Ransomware Beast
Recientemente se ha detectado un nuevo grupo de ransomware conocido como Beast, es un programa malicioso especialmente diseñado para robar información, y a diferencia de otros ransomwares que atacan por sí solos, Beast funciona como un servicio, lo que significa que cualquier persona o grupo pueden pagar para utilizarlo y llevar a cabo ataques sin necesidad de ser expertos. Esta amenaza ha sido creada para funcionar en distintos tipos de sistemas operativos, como Windows, Linux e incluso en servidores virtuales como VMware Esxi, lo que lo hace aún más flexible y peligroso.
El ransomware Beast emplea diversas técnicas y tácticas para comprometer la infraestructura de sus víctimas. El primer paso consiste en distribuir campañas de phishing con el objetivo de obtener accesos a los sistemas. Una vez dentro, los atacantes realizan escaneos de red y de los equipos en busca de vulnerabilidades, credenciales y detener procesos que impidan la ejecución del ransomware, como Antivirus, EDR y agentes de seguridad, así mismo los escaneos también les ayudan a encontrar información crítica de la víctima que posteriormente es exfiltrada. Una vez que la información es extraída, Beast cifra todos los archivos del sistema y deja una nota de rescate, en donde exige un pago para devolver el acceso a los archivos y, lo más importante, para evitar que la información comprometida sea publicada en su sitio web de filtraciones.
Sitio de filtraciones del ransomware Beast [1]
Se mueve lateralmente dentro de la red utilizando credenciales robadas y accesos a recursos compartidos para infectar otros equipos y eliminar todas las copias de seguridad disponibles en la infraestructura comprometida, asegurando que las víctimas no puedan recuperarse rápidamente. Los respaldos almacenados en un NAS o almacenamiento externo también pueden estar en riesgo si el ransomware logra obtener acceso a ellos desde la red, por eso, es fundamental contar con copias de seguridad offline o aisladas para una mejor protección.
Es importante mencionar que este ransomware no ataca a victimas ubicadas en ciertos países, como Rusia, Ucrania o Bielorrusia. A nivel global Beast está enfocando sus ataques principalmente en países, como Estados Unidos, Guatemala, Bélgica, Chequia, Dinamarca y Canadá. En cuanto a los sectores más atacados por esta amenaza, parece centrarse en industrias como manufactura, construcción, servicios de salud, servicios empresariales, servicios financieros y empresas de tecnología. Su capacidad para atacar lo hace muy peligroso para empresas grandes que dependen de sus sistemas.
Taxonomía MITRE ATT&CK
|
Táctica |
ID |
Nombre |
|
Acceso inicial |
T1566 |
Phishing |
|
T1078 |
Cuentas válidas |
|
|
Ejecución |
T1059 |
Intérprete de comandos y secuencias de comandos |
|
Escalada de privilegios |
T1078 |
Cuentas válidas |
|
Evasión de defensa |
T1027 |
Archivos o información ofuscados |
|
T1562 |
Perjudicar las defensas |
|
|
T1112 |
Modificar registro |
|
|
Movimiento lateral |
T1021 |
Servicios remotos |
|
Impacto |
T1486 |
Datos cifrados para el impacto |
|
T1490 |
Inhibir la recuperación del sistema |
Indicadores de compromiso
|
IOC |
Tipo |
|
405377b1469f31ff535a8b133360767d |
FileHash-MD5 |
|
c39a2e4fbcce649cb5ac409d4a2e1b1f |
FileHash-MD5 |
|
fd4302cdfacbc18e723806fde074625b |
FileHash-MD5 |
|
686fee3a7f0dadc0d9d9a7c20b49a4298f376f70 |
FileHash-SHA1 |
|
6d1d8197029f5d5f0ad961178db8574fefb7a65b |
FileHash-SHA1 |
|
00ae908e07ca608f4d7e110d8df5e3481032294438e7d55e832fcee7d38d32be |
FileHash-SHA256 |
|
899dc226fa35da5923b2c6e6e0b90834dd1ea0b4d2e156a6bc99acd1a183a2d4 |
FileHash-SHA256 |
|
144.91.79.54 |
IP |
|
7fe11977d078da0c3c7ace54ab47f04e |
FileHash-MD5 |
|
7bb0d11e0e2b820b9c8afb6eae3b1feda244c72c |
FileHash-SHA1 |
|
369034bf1d793fe56ea4d683a156722d825ad9829fc128117f82a26bc1d0480b |
FileHash-SHA256 |
|
4c44ac1eea4bc7f4ea542d611b5658d7ac2729d79abe750da83f1581cd832eaf |
FileHash-SHA256 |
|
dbbe792e6c804518909f8990a836552573522d126547429d6cd3fcb1f60d542c |
FileHash-SHA256 |
|
dd09a2ef31d018fd83f186e3eaaccccdaa8a8c8779ced668abb06dc934d89a2d |
FileHash-SHA256 |
|
e01f5c7067dc984dceb883b10444b1a5b0f22ebd500baf9d9a88207f5033285d |
FileHash-SHA256 |
|
78cee04912b214f3436e3fed0c8a120f |
FileHash-MD5 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para detectar ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Dutta, T. S. (2024, Octubre 21). Beast ransomware attacking Windows, Linux, and ESXI systems. Cyber Security News. Recuperado el 06 de agosto del 2025, en: https://cybersecuritynews.com/beast-ransomware-multi-os-attack/
- Threat Intelligence Report July 29th to August 4th, 2025. (2025, Agosto 04). Recuperado el 06 de agosto del 2025, en: https://redpiranha.net/news/threat-intelligence-report-july-29-august-4-2025-0
