IA utilizada para desplegar Ransomware

La adopción de la inteligencia artificial en entornos de trabajo, vida diaria y otros ámbitos está siendo cada vez más común con el paso del tiempo. Sin embargo, así como sirve para mejorar la vida cotidiana, los ciberdelincuentes también han encontrado maneras de aprovecharla, ya sea para el desarrollo de software malicioso, nuevas tácticas, etc. 

En esta ocasión, se han descubierto instaladores falsos de inteligencias artificiales, específicamente de las inteligencias OpenAI ChatGPT e InVideo AI. Dichos instaladores despliegan diferentes tipos de amenazas, principalmente ransomware. Dentro de los grupos encontrados están: 

CyberLock 

Este ransomware engaña a las personas haciéndose pasar por una solución de inteligencia artificial enfocada en finanzas, orientando y ayudando a que los negocios maximicen sus ganancias. Esta IA existe realmente, pero se descarga desde una página diferente. La página falsa es: “Novaleadsai[.]com”, mientras que la original es novaleads.app.

Imagen del sitio falso novaleads [3] 

Imagen del sitio verídico de novaleads.
 

El ransomware CyberLock utiliza tácticas de doble extorsión, exfiltrando los datos antes de cifrarlos para después pedir un rescate. De no entregarse el pago, los atacantes procederán a filtrar toda la información y/o venderla. En su nota de rescate, CyberLock menciona que las ganancias irán para mujeres y niños afectados en Ucrania, Palestina, África y otras regiones, por lo que instan a pensar en los demás y pagar el rescate para así "ayudar a las personas necesitadas".

Imagen de la nota de rescate de Cyberlock[3] 

CyberLock utiliza PowerShell para llevar a cabo sus operaciones y se basa casi exclusivamente en esta herramienta. Sin embargo, también recurre a herramientas Living off the Land para completar varios pasos. 

Lucky_Gho$t 

Este grupo se hace pasar por la versión premium de ChatGPT. Dentro de la careta descargada se encuentra un archivo con el nombre dwn.exe, el cual imita a un archivo legítimo de Microsoft con el mismo nombre. Además, incluye herramientas de IA para evadir la detección.

 

Imagen comparativa entre el archivo malicioso y el legitimo [3] 

Este grupo es nuevo y el ransomware es derivado de otro llamado Yashma, que a su vez es derivado del ransomware Chaos. Al igual que otros ransomwares, utiliza tácticas de doble extorsión para asegurar el pago del rescate. 

Imagen de la nota de rescate de Lucky_Gho$t. 

Numero 

Este malware es nuevo y está tomando fuerza en la escena criminal. Es parte de este modus operandi, haciéndose pasar por la IA InVideo. Numero está diseñado para atacar específicamente a sistemas operativos Windows y ejecuta un programa en bucle de forma indefinida, corrompiendo el dispositivo y afectando la interfaz gráfica. Esto lo logra con un archivo llamado 1234567890. 

A diferencia de las otras campañas, Numero no encripta archivos, pero deja inutilizable el equipo al que infecta.

Indicadores de Compromiso:

IOC	Tipo	Amenaza
novaleadsai.com	Dominio	CyberLock
507103bf93e50a8b7b2944c402f1403402e2f607930fa7822bb64236c1fba23a	SHA-256	CyberLock
07d73f4822549af4ec61d16ed366133dae1733ce1d6ad0a27fc80c94956abc51	SHA-256	CyberLock
e1c4603d8354bb53e9ba93b860db6ae853d64bce0fe25a37033bfe260ea63f23	SHA-256	Lucky_Gho$t
e019c6f094965c3bccc0a7ba09bfb09c4ff7059795da5b66b6e7a7c0ac8ef7ef	SHA-256	Lucky_Gho$t
25f863c6190b727c45b762b70091a8d8f6cb98ff44db05044ba76a46d3c17a3d	SHA-256	Numero
6ccaef03dcab293d23494070aacfd4b94d7defd14af39dc543f2f551846e9d50	SHA-256	Numero
7de095a011a3dcd48f806dcb6a48d5262e06bec2d63d828b85436f79c83bcd70	SHA-256	Numero
2381929126d3eb17402d77103f6e07a272a6fad54ec64225a6d5e1f31ff057ac	SHA-256	Numero

 

Recomendaciones

• Si alguna vulnerabilidad le afecta, considere actualizar o migrar a una versión con la vulnerabilidad corregida de acuerdo a la tabla de versiones afectadas. 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Toulas, B. (2025. Mayo 29) Cybercriminals exploit AI hype to spread ransomware, malware. Recuperado el 02 de Junio del 2025 en: https://www.bleepingcomputer.com/news/security/cybercriminals-exploit-ai-hype-to-spread-ransomware-malware/ 
2. Laksmanan, R. (2025. Mayo 29) Cybercriminals Target AI Users with Malware-Loaded Installers Posing as Popular Tools. Recuperado el 02 de Junio del 2025 en: https://thehackernews.com/2025/05/cybercriminals-target-ai-users-with.html 
3. Raghuprasad, C. (2025. Mayo 29) Cybercriminals camouflaging threats as AI tool installers. Recuperado el 09 de Abril del 2025 en: https://blog.talosintelligence.com/fake-ai-tool-installers/#:~:text=CyberLock%20ransomware,%20developed%20using%20PowerShell,%20primarily%20focuses%20on,various%20regions,%20including%20Palestine,%20Ukraine,%20Africa%20and%20Asia. 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios