task/Job |
|
Defense Evasion |
T1112 |
Modify Registry |
|
T1562.001 |
Disable or Modify Tools |
|
|
T1027.013 |
Obfuscated Files or Information: Encrypted/Encoded File |
|
|
Credential Access |
T1003 |
OS Credential Dumping |
|
T1110 |
Brute Force |
|
|
Reconnaissance |
T1595 |
Active Scanning |
|
Lateral Movement |
T1021.001 |
Remote Services: Remote Desktop Protocol |
|
Exfiltration |
T1020 |
Automated Exfiltration |
|
Command and Control |
T1573.002 |
Encrypted Channel: Asymmetric Cryptography |
|
T1071.002 |
Application Layer Protocol: File Transfer Protocols |
|
|
Impact |
T1486 |
Data Encrypted for Impact |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Bruno, M. (2024, Junio 04). New threat actor Drop: ARCUS MEDIA. The Moloch. Recuperado el 08 de Julio de 2025, en: https://themoloch.com/infosec/new-threat-actor-drop-arcus-media/
- Rasmuson, J. (2025, Enero 29). Arcus Media: The Rising Ransomware Threat Redefining Modern Cybersecurity Defenses - Security Buzz. Security Buzz. Recuperado el 08 de Julio de 2025, en: https://securitybuzz.com/cybersecurity-news/arcus-media-the-rising-ransomware-threat-redefining-modern-cybersecurity-defenses/
- Dutta, T. S. (2025, Enero 30). Arcus Media Ransomware Delete backup, clear logs, Disable remote after lock the files. Cyber Security News. Recuperado el 08 de Julio de 2025, en: https://cybersecuritynews.com/arcus-media-ransomware-delete-backup-clear-logs/
- Ransomware.live. (2024, Mayo 15). Recuperado el 08 de Julio de 2025, en: https://www.ransomware.live/group/arcusmedia
