← Inicio

Spirals: nuevo ransomware cifra toda una red corporativa en menos de 24 horas

El hecho Una nueva variante de ransomware llamada Spirals ha sido detectada en ataques reales con una capacidad alarmante: cifrar redes corporativas enteras en menos de 24 horas desde el acceso inicial. A diferencia de variantes tradicionales que toman días o semanas entre el compromiso inicial y la detonación — LockBit promedia 7 días, BlackCat toma de 5 a 10 — Spirals comprime este ciclo a menos de un día hábil, tomando por sorpresa a equipos de seguridad que aún operan bajo modelos de detección lenta.

Contexto El ransomware tradicional de alto impacto sigue un patrón conocido: acceso inicial por phishing o RDP expuesto, movimiento lateral lento y cuidadoso, exfiltración de datos, y finalmente el cifrado. Este ciclo solía tomar de 3 a 14 días, dando tiempo a las soluciones EDR y a los equipos de SOC para identificar anomalías. Spirals representa una aceleración radical de ese modelo, probablemente utilizando automatización agresiva de descubrimiento de red y propagación lateral mediante herramientas legítimas de administración (LOLBins) como PsExec, WMIC y WinRM, combinadas con escaneos rápidos de Active Directory.

Análisis La reducción del tiempo de cifrado tiene implicaciones profundas para la arquitectura de defensa corporativa. El modelo tradicional de detección de ransomware depende de ventanas de 24 a 72 horas para que los equipos de SOC identifiquen movimiento lateral sospechoso, reúnan evidencia y activen manuales de contención. Con Spirals, esa ventana se reduce drásticamente — si el cifrado comienza en horas, la detección debe ser casi en tiempo real y la respuesta automatizada. La velocidad sugiere una fuerte automatización de los pasos de reconocimiento interno, probablemente con scripts que mapean dominios Active Directory, identifican controladores y distribuyen el payload simultáneamente en múltiples hosts. Esto también acorta la ventana de exfiltración, sugiriendo que los atacantes priorizan la interrupción operativa sobre la doble extorsión — un cambio preocupante en el modelo de negocio del ransomware.

Qué observar La evolución de Spirals en las próximas semanas: si grupos afiliados adoptan la plataforma como ransomware-as-a-service, la frecuencia de ataques podría dispararse. Las organizaciones deben revisar sus reglas de detección para alertas de ejecución remota masiva y desactivar protocolos de administración remota (WinRM, PSRemoting) donde no sean estrictamente necesarios. Las copias de seguridad offline siguen siendo la última línea de defensa, pero con una variante tan rápida, la detección previa al cifrado — y los indicadores de reconocimiento automatizado — se convierten en la prioridad número uno para los CISOs.

Fuente: BleepingComputer