Ransomware Dire Wolf
Este nuevo grupo de ransomware fue detectado por primera vez a finales del mes de mayo de este año, y desde su primer ataque se sigue manteniendo activo, con una suma de 39 víctimas publicadas hasta el momento. La nueva amenaza ataca principalmente a países como Singapur, Tailandia, Taiwán, Estados Unidos y Reino Unido; siendo las víctimas empresas de los sectores de Tecnología, Manufactura, Finanzas, Sector Salud y Construcción, sus víctimas objetivo. Cabe destacar que esta variedad de objetivos tan diferentes es gracias a que está escrito en un lenguaje multiplataforma, el cual puede ser difícil de detectar por antivirus.
Dire Wolf funciona en tres fases: primero verifica si el sistema ya se encuentra encriptado o si existe el archivo "mutex", perteneciente a este ransomware, para asegurarse de que solo se ejecuta una vez el ataque. Si alguna de las dos condiciones se cumple, el ransomware se auto-elimina y detiene su ejecución para evitar realizar una tarea duplicada. Por otro lado, posterior a ser ejecutado, el ransomware procede a deshabilitar algunos procesos, servicios y aplicaciones, como el registro de eventos de Windows, el servicio de Recuperación del Sistema, copias de seguridad, registros del sistema, bases de datos y aplicaciones empresariales, con el objetivo de frenar la detección del mismo y para evitar la restauración de la información. Finalmente, encripta todos los archivos del sistema utilizando los algoritmos criptográficos: Curve25519 y ChaCha20, les agrega la extensión “.direwolf”, para luego dejar una nota con un mensaje personalizado para cada víctima, una evidencia de acceso a la información y el medio de contacto para negociación.
Nota de rescate del ransomware direwolf [1]
El grupo responsable de este ransomware, utiliza la táctica de extorsión doble: pérdida de la información y daño a la reputación por filtración de datos, para presionar a sus víctimas, dado que cuentan con un sitio público donde publican la información recopilada de organizaciones que no hayan pagado, siendo un método para ejercer mayor presión en las victimas.
Sitio de filtraciones del ransomware direwolf [2]
Taxonomía
|
Tactic |
ID |
Name |
|
Execution |
T1072 |
Software Deployment Tools |
|
Defense Evasion |
T1112 |
Modify Registry |
|
T1562.001 |
Disable or Modify Tools |
|
|
T1562.002 |
Disable Windows Event Logging |
|
|
Impacto |
T1490 |
Inhibit System Recovery |
|
T1489 |
Service Stop |
|
|
T1486 |
Data Encrypted for Impact |
Indicadores de compromiso
|
IOC |
Tipo |
|
8fdee53152ec985ffeeeda3d7a85852eb5c9902d2d480449421b4939b1904aad |
Sha 256 |
|
27d90611f005db3a25a4211cf8f69fb46097c6c374905d7207b30e87d296e1b3 |
Sha 256 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Montalbano, E. (2025, June 25). Dire wolf ransomware comes out snarling, bites technology, manufacturing. Dark Reading. Recuperado 2 de septiembre de 2025, de https://www.darkreading.com/threat-intelligence/dire-wolf-ransomware-manufacturing-technology
- Ddos. (2025, Junio 25). Dire Wolf Ransomware: New Golang Threat Hits 11 Countries with Double Extortion & File Wiping. Daily CyberSecurity. Recuperado el 02 de septiembre del 2025 en: https://securityonline.info/dire-wolf-ransomware-new-golang-threat-hits-11-countries-with-double-extortion-file-wiping/
- Dire Wolf Strikes: new ransomware group targeting global sectors. (2025, Junio 24). https://unsafe.sh. Recuperado el 02 de septiembre del 2025 en: https://f5.pm/go-344683.html
