Nueva variante de ransomware “DOGE Big Balls”: Uso de herramientas de código abierto y scripts personalizados
Los investigadores en ciberseguridad han identificado una nueva variante de ransomware denominada “DOGE Big Balls”, una modificación de la familia Fog ransomware. Este malware utiliza una combinación de herramientas de código abierto y scripts personalizados para infectar sistemas, lo que representa un desafío adicional para las estrategias de detección y mitigación.
Orígenes y relación con Fog ransomware
DOGE Big Balls no es una amenaza completamente nueva, sino una evolución del ransomware Fog, conocido por sus campañas anteriores. Los atacantes han modificado el código base para incluir funcionalidades adicionales y evadir mecanismos de seguridad. Esta técnica de “reempaquetado” es común en el ecosistema del cibercrimen, donde los grupos adaptan malware existente para prolongar su efectividad.
Técnicas de infección y herramientas utilizadas
El análisis técnico revela que esta variante emplea:
- Herramientas de código abierto como Chisel (túnel TCP/UDP) y Lazagne (extracción de credenciales)
- Scripts personalizados en PowerShell y Batch para la ejecución lateral
- Técnicas de ofuscación para evadir soluciones antivirus tradicionales
- Protocolos RDP (Remote Desktop Protocol) comprometidos para acceso inicial
Mecanismo de cifrado y características distintivas
El ransomware implementa un esquema de cifrado híbrido (RSA + AES) para bloquear archivos, añadiendo la extensión “.doge” a los ficheros afectados. A diferencia de Fog original, DOGE Big Balls incluye:
- Eliminación de copias de sombra de volumen (VSS)
- Desactivación de servicios de recuperación
- Scripts de limpieza para eliminar evidencias
Implicaciones para la seguridad corporativa
Esta variante representa un riesgo significativo debido a:
- Su capacidad para evadir firmas tradicionales mediante técnicas de ofuscación
- El uso dual de herramientas legítimas (LOLBins) para actividades maliciosas
- La rápida propagación mediante scripts automatizados
Recomendaciones de mitigación
Las organizaciones deberían implementar:
- Controles de aplicación whitelisting
- Monitoreo estricto de actividades PowerShell
- Segmentación de red para limitar movimiento lateral
- Copias de seguridad offline verificadas regularmente
Este caso demuestra la creciente sofisticación de las amenazas ransomware, donde los atacantes combinan eficientemente recursos disponibles públicamente con desarrollos propios para maximizar su impacto. La defensa requiere un enfoque multicapa que vaya más allá de las soluciones tradicionales basadas en firmas.
