{"id":169532,"date":"2025-12-17T07:48:55","date_gmt":"2025-12-17T15:48:55","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=169532"},"modified":"2025-12-30T08:25:53","modified_gmt":"2025-12-30T16:25:53","slug":"ransomhouse-encryption-upgrade","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/","title":{"rendered":"De lo lineal a lo complejo: una actualizaci\u00f3n del cifrado de RansomHouse"},"content":{"rendered":"<h2>Resumen ejecutivo<\/h2>\n<p>RansomHouse es una operaci\u00f3n de ransomware como servicio (RaaS) dirigida por un grupo que rastreamos con el nombre de Jolly Scorpius. Muestras recientes de los binarios asociados que se usan en las operaciones de RansomHouse revelan una actualizaci\u00f3n significativa del cifrado. En este art\u00edculo, se explora la actualizaci\u00f3n del cifrado de RansomHouse y el impacto potencial para los defensores.<\/p>\n<p>Jolly Scorpius utiliza una estrategia de extorsi\u00f3n doble. Esta estrategia combina el robo y el cifrado de los datos de la v\u00edctima con la amenaza de filtrar los datos robados.<\/p>\n<p>La escala de las operaciones del grupo es significativa. Cuando se redact\u00f3 este art\u00edculo, al menos 123\u00a0v\u00edctimas figuraban en el sitio de filtraci\u00f3n de datos de RansomHouse como v\u00edctimas de la divulgaci\u00f3n o la venta de sus datos desde diciembre de 2021.<\/p>\n<p>Este grupo ha perturbado sectores cr\u00edticos como la sanidad, las finanzas, el transporte y la administraci\u00f3n p\u00fablica. Las consecuencias de estas intrusiones incluyen importantes p\u00e9rdidas financieras, grandes vulneraciones de datos y la erosi\u00f3n de la confianza p\u00fablica en las organizaciones afectadas.<\/p>\n<p>Con el prop\u00f3sito de entender mejor las operaciones de RansomHouse, revisamos su cadena de ataque. Tambi\u00e9n examinamos la actualizaci\u00f3n del cifrado de este ransomware, que cambi\u00f3 de una simple t\u00e9cnica lineal de una sola fase a un m\u00e9todo m\u00e1s complejo de varias capas.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas descritas en este art\u00edculo por medio de los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> y el <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\">complemento ASM para XSIAM<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 96.1057%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 204.727%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/category\/ransomware-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Ransomware<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/esxi\/\" target=\"_blank\" rel=\"noopener\">ESXi<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-169532-_wven14kmgum2\"><\/a>Roles de los actores y la cadena de ataque<\/h2>\n<p>A pesar de que Jolly Scorpius se posiciona como un grupo que expone las vulnerabilidades de las empresas, sus acciones revelan un negocio directo de extorsi\u00f3n. A fin de comprender mejor las operaciones de RansomHouse, deber\u00edamos identificar los roles espec\u00edficos de los actores, discernir las distintas fases de la cadena de ataque y determinar c\u00f3mo se relacionan entre s\u00ed los roles y las fases.<\/p>\n<p>En la Figura\u00a01, se ilustran estos roles y sus posiciones en la cadena de ataque.<\/p>\n<figure id=\"attachment_169698\" aria-describedby=\"caption-attachment-169698\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169698 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/ES-LA_introduction_overview-2.png\" alt=\"Diagrama de la cadena de ataque de RansomHouse con dos secciones tituladas \u201cRoles y cadena de ataque\u201d. En \u201cRoles\u201d, hay \u00edconos que representan a un operador, un atacante y una v\u00edctima. A continuaci\u00f3n, la \u201cCadena de ataque\u201d se divide en cuatro pasos: 1. Desarrollar, con \u00edconos para el sitio web de herramientas y fugas. 2. Infiltrarse, indicando un acceso inicial y un movimiento lateral. 3. Exfiltrar e implementar, con \u00edconos de MrAgent y Mario junto a VMWare. 4. La extorsi\u00f3n est\u00e1 simbolizada por un servidor y la comunicaci\u00f3n entre dos personas. \" width=\"1000\" height=\"464\" \/><figcaption id=\"caption-attachment-169698\" class=\"wp-caption-text\">Figura 1. Roles de los actores y su relaci\u00f3n con las fases de la cadena de ataque de RansomHouse.<\/figcaption><\/figure>\n<p>La cadena de ataque de RansomHouse implica tres roles distintos:<\/p>\n<ul>\n<li><strong>Operador: <\/strong>opera el RaaS<\/li>\n<li><strong>Atacante: <\/strong>implementa el ransomware<\/li>\n<li><strong>V\u00edctima: <\/strong>objetivo del atacante<\/li>\n<\/ul>\n<p>Los operadores son responsables de establecer y mantener el RaaS, incluido el desarrollo de herramientas para el cifrado de datos y otras funciones. Las personas que desempe\u00f1an este rol gestionan el sitio de fuga de datos y la arquitectura para que las v\u00edctimas negocien el pago de los rescates. Esto incluye la gesti\u00f3n de las carteras de criptomonedas para el cobro y el blanqueo del dinero de los rescates.<\/p>\n<p>Los atacantes suelen denominarse afiliados porque son actores de amenazas distintos de los operadores. A medida que los servicios de ransomware surgen y dejan de operar, los atacantes pueden cambiar su afiliaci\u00f3n a diferentes grupos de RaaS. Los atacantes son responsables de obtener el acceso inicial, moverse lateralmente, exfiltrar datos e implementar el ransomware.<\/p>\n<p>Los atacantes de RansomHouse son <a href=\"https:\/\/www.scworld.com\/news\/mragent-ransomware-tool-from-ransomhouse-group-targets-esxi-servers\" target=\"_blank\" rel=\"noopener\">conocidos por atacar la infraestructura ESXi de VMware<\/a>, una plataforma de hipervisor de uso com\u00fan en las empresas. Los atacantes de RansomHouse atacan espec\u00edficamente ESXi porque la vulneraci\u00f3n de esta plataforma les permite cifrar docenas o cientos de m\u00e1quinas virtuales a la vez, causando la m\u00e1xima interrupci\u00f3n operativa.<\/p>\n<p>La cadena de ataque refleja una estrategia multifac\u00e9tica para presionar a las v\u00edctimas de RansomHouse. Esta estrategia consiste en recopilar informaci\u00f3n confidencial, cifrar datos seleccionados, publicar las identidades de las v\u00edctimas y amenazarlas con divulgar sus datos confidenciales. La cadena de ataque de RansomHouse puede dividirse en cuatro fases:<\/p>\n<ol>\n<li>Desarrollar<\/li>\n<li>Infiltrar<\/li>\n<li>Exfiltrar e implementar<\/li>\n<li>Extorsionar<\/li>\n<\/ol>\n<p>Cada fase implica al menos uno de los tres roles.<\/p>\n<h3><a id=\"post-169532-_hcc7cm6zd1ql\"><\/a><strong>Fase\u00a01: desarrollar<\/strong><\/h3>\n<p>En esta fase, los operadores de RansomHouse funcionan como proveedores backend y son responsables de desarrollar todos los aspectos del RaaS. Lo m\u00e1s importante es que los operadores no suelen llevar a cabo las intrusiones iniciales. En cambio, conf\u00edan en que sus afiliados (es decir, los atacantes) aprovechar\u00e1n los servicios RaaS desarrollados en esta fase.<\/p>\n<h3><a id=\"post-169532-_rkbgbjfxn5sw\"><\/a><strong>Fase 2: infiltrar<\/strong><\/h3>\n<p>En esta fase, los atacantes comprometen a las v\u00edctimas a trav\u00e9s de correos electr\u00f3nicos de phishing selectivo u otras t\u00e9cnicas de ingenier\u00eda social. Adem\u00e1s del correo electr\u00f3nico, los vectores de acceso inicial incluyen sistemas vulnerables en el entorno de la v\u00edctima que los atacantes pueden comprometer con exploits de d\u00eda cero o de otro tipo.<\/p>\n<p>Tras conseguir el acceso inicial, los atacantes suelen utilizar herramientas y marcos de terceros para explorar la red de la v\u00edctima. El resto de la fase de infiltraci\u00f3n incluye el reconocimiento para mapear el entorno, la escalada de privilegios, el movimiento lateral y la identificaci\u00f3n de informaci\u00f3n valiosa o confidencial.<\/p>\n<h3><a id=\"post-169532-_tm1944cwtaa5\"><\/a><strong>Fase\u00a03: exfiltrar e implementar<\/strong><\/h3>\n<p>Una vez que los atacantes afiliados a RansomHouse se infiltran en el entorno de la v\u00edctima, extraen datos confidenciales e implementan el ransomware. Las t\u00e9cnicas t\u00edpicas de exfiltraci\u00f3n de datos implican la compresi\u00f3n de archivos y utilidades de transferencia de archivos, y los atacantes suelen enviar los datos a servidores que est\u00e1n bajo su control.<\/p>\n<p>El RaaS de RansomHouse utiliza una arquitectura modular que consta de los dos componentes siguientes:<\/p>\n<ul>\n<li>Herramienta de gesti\u00f3n<\/li>\n<li>Cifrador<\/li>\n<\/ul>\n<p>RansomHouse usa una herramienta de gesti\u00f3n llamada MrAgent, que se dise\u00f1\u00f3 para <a href=\"https:\/\/www.trellix.com\/blogs\/research\/ransomhouse-am-see\/\" target=\"_blank\" rel=\"noopener\">automatizar y rastrear las implementaciones de ransomware en diferentes sistemas hipervisores<\/a> en un entorno ESXi.<\/p>\n<p>RansomHouse utiliza un cifrador conocido como Mario. Despu\u00e9s de cifrar los archivos, Mario env\u00eda una nota de rescate que contiene instrucciones sobre c\u00f3mo las v\u00edctimas pueden recuperar sus datos.<\/p>\n<h3><a id=\"post-169532-_8ihcjwvqnf5e\"><\/a><strong>Fase\u00a04: extorsionar<\/strong><\/h3>\n<p>Una vez que los datos de la v\u00edctima han sido robados y cifrados, la cadena de ataque pasa a la fase de extorsi\u00f3n. Los operadores de RaaS suelen encargarse de esta fase, que a menudo implica negociaciones en salas de chat espec\u00edficas. Los operadores validan sus amenazas mediante la divulgaci\u00f3n estrat\u00e9gica de informaci\u00f3n en plataformas como Telegram y el sitio de filtraci\u00f3n de datos de RansomHouse.<\/p>\n<p>Ahora que sabemos m\u00e1s sobre la cadena de ataque de RansomHouse, repasemos c\u00f3mo se utilizan los componentes de este ransomware en los ataques.<\/p>\n<h2><a id=\"post-169532-_25xn81m61ct0\"><\/a>Los componentes de RansomHouse utilizados en los ataques<\/h2>\n<p>Los dos componentes de este ransomware (MrAgent y Mario) est\u00e1n dise\u00f1ados espec\u00edficamente para comprometer entornos virtualizados. En la Figura\u00a02, se ilustra c\u00f3mo se utilizan estas herramientas en un ataque de RansomHouse en una red ESXi.<\/p>\n<figure id=\"attachment_169544\" aria-describedby=\"caption-attachment-169544\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169544 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-769173-169532-2.png\" alt=\"Diagrama de flujo que muestra el proceso de un ataque de ciberseguridad. Incluye un \u201cServidor\u00a0C2 del atacante (RansomHouse)\u201d que se conecta y env\u00eda comandos, que despliegan herramientas de implementaci\u00f3n y ransomware a trav\u00e9s del \u201chipervisor ESXi de VMware\u201d para apuntar a \u201calmacenes de datos virtualizados\u201d, incluidos los \u201carchivos de m\u00e1quinas virtuales (VM)\u201d como .vmdk y .vmx, lo que afecta las m\u00e1quinas virtuales designadas como servidor web, base de datos y controlador de dominio.\" width=\"900\" height=\"989\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-769173-169532-2.png 1863w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-769173-169532-2-400x440.png 400w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-769173-169532-2-637x700.png 637w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-769173-169532-2-768x844.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-769173-169532-2-1397x1536.png 1397w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-169544\" class=\"wp-caption-text\">Figura 2. Diagrama de flujo de c\u00f3mo se utilizan los componentes de RansomHouse en un entorno ESXi.<\/figcaption><\/figure>\n<p>Despu\u00e9s de infiltrarse en el entorno, un atacante implementa MrAgent en el hipervisor ESXi de la v\u00edctima. MrAgent establece una conexi\u00f3n persistente con el servidor de comando y control (C2) del atacante.<\/p>\n<p>Luego, los atacantes env\u00edan comandos desde el servidor\u00a0C2 a MrAgent para realizar otras operaciones, como la exfiltraci\u00f3n de datos. Despu\u00e9s de exfiltrar los datos, los atacantes ordenan a MrAgent que descargue y ejecute el cifrador Mario, que se ejecuta directamente en el hipervisor para cifrar los archivos de la m\u00e1quina virtual.<\/p>\n<p>Dado que MrAgent es el primer componente del ataque, repasemos c\u00f3mo funciona.<\/p>\n<h2><a id=\"post-169532-_3f3xtwwu3vj8\"><\/a>MrAgent: una herramienta de implementaci\u00f3n de RansomHouse<\/h2>\n<p>Como la herramienta principal para las operaciones de RansomHouse, MrAgent proporciona a los atacantes acceso persistente al entorno de la v\u00edctima y simplifica la gesti\u00f3n a escala de los hosts comprometidos. Esta gesti\u00f3n se realiza a trav\u00e9s de varias funciones de la herramienta.<\/p>\n<h3><a id=\"post-169532-_wusv4h42aeu2\"><\/a><strong>Funciones<\/strong><\/h3>\n<p>Las principales funciones de MrAgent son las siguientes:<\/p>\n<ul>\n<li>Adquirir los identificadores de host<\/li>\n<li>Adquirir la direcci\u00f3n\u00a0IP del host<\/li>\n<li>Desactivar el firewall<\/li>\n<li>Comunicarse con el servidor\u00a0C2 del atacante<\/li>\n<\/ul>\n<p>Aunque <a href=\"https:\/\/www.trellix.com\/blogs\/research\/ransomhouse-am-see\/\" target=\"_blank\" rel=\"noopener\">un an\u00e1lisis de Trellix<\/a> document\u00f3 los comandos que MrAgent utiliza para estas funciones, podemos revisarlos para comprender mejor las operaciones.<\/p>\n<p>Los comandos para adquirir identificadores de host son los siguientes:<\/p>\n<ul>\n<li>Para el nombre de host: <span style=\"font-family: 'courier new', courier, monospace;\">uname -a<\/span><\/li>\n<li>Para la direcci\u00f3n MAC: <span style=\"font-family: 'courier new', courier, monospace;\">esxcli --formatter=csv network nic list<\/span><\/li>\n<\/ul>\n<p>El comando para adquirir la direcci\u00f3n\u00a0IP del host es el siguiente:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">esxcli --formatter=csv network ip interface ipv4 get<\/span><\/li>\n<\/ul>\n<p>El comando para desactivar el firewall es el siguiente:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">esxcli network firewall set --enabled false<\/span><\/li>\n<\/ul>\n<p>La funci\u00f3n de MrAgent para comprobar la conectividad con el servidor\u00a0C2 se ejecuta en un bucle infinito. Durante estas comprobaciones de la conectividad, MrAgent puede recibir varias instrucciones del servidor\u00a0C2. En la Tabla\u00a01, se enumeran ejemplos de estas instrucciones y su funci\u00f3n.<\/p>\n<table style=\"width: 100%; height: 272px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"text-align: center; width: 16.7378%; height: 24px;\"><strong>Instrucci\u00f3n<\/strong><\/td>\n<td style=\"text-align: center; width: 82.579%; height: 24px;\"><strong>Funci\u00f3n<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 16.7378%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Abort<\/span><\/td>\n<td style=\"width: 82.579%; height: 25px;\">Aborta el inicio del cifrado si el hipervisor se encuentra en la fase de espera despu\u00e9s de un reinicio<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 16.7378%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Abort_f<\/span><\/td>\n<td style=\"width: 82.579%; height: 25px;\">Elimina los hilos iniciados por MrAgent<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 16.7378%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Config<\/span><\/td>\n<td style=\"width: 82.579%; height: 25px;\">Sobrescribe la configuraci\u00f3n local usada para la implementaci\u00f3n del ransomware<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"width: 16.7378%; height: 48px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Exec<\/span><\/td>\n<td style=\"width: 82.579%; height: 48px;\">Inicia la implementaci\u00f3n del ransomware cambiando la contrase\u00f1a de root, desactivando la gesti\u00f3n remota de vCenter mediante <span style=\"font-family: 'courier new', courier, monospace;\">\/etc\/init.d\/vpxa<\/span>\u00a0stop e iniciando el cifrado de las m\u00e1quinas virtuales<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 16.7378%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Info<\/span><\/td>\n<td style=\"width: 82.579%; height: 25px;\">Recupera informaci\u00f3n del host ESXi<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 16.7378%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span><\/td>\n<td style=\"width: 82.579%; height: 25px;\">Ejecuta comandos arbitrarios en el host ESXi al escribir en el archivo <span style=\"font-family: 'courier new', courier, monospace;\">.\/shmv<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 16.7378%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Remove<\/span><\/td>\n<td style=\"width: 82.579%; height: 25px;\">Elimina el contenido del host ESXi al ejecutar el comando <span style=\"font-family: 'courier new', courier, monospace;\">rm-rf <em>[nombre de archivo o ruta]<\/em><\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 16.7378%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Quit<\/span><\/td>\n<td style=\"width: 82.579%; height: 25px;\">Mata y elimina el binario de MrAgent con <span style=\"font-family: 'courier new', courier, monospace;\">rm -f<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 16.7378%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">Welcome<\/span><\/td>\n<td style=\"width: 82.579%; height: 25px;\">Establece el mensaje de bienvenida de ESXi en el host mediante <span style=\"font-family: 'courier new', courier, monospace;\">esxcli system welcomemesg set -m=\"<em>[texto del mensaje]<\/em>\"<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a01. Ejemplos de instrucciones de MrAgent desde el servidor\u00a0C2 de un atacante.<\/span><\/p>\n<p>Estas funciones permiten a MrAgent implementar el cifrador Mario.<\/p>\n<h3><a id=\"post-169532-_uzh2b8cepkg8\"><\/a><strong>Caracter\u00edsticas<\/strong><\/h3>\n<p>Con el prop\u00f3sito de impedir la ingenier\u00eda inversa, el binario de MrAgent a veces se modifica con c\u00f3digo basura, pero esta ofuscaci\u00f3n b\u00e1sica no altera las operaciones fundamentales. Para <a href=\"https:\/\/campus.barracuda.com\/product\/managedworkplace\/doc\/497818099\/performing-guest-state-management-in-vmware\" target=\"_blank\" rel=\"noopener\">gestionar el estado<\/a> del entorno comprometido, MrAgent utiliza dos estructuras JSON internas para almacenar su configuraci\u00f3n y estado en tiempo de ejecuci\u00f3n, con acceso sincronizado por un mutex.<\/p>\n<h2><a id=\"post-169532-_xml9k6jn1dub\"><\/a>Mario: el cifrador de RansomHouse<\/h2>\n<p>MrAgent implementa Mario para llevar a cabo la funci\u00f3n principal de la operaci\u00f3n: cifrar los archivos cr\u00edticos de las m\u00e1quinas virtuales en el hipervisor ESXi. Nuestra investigaci\u00f3n descubri\u00f3 dos versiones distintas de Mario que revelan una evoluci\u00f3n en los m\u00e9todos de cifrado.<\/p>\n<p>Ambas versiones siguen el mismo flujo de ejecuci\u00f3n general:<\/p>\n<ol>\n<li>Crear la nota de rescate<\/li>\n<li>Atacar las extensiones de los archivos<\/li>\n<li>Cifrar los archivos<\/li>\n<li>Informar las estad\u00edsticas<\/li>\n<\/ol>\n<h3><a id=\"post-169532-_y3bob8xx780\"><\/a><strong>Creaci\u00f3n de la nota de rescate<\/strong><\/h3>\n<p>El primer paso en el flujo de ejecuci\u00f3n de Mario es crear una nota de rescate. La nota de rescate se llama <span style=\"font-family: 'courier new', courier, monospace;\">How To Restore Your Files.txt <\/span>\u201cC\u00f3mo restaurar sus archivos.txt\u201d y se encuentra en el directorio de los archivos que Mario encripta.<\/p>\n<p>Mario abre la nota de rescate en modo de escritura y guarda en el archivo un texto con instrucciones para que las v\u00edctimas puedan recuperar sus archivos. En la Figura\u00a03, se muestra un ejemplo de esta nota.<\/p>\n<figure id=\"attachment_169555\" aria-describedby=\"caption-attachment-169555\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169555 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-772422-169532-3.png\" alt=\"Nota de rescate de RansomHouse. Imagen de un archivo de texto titulado \u201cC\u00f3mo restaurar sus archivos.txt\u201d abierto en un bloc de notas con una ilustraci\u00f3n ASCII de Super Mario, junto a instrucciones para contactarse con el correo electr\u00f3nico y el canal de Telegram proporcionados, lo que representa un aviso de ransomware del grupo llamado \u201cRansomHouse\u201d.\" width=\"1000\" height=\"731\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-772422-169532-3.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-772422-169532-3-602x440.png 602w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-772422-169532-3-957x700.png 957w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-772422-169532-3-768x562.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-772422-169532-3-1536x1124.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169555\" class=\"wp-caption-text\">Figura\u00a03. Ejemplo de una nota de rescate generada por una <a href=\"https:\/\/www.virustotal.com\/gui\/file\/0fe7fcc66726f8f2daed29b807d1da3c531ec004925625855f8889950d0d24d8\" target=\"_blank\" rel=\"noopener\">muestra de Mario<\/a>.<\/figcaption><\/figure>\n<h3><a id=\"post-169532-_ylc1gm66x13b\"><\/a><strong>Ataque a las extensiones de los archivos<\/strong><\/h3>\n<p>El siguiente paso es el cruce de directorios y la selecci\u00f3n de extensiones. Mario requiere que los atacantes especifiquen la ruta del directorio de los archivos a cifrar. Dentro del directorio especificado, Mario busca archivos de virtualizaci\u00f3n seg\u00fan las extensiones de nombre de archivo listadas en la Tabla\u00a02.<\/p>\n<table style=\"width: 100.5%; height: 320px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"width: 11.7366%; text-align: center; height: 24px;\"><strong>Extensi\u00f3n<\/strong><\/td>\n<td style=\"width: 91.0803%; text-align: center; height: 24px;\"><strong>Descripci\u00f3n del archivo<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 11.7366%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">ova<\/span><\/td>\n<td style=\"width: 91.0803%; height: 25px;\">Dispositivo de virtualizaci\u00f3n abierta (OVA): distribuci\u00f3n de un solo archivo del paquete de archivos OVF<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 11.7366%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">ovf<\/span><\/td>\n<td style=\"width: 91.0803%; height: 25px;\">Formato de virtualizaci\u00f3n abierto (OVF): un est\u00e1ndar abierto para empaquetar y distribuir software virtual<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 11.7366%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vbk<\/span><\/td>\n<td style=\"width: 91.0803%; height: 25px;\">Archivo de respaldo <a href=\"https:\/\/www.veeam.com\/products\/virtual\/vmware-backup-recovery.html\" target=\"_blank\" rel=\"noopener\">Veeam<\/a> (VBK): almacena copias de seguridad de los datos de una m\u00e1quina virtual en un momento determinado<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 11.7366%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vbm<\/span><\/td>\n<td style=\"width: 91.0803%; height: 25px;\">Archivo de respaldo Veeam con metadatos (VBM): almacena metadatos sobre un archivo VBK<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 11.7366%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vib<\/span><\/td>\n<td style=\"width: 91.0803%; height: 25px;\">Paquete de instalaci\u00f3n de VMware (VIB): un archivo de paquete para instalar o actualizar hosts ESXi<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 11.7366%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vmdk<\/span><\/td>\n<td style=\"width: 91.0803%; height: 25px;\">Archivo de disco de m\u00e1quina virtual (VMDK): se usa en m\u00e1quinas virtuales como VMware y VirtualBox<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"width: 11.7366%; height: 48px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vmem<\/span><\/td>\n<td style=\"width: 91.0803%; height: 48px;\">Archivo de memoria de VMware (VMEM): una copia de seguridad del contenido de la memoria RAM de una m\u00e1quina virtual desde el sistema host<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 11.7366%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vmsd<\/span><\/td>\n<td style=\"width: 91.0803%; height: 25px;\">Archivo de metadatos de instant\u00e1neas de VMware (VMSD): almacena metadatos sobre cada instant\u00e1nea de la m\u00e1quina virtual<\/td>\n<\/tr>\n<tr style=\"height: 48px;\">\n<td style=\"width: 11.7366%; height: 48px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vmsn<\/span><\/td>\n<td style=\"width: 91.0803%; height: 48px;\">Archivo del estado de la instant\u00e1nea de VMware (VMSN): almacena el estado de ejecuci\u00f3n de una m\u00e1quina virtual en el momento de la instant\u00e1nea<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 11.7366%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vswp<\/span><\/td>\n<td style=\"width: 91.0803%; height: 25px;\">Archivo de intercambio de VMware (VSWP): intercambia p\u00e1ginas de la memoria con el disco duro cuando un host tiene poca memoria f\u00edsica<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a02. Extensiones de archivo atacadas por Mario.<\/span><\/p>\n<p>Mario recorre cada uno de los archivos de la ruta de directorio especificada buscando las extensiones deseadas. Durante este proceso de iteraci\u00f3n, Mario ignora varias entradas del directorio, como . (directorio actual) y .. (directorio padre).<\/p>\n<p>El cifrador tambi\u00e9n ignora los archivos con las siguientes cadenas en cualquier parte del nombre de archivo, incluso si el nombre de archivo tiene una extensi\u00f3n objetivo:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.marion<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.emario<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.lmario<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.nmario<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.mmario<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.wmario<\/span><\/li>\n<\/ul>\n<p>Es probable que esta exclusi\u00f3n evite el cifrado de archivos doble para que los archivos no se corrompan y se vuelvan irrecuperables.<\/p>\n<p>En la Figura\u00a04, se muestran las extensiones de la Tabla\u00a02 cuando analizamos una <a href=\"https:\/\/www.virustotal.com\/gui\/file\/0fe7fcc66726f8f2daed29b807d1da3c531ec004925625855f8889950d0d24d8\/details\" target=\"_blank\" rel=\"noopener\">muestra de Mario<\/a> descubierta a principios de este a\u00f1o.<\/p>\n<figure id=\"attachment_169566\" aria-describedby=\"caption-attachment-169566\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169566 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-776066-169532-4.png\" alt=\"Pantalla de la terminal que muestra un programa llamado \u201ce_mario.out\u201d ejecutando un proceso de cifrado en varios archivos con extensiones como vmsn, vbm, vmdk, vmxf, vsv, vmsd y vswp.\" width=\"600\" height=\"428\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-776066-169532-4.png 1390w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-776066-169532-4-617x440.png 617w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-776066-169532-4-981x700.png 981w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-776066-169532-4-768x548.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-169566\" class=\"wp-caption-text\">Figura 4. Muestra de Mario dirigida a las extensiones de archivos asociadas a la virtualizaci\u00f3n.<\/figcaption><\/figure>\n<p>El ataque a la infraestructura virtual y las copias de seguridad de una organizaci\u00f3n es una t\u00e1ctica conocida de RansomHouse. Ambos m\u00e9todos pretenden impedir la recuperaci\u00f3n de los datos si la v\u00edctima no paga el rescate.<\/p>\n<h3><a id=\"post-169532-_ttnuraiywpcs\"><\/a><strong>Cifrado de los archivos<\/strong><\/h3>\n<p>Mientras encripta los archivos objetivo, Mario muestra su progreso, como se puede ver en la Figura 4. Los archivos cifrados se renombran y se a\u00f1ade al nombre existente una extensi\u00f3n que incluye la cadena <span style=\"font-family: 'courier new', courier, monospace;\">mario<\/span>. En la Figura 5, se muestra un ejemplo de <span style=\"font-family: 'courier new', courier, monospace;\">.emario <\/span>como extensi\u00f3n de los archivos cifrados tras ejecutar una muestra de Mario.<\/p>\n<figure id=\"attachment_169577\" aria-describedby=\"caption-attachment-169577\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169577 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-778314-169532-5.png\" alt=\"Captura de pantalla de una ventana de la terminal que muestra la salida del comando \u201cls-a\u201d, con una lista de varios archivos, incluidos los que tienen el sufijo \u201c.emario\u201d. El directorio llamado \u201ctest_subdirectory\u201d est\u00e1 resaltado en azul.\" width=\"600\" height=\"549\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-778314-169532-5.png 1026w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-778314-169532-5-481x440.png 481w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-778314-169532-5-766x700.png 766w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-778314-169532-5-768x702.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-169577\" class=\"wp-caption-text\">Figura 5. Al listar el contenido del directorio, se revelan los archivos encriptados con la extensi\u00f3n .emario.<\/figcaption><\/figure>\n<h3><a id=\"post-169532-_taw4ld6vpfvo\"><\/a><strong>Informe de las estad\u00edsticas<\/strong><\/h3>\n<p>Una vez que Mario termina de cifrar los archivos objetivo, muestra estad\u00edsticas de los resultados del cifrado. Estas estad\u00edsticas, en orden, son las siguientes:<\/p>\n<ul>\n<li>La cantidad de archivos que no fue posible cifrar<\/li>\n<li>La cantidad de archivos cifrados<\/li>\n<li>La cantidad de archivos omitidos<\/li>\n<li>La cantidad total de archivos<\/li>\n<li>La cantidad de datos cifrados<\/li>\n<\/ul>\n<p>En la Figura\u00a06, se muestra un ejemplo de informe estad\u00edstico luego de ejecutar una muestra de Mario.<\/p>\n<figure id=\"attachment_169588\" aria-describedby=\"caption-attachment-169588\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169588 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-780469-169532-6.png\" alt=\"Captura de pantalla de una terminal que muestra el resultado de un proceso de descifrado de archivos, con una lista de estad\u00edsticas que incluye los archivos cifrados procesados, los archivos omitidos y el total de datos analizados.\" width=\"600\" height=\"405\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-780469-169532-6.png 1390w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-780469-169532-6-652x440.png 652w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-780469-169532-6-1037x700.png 1037w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-780469-169532-6-768x518.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-169588\" class=\"wp-caption-text\">Figura 6. Ejemplo de una muestra de Mario que informa sus estad\u00edsticas de cifrado.<\/figcaption><\/figure>\n<p>Si bien todas las muestras conocidas de Mario siguen el mismo flujo de ejecuci\u00f3n, el proceso se vuelve m\u00e1s complejo en las muestras recientes. En la siguiente secci\u00f3n, se revisan las diferencias entre las muestras anteriores y posteriores de Mario, lo que revela una actualizaci\u00f3n en los m\u00e9todos de cifrado de Mario.<\/p>\n<h2><a id=\"post-169532-_tykdven1nlvj\"><\/a>Cifrado actualizado de Mario<\/h2>\n<p>Identificamos dos versiones de Mario bas\u00e1ndonos en las diferencias en las rutinas de cifrado entre las muestras conocidas actualmente. La comparaci\u00f3n de estas dos versiones revela que los desarrolladores actualizaron Mario para utilizar un m\u00e9todo de cifrado sustancialmente m\u00e1s complejo. Nos referimos a estas dos versiones de la siguiente manera:<\/p>\n<ul>\n<li>Versi\u00f3n original<\/li>\n<li>Versi\u00f3n actualizada<\/li>\n<\/ul>\n<p>Si comparamos bloques de c\u00f3digo desensamblado para la rutina de cifrado, hay un bloque de funciones notablemente m\u00e1s complejo en la versi\u00f3n actualizada. En la Figura\u00a07, se comparan los bloques de c\u00f3digo de cifrado de estas dos versiones, donde claramente podemos ver m\u00e1s secciones en la versi\u00f3n actualizada a la derecha que en la versi\u00f3n original a la izquierda.<\/p>\n<figure id=\"attachment_169599\" aria-describedby=\"caption-attachment-169599\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169599 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-782754-169532-7.png\" alt=\"Comparaci\u00f3n de bloques de c\u00f3digo de cifrado de una muestra del Mario original (izquierda) y una muestra del Mario actualizado (derecha), con l\u00edneas y bloques resaltados en verde.\" width=\"900\" height=\"1070\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-782754-169532-7.png 1722w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-782754-169532-7-370x440.png 370w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-782754-169532-7-589x700.png 589w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-782754-169532-7-768x913.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-782754-169532-7-1292x1536.png 1292w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-169599\" class=\"wp-caption-text\">Figura 7. Comparaci\u00f3n de los bloques de c\u00f3digo de cifrado entre la versi\u00f3n original y la versi\u00f3n actualizada de Mario.<\/figcaption><\/figure>\n<p>Para demostrar la actualizaci\u00f3n en el cifrado de Mario, comparamos el c\u00f3digo de muestras de las dos versiones teniendo en cuenta las siguientes funciones:<\/p>\n<ul>\n<li>Cifrado<\/li>\n<li>Disposici\u00f3n de la memoria y gesti\u00f3n de los b\u00faferes<\/li>\n<li>Procesamiento de archivos<\/li>\n<li>Formato de salida<\/li>\n<\/ul>\n<p>Las mejoras en estas funciones permiten que la versi\u00f3n actualizada de Mario sea mucho m\u00e1s eficaz y resistente a los an\u00e1lisis que la versi\u00f3n original.<\/p>\n<h3><a id=\"post-169532-_u450tnyywr6g\"><\/a><strong>Cifrado<\/strong><\/h3>\n<p>La versi\u00f3n original de Mario tiene una rutina de cifrado sencilla y b\u00e1sica. En la Figura\u00a08, se muestra el c\u00f3digo desensamblado de la versi\u00f3n original. Este c\u00f3digo realiza una \u00fanica pasada para transformar los datos de un archivo de datos no cifrados a datos cifrados.<\/p>\n<figure id=\"attachment_169610\" aria-describedby=\"caption-attachment-169610\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169610 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-785730-169532-8.png\" alt=\"Captura de pantalla del c\u00f3digo de programaci\u00f3n en un IDE, con m\u00faltiples l\u00edneas de lenguaje ensamblador con anotaciones que explican cada parte del c\u00f3digo. El c\u00f3digo incluye operaciones como el ajuste de la memoria y la configuraci\u00f3n de la transformaci\u00f3n.\" width=\"1000\" height=\"563\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-785730-169532-8.png 2012w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-785730-169532-8-782x440.png 782w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-785730-169532-8-1244x700.png 1244w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-785730-169532-8-768x432.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-785730-169532-8-1536x864.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169610\" class=\"wp-caption-text\">Figura 8. C\u00f3digo desensamblado para la transformaci\u00f3n de archivos de visualizaci\u00f3n \u00fanica de la versi\u00f3n original.<\/figcaption><\/figure>\n<p>En cambio, la versi\u00f3n actualizada de Mario incorpora una transformaci\u00f3n de archivos en dos fases que incluye una clave de cifrado secundaria. En la Figura\u00a09, se muestra el c\u00f3digo desensamblado de una muestra de la versi\u00f3n actualizada de Mario, que revela este proceso de cifrado m\u00e1s complejo.<\/p>\n<figure id=\"attachment_169621\" aria-describedby=\"caption-attachment-169621\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169621 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-789151-169532-9.png\" alt=\"Captura de pantalla de un ordenador que muestra c\u00f3digo en un IDE con anotaciones que explican los pasos clave del cifrado, y un diagrama de flujo que ilustra los pasos del procesamiento de datos en la esquina inferior derecha.\" width=\"1000\" height=\"542\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-789151-169532-9.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-789151-169532-9-786x426.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-789151-169532-9-1292x700.png 1292w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-789151-169532-9-768x416.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-789151-169532-9-1536x833.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169621\" class=\"wp-caption-text\">Figura 9. C\u00f3digo desensamblado que revela la transformaci\u00f3n de archivos m\u00e1s compleja de la versi\u00f3n actualizada.<\/figcaption><\/figure>\n<p>El c\u00f3digo de la versi\u00f3n actualizada revela un esquema de cifrado de dos factores en el que el archivo se cifra con una clave principal y otra secundaria. El cifrado de datos se procesa por separado para cada clave. Esto aumenta significativamente la dificultad de descifrar los datos sin ambas claves.<\/p>\n<p>En la Figura\u00a010, se muestra que la versi\u00f3n actualizada de Mario utiliza valores aleatorios para generar una clave de cifrado primaria de 32\u00a0bytes y una clave de cifrado secundaria de 8\u00a0bytes.<\/p>\n<figure id=\"attachment_169632\" aria-describedby=\"caption-attachment-169632\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169632 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-792872-169532-10.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo inform\u00e1tico que muestra varias instrucciones en lenguaje ensamblador relacionadas con operaciones criptogr\u00e1ficas, como la generaci\u00f3n de entrop\u00eda y la gesti\u00f3n de claves. El c\u00f3digo incluye comentarios para aclarar la funcionalidad de cada l\u00ednea.\" width=\"1000\" height=\"446\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-792872-169532-10.png 1938w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-792872-169532-10-786x350.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-792872-169532-10-1570x700.png 1570w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-792872-169532-10-768x342.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-792872-169532-10-1536x685.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169632\" class=\"wp-caption-text\">Figura 10. C\u00f3digo desensamblado que muestra la generaci\u00f3n de claves utilizada por la versi\u00f3n actualizada de Mario.<\/figcaption><\/figure>\n<p>Estos cambios representan una actualizaci\u00f3n significativa del cifrado de Mario.<\/p>\n<h3><a id=\"post-169532-_4zwx9ssvv5xt\"><\/a><strong>Disposici\u00f3n de la memoria y gesti\u00f3n de los b\u00faferes<\/strong><\/h3>\n<p>Al hablar de la disposici\u00f3n de la memoria y la gesti\u00f3n de los b\u00faferes, debemos comprender los <a href=\"https:\/\/learn.microsoft.com\/en-us\/visualstudio\/extensibility\/debugger\/stack-frames\" target=\"_blank\" rel=\"noopener\">marcos de pila<\/a> y los b\u00faferes. En este caso, los b\u00faferes son porciones del marco de pila especificadas por un valor de desplazamiento.<\/p>\n<p>La versi\u00f3n original de Mario utiliza los siguientes valores de marco de pila y de b\u00fafer durante su proceso de cifrado:<\/p>\n<ul>\n<li>Tama\u00f1o del marco de pila en la versi\u00f3n actualizada: <span style=\"font-family: 'courier new', courier, monospace;\">0x1408<\/span>\u00a0bytes<\/li>\n<li>Desplazamientos clave del b\u00fafer: <span style=\"font-family: 'courier new', courier, monospace;\">var_1400<\/span> (primario), <span style=\"font-family: 'courier new', courier, monospace;\">var_130<\/span> (transformaci\u00f3n)<\/li>\n<li>Tama\u00f1o del bloque: fijado en <span style=\"font-family: 'courier new', courier, monospace;\">0xA00000<\/span> sin ajustes din\u00e1micos<\/li>\n<\/ul>\n<p>Esto indica que transformar archivos a un estado cifrado es un proceso relativamente directo y simple. En cambio, los valores de marco de pila y de b\u00fafer de la versi\u00f3n actualizada de Mario muestran una estructura m\u00e1s compleja, peque\u00f1a y eficiente:<\/p>\n<ul>\n<li>Tama\u00f1o del marco de pila en la versi\u00f3n actualizada: <span style=\"font-family: 'courier new', courier, monospace;\">0x1268<\/span>\u00a0bytes<\/li>\n<li>Desplazamientos m\u00faltiples del b\u00fafer:\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">var_1150<\/span>: contexto de cifrado primario<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">var_A0<\/span>: b\u00fafer de transformaci\u00f3n intermedio<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">var_20<\/span>: almacenamiento de clave secundaria (8\u00a0bytes)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">var_40<\/span>: almacenamiento de cabecera para archivos cifrados<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Estos valores de marco de pila y de b\u00fafer se utilizan en un proceso en el que:<\/p>\n<ul>\n<li>Los datos iniciales se leen en el b\u00fafer primario (<span style=\"font-family: 'courier new', courier, monospace;\">ptr<\/span>)<\/li>\n<li>Los datos se transforman utilizando la clave primaria en <span style=\"font-family: 'courier new', courier, monospace;\">var_1150<\/span><\/li>\n<li>Se sigue procesando con la clave secundaria en <span style=\"font-family: 'courier new', courier, monospace;\">var_20<\/span><\/li>\n<li>Los datos cifrados finales incluyen un encabezado de <span style=\"font-family: 'courier new', courier, monospace;\">var_40<\/span><\/li>\n<\/ul>\n<p>La cuidadosa organizaci\u00f3n de estos b\u00faferes confirma el enfoque por capas de la versi\u00f3n actualizada de Mario.<\/p>\n<h3><a id=\"post-169532-_y35xpu65svqi\"><\/a><strong>Procesamiento de archivos<\/strong><\/h3>\n<p>La versi\u00f3n original de Mario utiliza un enfoque directo para el procesamiento de archivos. Es un proceso lineal que cifra los archivos como segmentos secuenciales de tama\u00f1o fijo en un bucle. Luego de cifrar cada segmento, el c\u00f3digo comprueba si el tama\u00f1o combinado de los segmentos procesados supera un umbral especificado. Cuando se supera ese umbral, el c\u00f3digo salta del bucle a una funci\u00f3n diferente.<\/p>\n<p>En la Figura\u00a011, se ilustra este proceso lineal en el c\u00f3digo desensamblado.<\/p>\n<figure id=\"attachment_169643\" aria-describedby=\"caption-attachment-169643\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169643 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-795750-169532-11.png\" alt=\"Captura de pantalla de un c\u00f3digo inform\u00e1tico en un IDE, con l\u00edneas para comparar el tama\u00f1o del archivo y saltos condicionales con comentarios.\" width=\"1000\" height=\"268\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-795750-169532-11.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-795750-169532-11-786x211.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-795750-169532-11-1920x515.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-795750-169532-11-768x206.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-795750-169532-11-1536x412.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169643\" class=\"wp-caption-text\">Figura 11. C\u00f3digo desensamblado que muestra un proceso lineal de cifrado en la versi\u00f3n original de Mario.<\/figcaption><\/figure>\n<p>El c\u00f3digo de la versi\u00f3n actualizada de Mario revela un m\u00e9todo de cifrado que utiliza el procesamiento en bloques con tama\u00f1o din\u00e1mico. En la Figura\u00a012, se muestra un ejemplo.<\/p>\n<figure id=\"attachment_169654\" aria-describedby=\"caption-attachment-169654\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169654 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-798535-169532-12.png\" alt=\"Captura de pantalla de un c\u00f3digo en lenguaje ensamblador en un editor de texto con la sintaxis resaltada. El c\u00f3digo incluye varias operaciones como mover, desplazar y multiplicar con registros y constantes.\" width=\"900\" height=\"1286\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-798535-169532-12.png 1433w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-798535-169532-12-308x440.png 308w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-798535-169532-12-490x700.png 490w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-798535-169532-12-768x1098.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-798535-169532-12-1075x1536.png 1075w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-169654\" class=\"wp-caption-text\">Figura 12. C\u00f3digo desensamblado que muestra el procesamiento segmentado con cifrado din\u00e1mico en la versi\u00f3n actualizada de Mario.<\/figcaption><\/figure>\n<p>Si comparamos la l\u00f3gica de procesamiento de estas dos versiones, encontramos diferencias significativas.<\/p>\n<p>La versi\u00f3n original de Mario usa un bucle de programaci\u00f3n m\u00e1s sencillo que procesa los archivos en longitudes de segmento fijas hasta un umbral de 536,870,911\u00a0bytes, como se indica en la Figura\u00a011. Esta versi\u00f3n simplemente informa cuando se complet\u00f3 el cifrado sin mostrar ning\u00fan progreso.<\/p>\n<p>En comparaci\u00f3n, la versi\u00f3n actualizada de Mario implementa un esquema de procesamiento de archivos m\u00e1s robusto para el cifrado, que utiliza lo siguiente:<\/p>\n<ul>\n<li>Longitudes de segmento variables, con un umbral de tama\u00f1o de 8\u00a0GB<\/li>\n<li>C\u00e1lculos para determinar el tama\u00f1o de los bloques y los desplazamientos<\/li>\n<li>Una t\u00e9cnica de cifrado disperso que solo cifra determinados bloques de un archivo en desplazamientos espec\u00edficos<\/li>\n<\/ul>\n<p>Adem\u00e1s, la versi\u00f3n actualizada de Mario muestra el progreso del cifrado de bloques de cada archivo, como se muestra a continuaci\u00f3n en la Figura\u00a013.<\/p>\n<figure id=\"attachment_169665\" aria-describedby=\"caption-attachment-169665\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169665 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-802878-169532-13.png\" alt=\"Una captura de pantalla de c\u00f3digo inform\u00e1tico sobre un fondo oscuro con sintaxis resaltada, indicando variables y una cadena que incluye \u201cbloque procesado\u201d. \" width=\"1000\" height=\"93\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-802878-169532-13.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-802878-169532-13-786x73.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-802878-169532-13-1920x179.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-802878-169532-13-768x72.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-802878-169532-13-1536x143.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169665\" class=\"wp-caption-text\">Figura 13. C\u00f3digo desensamblado en la versi\u00f3n actualizada de Mario para mostrar el progreso del procesamiento de bloques.<\/figcaption><\/figure>\n<p>El procesamiento por bloques de la versi\u00f3n actualizada de Mario dificulta el an\u00e1lisis est\u00e1tico por los siguientes motivos:<\/p>\n<ul>\n<li>Procesa los archivos de forma no lineal<\/li>\n<li>Utiliza f\u00f3rmulas matem\u00e1ticas complejas para determinar el orden de procesamiento<\/li>\n<li>Emplea diferentes estrategias en funci\u00f3n del tama\u00f1o del archivo<\/li>\n<\/ul>\n<h3><a id=\"post-169532-_e848oy40yxnv\"><\/a><strong>Formato de salida<\/strong><\/h3>\n<p>Adem\u00e1s de mostrar los bloques de archivos procesados al cifrarlos, la versi\u00f3n actualizada de Mario tambi\u00e9n brinda un resumen m\u00e1s detallado cuando finaliza el cifrado de cada archivo.<\/p>\n<p>Como se indic\u00f3 anteriormente, la versi\u00f3n original simplemente informa que finaliz\u00f3 el cifrado de un archivo. En la Figura\u00a014, se muestra esto en el c\u00f3digo desensamblado.<\/p>\n<figure id=\"attachment_169676\" aria-describedby=\"caption-attachment-169676\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169676 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-804955-169532-14.png\" alt=\"Una captura de pantalla de c\u00f3digo inform\u00e1tico con sintaxis resaltada, con varios comandos y una variable llamada \u201caDoneS\u201d. El texto tiene un fondo oscuro e incluye colores como morado y naranja para resaltar algunas partes.\" width=\"800\" height=\"116\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-804955-169532-14.png 1128w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-804955-169532-14-786x114.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-804955-169532-14-768x112.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-169676\" class=\"wp-caption-text\">Figura 14. C\u00f3digo de la versi\u00f3n original de Mario para informar cu\u00e1ndo se termin\u00f3 de procesar un archivo.<\/figcaption><\/figure>\n<p>La versi\u00f3n actualizada de Mario incluye m\u00e1s informaci\u00f3n cuando se termina de procesar cada archivo, como se muestra en el c\u00f3digo desensamblado en la Figura\u00a015.<\/p>\n<figure id=\"attachment_169687\" aria-describedby=\"caption-attachment-169687\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169687 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-806820-169532-15.png\" alt=\"Captura de pantalla de c\u00f3digo inform\u00e1tico en un IDE, con el comando \u201caDoneSLdLdLdLd\u201d destacado en un recuadro morado.\" width=\"700\" height=\"56\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-806820-169532-15.png 1708w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-806820-169532-15-786x63.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-806820-169532-15-768x61.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-806820-169532-15-1536x122.png 1536w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-169687\" class=\"wp-caption-text\">Figura 15. C\u00f3digo de la versi\u00f3n actualizada de Mario para informar cu\u00e1ndo se termin\u00f3 de procesar un archivo.<\/figcaption><\/figure>\n<p>En \u00faltima instancia, la funcionalidad b\u00e1sica de estas dos muestras de Mario (la versi\u00f3n original y la versi\u00f3n actualizada) sigue siendo la misma. Ambas muestras cifran los archivos y los renombran con la extensi\u00f3n \u201c.emario\u201d. Sin embargo, la versi\u00f3n actualizada implementa una metodolog\u00eda de cifrado m\u00e1s compleja y potencialmente m\u00e1s segura con el procesamiento selectivo de archivos.<\/p>\n<h2><a id=\"post-169532-_xzylt0gjnup2\"><\/a>Conclusi\u00f3n<\/h2>\n<p>La actualizaci\u00f3n del cifrado usada por el RaaS de RansomHouse, que pasa de un modelo lineal simple a un enfoque m\u00e1s complejo de varias capas, marca una trayectoria preocupante en el desarrollo del ransomware. Esto demuestra c\u00f3mo los actores de amenazas est\u00e1n actualizando las t\u00e9cnicas para aumentar la eficacia.<\/p>\n<p>Esta actualizaci\u00f3n se basa en varias mejoras t\u00e9cnicas clave:<\/p>\n<ul>\n<li>Un esquema de cifrado de dos factores que aumenta significativamente la dificultad de descifrado si no se tienen las dos claves<\/li>\n<li>Un procesamiento de archivos en bloques con tama\u00f1o din\u00e1mico, en lugar de un m\u00e9todo m\u00e1s sencillo<\/li>\n<li>M\u00e1s dificultad en el an\u00e1lisis est\u00e1tico y la ingenier\u00eda inversa debido al nuevo procesamiento de archivos<\/li>\n<\/ul>\n<p>Los actores de amenazas podr\u00edan considerarlo un camino \u00fatil para futuras variantes de ransomware. A medida que otros grupos de ransomware adopten estos m\u00e9todos m\u00e1s sofisticados, el panorama de las amenazas de ransomware se volver\u00e1 m\u00e1s resistente a los controles de seguridad. Esta actualizaci\u00f3n destaca la necesidad de adoptar estrategias m\u00e1s din\u00e1micas y adaptables, capaces de contrarrestar la pr\u00f3xima generaci\u00f3n de amenazas complejas y evasivas.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> y el <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\">complemento ASM para XSIAM<\/a> proporcionan detecci\u00f3n de la infraestructura ESXi de VMware que est\u00e1 expuesta al Internet p\u00fablico mediante las reglas de superficie de ataque \u201cESXi de VMware\u201d y \u201cESXi de VMware inseguro\u201d. Adem\u00e1s de estas, tambi\u00e9n hay una regla de superficie de ataque de detecci\u00f3n posterior a la vulneraci\u00f3n para \u201cInfecci\u00f3n por ransomware ESXiArgs\u201d. Puede detectar notas de rescate inyectadas por actores maliciosos, as\u00ed como otros indicadores de infecci\u00f3n por ransomware que afectan los servidores ESXi expuestos a Internet.<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-169532-_uh33v3jbnh9e\"><\/a>Indicadores de vulneraci\u00f3n (IoC)<\/h2>\n<ul>\n<li>SHA256 hash: <span style=\"font-family: 'courier new', courier, monospace;\">0fe7fcc66726f8f2daed29b807d1da3c531ec004925625855f8889950d0d24d8<\/span><\/li>\n<li>Descripci\u00f3n del archivo: Muestra de la versi\u00f3n actualizada de Mario<\/li>\n<li>SHA256 hash: \u200b\u200b<span style=\"font-family: 'courier new', courier, monospace;\">d36afcfe1ae2c3e6669878e6f9310a04fb6c8af525d17c4ffa8b510459d7dd4d<\/span><\/li>\n<li>Descripci\u00f3n del archivo: Muestra de la versi\u00f3n original de Mario<\/li>\n<li>SHA256 hash: <span style=\"font-family: 'courier new', courier, monospace;\">26b3c1269064ba1bf2bfdcf2d3d069e939f0e54fc4189e5a5263a49e17872f2a<\/span><\/li>\n<li>Descripci\u00f3n del archivo: Muestra de MrAgent<\/li>\n<li>SHA256 hash: <span style=\"font-family: 'courier new', courier, monospace;\">8189c708706eb7302d7598aeee8cd6bdb048bf1a6dbe29c59e50f0a39fd53973<\/span><\/li>\n<li>Descripci\u00f3n del archivo: Muestra de MrAgent<\/li>\n<\/ul>\n<h2><a id=\"post-169532-_vt9ipa3kcgf5\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-ransomhouse-group-sets-up-extortion-market-adds-first-victims\/\" target=\"_blank\" rel=\"noopener\">New RansomHouse group sets up extortion market, adds first victims<\/a> (El nuevo grupo RansomHouse crea un mercado de extorsi\u00f3n y suma sus primeras v\u00edctimas), BleepingComputer<\/li>\n<li><a href=\"https:\/\/www.trellix.com\/blogs\/research\/ransomhouse-am-see\/\" target=\"_blank\" rel=\"noopener\">RansomHouse am See<\/a>, Trellix<\/li>\n<li><a href=\"https:\/\/analyst1.com\/ransomhouse-stolen-data-market-influence-operations-amp-other-tricks-up-the-sleeve\/\" target=\"_blank\" rel=\"noopener\">RansomHouse: Stolen Data Market, Influence Operations &amp; Other Tricks Up the Sleeve<\/a> (RansomHouse: Mercado de datos robados, operaciones de influencia y otros trucos bajo la manga), Analyst1<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>JP\/ FR\/ Es-LA<br \/>\nLos operadores detr\u00e1s de RansomHouse, un grupo de ransomware como servicio (RaaS), han actualizado sus m\u00e9todos de cifrado de una sola fase a m\u00e9todos complejos y por capas.<\/p>\n","protected":false},"author":366,"featured_media":168595,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8829,8838,8811],"tags":[9861,9862,9863],"product_categories":[8925,8921,8932,8937,8935,8890,8947],"coauthors":[3877,9836],"class_list":["post-169532","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-actor-groups-es-la","category-threat-research-es-la","category-ransomware-es-la","tag-esxi","tag-jolly-scorpius","tag-ransomhouse","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xpanse-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la","product_categories-unit-42-ransomware-readiness-assessment-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>De lo lineal a lo complejo: una actualizaci\u00f3n del cifrado de RansomHouse<\/title>\n<meta name=\"description\" content=\"JP\/ FR\/ Es-LA Los operadores detr\u00e1s de RansomHouse, un grupo de ransomware como servicio (RaaS), han actualizado sus m\u00e9todos de cifrado de una sola fase a m\u00e9todos complejos y por capas.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"De lo lineal a lo complejo: una actualizaci\u00f3n del cifrado de RansomHouse\" \/>\n<meta property=\"og:description\" content=\"JP\/ FR\/ Es-LA Los operadores detr\u00e1s de RansomHouse, un grupo de ransomware como servicio (RaaS), han actualizado sus m\u00e9todos de cifrado de una sola fase a m\u00e9todos complejos y por capas.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-12-17T15:48:55+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-30T16:25:53+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Anmol Maurya, Jingwen Shi\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"De lo lineal a lo complejo: una actualizaci\u00f3n del cifrado de RansomHouse","description":"JP\/ FR\/ Es-LA Los operadores detr\u00e1s de RansomHouse, un grupo de ransomware como servicio (RaaS), han actualizado sus m\u00e9todos de cifrado de una sola fase a m\u00e9todos complejos y por capas.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/","og_locale":"es_LA","og_type":"article","og_title":"De lo lineal a lo complejo: una actualizaci\u00f3n del cifrado de RansomHouse","og_description":"JP\/ FR\/ Es-LA Los operadores detr\u00e1s de RansomHouse, un grupo de ransomware como servicio (RaaS), han actualizado sus m\u00e9todos de cifrado de una sola fase a m\u00e9todos complejos y por capas.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/","og_site_name":"Unit 42","article_published_time":"2025-12-17T15:48:55+00:00","article_modified_time":"2025-12-30T16:25:53+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Anmol Maurya, Jingwen Shi","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"De lo lineal a lo complejo: una actualizaci\u00f3n del cifrado de RansomHouse","datePublished":"2025-12-17T15:48:55+00:00","dateModified":"2025-12-30T16:25:53+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/"},"wordCount":4696,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","keywords":["ESXi","Jolly Scorpius","RansomHouse"],"articleSection":["Grupos de actores de amenazas","Investigaci\u00f3n de amenazas","Ransomware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/","name":"De lo lineal a lo complejo: una actualizaci\u00f3n del cifrado de RansomHouse","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","datePublished":"2025-12-17T15:48:55+00:00","dateModified":"2025-12-30T16:25:53+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"JP\/ FR\/ Es-LA Los operadores detr\u00e1s de RansomHouse, un grupo de ransomware como servicio (RaaS), han actualizado sus m\u00e9todos de cifrado de una sola fase a m\u00e9todos complejos y por capas.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of RaaS RansomHouse. Digital representation of cybersecurity concept with a padlock superimposed over computer circuit boards, symbolizing data protection and encryption technologies."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/ransomhouse-encryption-upgrade\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"De lo lineal a lo complejo: una actualizaci\u00f3n del cifrado de RansomHouse"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/169532","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=169532"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/169532\/revisions"}],"predecessor-version":[{"id":169709,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/169532\/revisions\/169709"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/168595"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=169532"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=169532"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=169532"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=169532"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=169532"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}