Ransomware Abyss Locker (Actualización)

Abyss Locker, también conocido como “Abyss”, es un grupo de ransomware activo desde 2023. Se enfoca en comprometer infraestructura de virtualización, particularmente servidores VMware ESXi, y dirige sus operaciones principalmente a organizaciones del sector tecnológico, servicios empresariales, cuidado de la salud y alimentos.  

Los ataques de este grupo inician con la explotación de vulnerabilidades presentes en dispositivos VPN, lo que les brinda acceso a equipos internos. Logrando esto, pueden implementar herramientas adicionales para mantener persistencia. Se ha documentado la explotación de CVE-2021-20038, una vulnerabilidad de desbordamiento de búfer presente en SonicWall SMA100.

Contando con acceso inicial, Abyss apunta a dispositivos de respaldo utilizando una herramienta de PowerShell de código abierto llamada “Veeam-Get-Creds[.]ps1” para extraer credenciales almacenadas en el sistema de respaldo Veeam. Además, obtienen credenciales adicionales comprometiendo el Administrador de Cuentas de Seguridad de Windows (SAM).

Abyss deshabilita Windows Defender, elimina agentes EDR y utiliza técnicas BYOVD para evadir ser detectados. Tras llevar a cabo un reconocimiento del entorno, implementan herramientas de tunelización SSH/SOCKS como Chisel3 y el binario SSH nativo en dispositivos de red críticos con el objetivo de mantener canales de comunicación robustos.  También despliegan una herramienta basada en OpenSSH en sistemas Windows para actuar como túnel SSH mediante reenvío remoto de puertos, lo que les permite mantener conexión con un servidor de comando y control (C2) remoto. Adicionalmente, se ha observado que los atacantes establecen túneles a través de la VPN y se desplazan hacia el host VMware ESXi para habilitar un canal SSH adicional. Por otro lado, para moverse lateralmente utilizan PsExec y scripts como SMBExec y ATExec.

La exfiltración de datos se logra a través de Rclone, una herramienta CLI capaz de transferir información a Amazon Web Services (AWS) y BackBlaze. Para evadir detección, renombran el ejecutable de Rclone como “ltsvc.exe”. Los archivos encriptados cuentan con la extensión “.Abyss” en Windows y “.crypt” en ESXi.
 

Taxonomía

Tactic	ID	Technique
Initial access	T1190	Exploit Public-Facing Application
	T1078	Valid Accounts
	T1133	External Remote Services
Persistence	T1543.003	Create or Modify System Process: Windows Service
	T1136.001	Create Account: Local Account
Privilege Escalation	T1078	Valid Accounts: Local Accounts
	T1068	Exploitation for Privilege Escalation
Execution	T1059.001	Command and Scripting Interpreter: PowerShell
Credential access	T1003.002	OS Credential Dumping: Security Account Manager
	T1555	Credentials from Password Stores
Discovery	T1046	Network Service Discovery
Defense evasion	T1562.001	Impair Defenses: Disable or Modify Tools
	T1112	Modify Registry
Lateral movement	T1021.002	Remote Services: SMB/Windows Admin Shares
	T1021.001	Remote Services: Remote Desktop Protocol
	T1021.004	Remote Services: SSH
	T1570	Lateral Tool Transfer
Collection	T1567.002	Exfiltration to Cloud Storage
	T1005	Data from Local System
	T1039	Data from Network Shared Drive
Command and control	T1219	Remote Access Software used for C&C server
	T1071.001	Application Layer Protocol: Web Protocols
	T1572	Protocol Tunneling
Exfiltration	T1567.002	Exfiltration to Cloud Storage
Impact	T1486	Data Encrypted for Impact
	T1490	Inhibit System Recovery

Indicadores de compromiso

IOC	Tipo
2146F04728FE93C393A74331B76799EA8FE0269F	SHA1
6042a84529958a04a2d46384139da3ef016bf9498e791cd5e34dfecec2baa1d2	SHA256
5f9dfd9557cf3ca96a4c7f190fc598c10f8871b1313112c9aea45dc8443017a2	SHA256
3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71	SHA256
0d9089efe2a28630bc21d8db451ec14dc856c2d40444292c42e7cca218c7029e	SHA256
f24ca204af2237a714e8b41d54043da7bbe5393b	SHA1
82780c0c1c0e04d994c770a3b3e73727528b0451	SHA1
3f90fd241e9422cc447b5ccdcb87d72507f37e6f	SHA1
23873bf2670cf64c2440058130548d4e4da412dd	SHA1
efe5769e37ba37cf4607cb9918639932	MD5
6983f7001de10f4d19fc2d794c3eb534	MD5
4776e4529da9dd9dc1a4572f2d3926d6	MD5
104[.]243[.]42[.]25	IPv4
150[.]241[.]230[.]43	IPv4
155[.]2[.]190[.]170	IPv4

 

Recomendaciones

• Asegurar seguridad de respaldos aislándolos en VLANs dedicadas con reglas estrictas de firewall.
• Segmentar la red para limitar el alcance del atacante.
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactorial.

Referencias

1. See, A. (2025, 4 febrero). The Anatomy of Abyss Locker Ransomware Attack. Sygnia. Recuperado el 24 de abril de 2026, en: https://www.sygnia.co/blog/abyss-locker-ransomware-attack-analysis/
2. Threat Intel Report. (2026, 25 febrero). Abyss Locker Ransomware – Updated Profile. Recuperado el 24 de abril de 2026, en: https://www.threatintelreport.com/2026/02/25/articles/abyss-locker-ransomware-updated-profile/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios