Ransomware Sinobi

Sinobi es una familia de ransomware relativamente nueva que comenzó a ser detectada a mediados del 2025. Su aparición se enmarca en la evolución de los grupos criminales que emplean tácticas avanzadas de doble extorsión, un modelo en el que los atacantes no solo cifran los sistemas de la víctima para interrumpir sus operaciones, sino que además exfiltran información sensible antes del cifrado, utilizando esta información como mecanismo adicional de presión, al amenazar con publicarla en caso de no pagar el rescate.  

 

Desde su detección inicial en julio del 2025, Sinobi ha mostrado una rápida expansión, esta amenaza opera bajo un esquema de ransomware como servicio (RaaS), en el que múltiples afiliados o grupos asociados pueden utilizar su infraestructura y código para realizar ataques en distintos países. 

 

El modo de operación de Sinobi sigue una secuencia bien estructurada. En la fase inicial, los atacantes logran acceso a las redes corporativas mediante la explotación de credenciales expuestas o comprometidas, así como por vulnerabilidades en servicios de acceso remoto, como VPN o portales SSL mal configurados. En algunos incidentes se ha reportado el uso de credenciales obtenidas en la dark web o filtradas previamente de otras brechas de seguridad. Una vez dentro de la red, los operadores de Sinobi realizan un reconocimiento del entorno interno, identifican sistemas críticos, servidores de archivos, controladores de dominio y repositorios de datos sensibles. Antes de iniciar la fase de cifrado, ejecutan la exfiltración de información hacia servidores controlados por ellos, con el objetivo de obtener un pago de rescate a cambio de no filtrar la información comprometida. 

 

El cifrado empleado por Sinobi utiliza algoritmos modernos y eficientes; se ha analizado el uso de combinaciones de cifrado simétrico y asimétrico para garantizar que los archivos no puedan ser recuperados sin la clave del atacante. Los archivos afectados suelen presentar una extensión distintiva y se acompaña de una nota de rescate en la que los criminales proporcionan instrucciones para establecer contacto, normalmente a través de la red Tor. En estos portales, los atacantes negociaran el monto del rescate y presionaran a sus víctimas para pagar el rescate. 

 

A diferencia de otros grupos que se enfocan en industrias específicas, Sinobi mantiene un enfoque amplio. Las víctimas identificadas públicamente pertenecen mayormente a sectores empresariales como manufactura, construcción, salud, servicios financieros, tecnología, energía, logística y educación. Esta diversidad refleja un interés generalizado en organizaciones con activos críticos, datos valiosos o una alta dependencia tecnológica para sus operaciones, lo que aumenta la presión y la probabilidad de pago. En cuanto a su impacto, los registros públicos de seguimiento de ransomware y los sitios de filtración asociados a Sinobi reportan 73 víctimas confirmadas hasta inicios de octubre de 2025. Sin embargo, esta cifra probablemente sea mayor, ya que muchas empresas afectadas optan por no divulgar públicamente los incidentes o no aparecen en las páginas de filtración si logran llegar a acuerdos privados.  

 

 

Sitio de filtraciones del ransomware Sinobi [1] 

 

También es importante mencionar que se han observado similitudes en la infraestructura y estilo operativo del ransomware Sinobi con otros grupos anteriormente analizados, lo que ha llevado a pensar que Sinobi podría ser una reestructuración o rebranding de alguna familia anterior, posiblemente derivada de Lynx u otra operación desmantelada. Este grupo también está vinculado con una campaña actualmente de explotación de vulnerabilidades de VPN SSL de SonicWall. 

 

 

Comparación entre el sitio del ransomware Sinobi y Lynx [2] 

 

Taxonomía  

Táctica	ID	Nombre
Initial Access	T1566	Phishing
	T1190	Exploit Public-Facing Application
	T1078	Valid Accounts
Execution	T1059	Command and Scripting Interpreter
Persistence	T1543	Create or Modify System Process
Privilege Escalation	T1068	Exploitation for Privilege Escalation
Defense Evasion	T1027	Obfuscated Files or Information
Credential Access	T1003	OS Credential Dumping
	T1555	Credentials from Password Stores
Lateral Movement	T1021	Remote Services
Discovery	T1083	File and Directory Discovery
Collection	T1119	Automated Collection
Exfiltration	T1041	Exfiltration Over C2 Channel
Impact	T1486	Data Encrypted for Impact

 

Indicadores de compromiso

IOC	Tipo
08759d9ea2712d693891c870bbebbde3	FileHash-MD5
2d12be641664435c146dae353c303d48	FileHash-MD5
6e14381ab30f4bc7855b4702eb50a016	FileHash-MD5
00454046c6be47839226fc55da5bc492e5d4f99c	FileHash-SHA1
dcb0e301261b81e5888c0ba6a8ce887b8ed52e5d	FileHash-SHA1
d4919a7402d7ae02516589fbdfb3cc436749544052843a37b5d36ac4b7385b18	FileHash-SHA256
DEEA481121129D4779195E93FDC39AE62FEBB168FD5A384D0CCF8082F06092E5	FileHash-SHA256
851c6b405e024bfa765e48c8fa24c30b	FileHash-MD5
00454046c6be47839226fc55da5bc492e5d4f99c	FileHash-SHA1
0f24406bd2b92987ef64e39c7c6144cfd59438ee	FileHash-SHA1
1b2a1e41a7f65b8d9008aa631f113cef36577e912c13f223ba8834bbefa4bd14	FileHash-SHA256
82cd0af26bc1e9e3b0bfcfe6c61cf467992367a31d87e6bd7e2efa8e9fecbb25	FileHash-SHA256
8bb8c6e72d20e9b07bb55e0b0d168efe99d0088122131ae96d13fa01d3325a17	FileHash-SHA256
d4919a7402d7ae02516589fbdfb3cc436749544052843a37b5d36ac4b7385b18	FileHash-SHA256

 

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Mezo. (2025, Julio 11). Sinobi ransomware. Remove Spyware & Malware With SpyHunter - EnigmaSoft Ltd. Recuperado el 08 de Octubre de 2025, en: https://www.enigmasoftware.com/sinobiransomware-removal/ 
2. Meskauskas, T. (2025, Septiembre 17). Sinobi ransomware. Decryption, Removal, And Lost Files Recovery (Updated). Recuperado el 08 de Octubre de 2025, en:  https://www.pcrisk.com/removal-guides/33328-sinobi-ransomware 
3. Priya. (2025, Agosto 29). Sinobi Ransomware Strikes via Breached SonicWall VPN Accounts. Cyber Security News. Recuperado el 08 de Octubre de 2025, en:  https://cyberpress.org/sinobi-ransomware/ 
4. Dutta, T. S. (2025, Agosto 29). Hackers Leverage Compromised Third-Party SonicWall SSL VPN Credentials to Deploy Sinobi Ransomware. Cyber Security News. Recuperado el 08 de Octubre de 2025, en:  https://cybersecuritynews.com/hackers-leverage-compromised-third-party-sonicwall-ssl-vpn/ 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios