El 29 de agosto de 2025 la firma de ciberseguridad Huntress detectó una nueva variante de ransomware bautizada como Obscura, una amenaza que destaca por su capacidad de propagación automática al aprovechar el compartido NETLOGON de controladores de dominio.

Descubrimiento y análisis técnico: Huntress observó el binario malicioso ejecutándose en múltiples equipos de la red afectada. El archivo fue hallado en el controlador de dominio bajo la ruta C:\WINDOWS\sysvol\sysvol[dominio].local\scripts\ y en un intento de camuflaje el ejecutable llevaba el mismo nombre que el dominio víctima. El malware está escrito en Go y contiene un Go build ID además de referencias a rutas locales de desarrollo como /run/media/veracrypt1/Backups/Obscura/Locker/windows/locker/ y /run/media/veracrypt1/Locker Deps/go1.15.linux-amd64/go/src/os/exec.

Propagación y persistencia: La clave de Obscura es que al colocarse en el NETLOGON folder se replica automáticamente a otros controladores que sincronizan ese recurso. Para garantizar persistencia los atacantes crearon tareas programadas, entre ellas SystemUpdate, que ejecuta el binario desde el recurso compartido NETLOGON, y iJHcEkAG, destinada a habilitar acceso remoto RDP mediante netsh. El ransomware también ejecutaba comandos para borrar copias de seguridad locales por medio de vssadmin delete shadows /all /quiet.

Comportamiento destructivo e indicadores: además de cifrar archivos y robar datos, Obscura elimina shadow copies y deja trazas de desarrollo en las rutas incrustadas. No se ha vinculado aún a grupos de ransomware conocidos ni se han identificado sitios de filtración asociados.

Nota de rescate traducida: Archivo README_Obscura.txt Buen día Su empresa ha fallado en una simple prueba de penetración Su red ha sido completamente encriptada por nuestro software Hemos extraído todos los datos de su red incluidos NAS pasaportes de empleados documentación interna documentos financieros etc Tiene unas 240 horas para responder De no hacerlo toda la información será distribuida Si decide contactarnos estaremos dispuestos a negociar un precio de rescate Al pagar recibirá un informe de cómo nos infiltramos en su red instrucciones y software para descifrar los archivos y nuestra asistencia en la recuperación

Impacto estratégico y lecciones: Obscura confirma que los controladores de dominio son un objetivo prioritario porque comprometer NETLOGON facilita una propagación rápida y amplia. La visibilidad parcial y un despliegue limitado de agentes SOC reducen la capacidad de detección y respuesta. La nota de rescate y la eliminación de copias de seguridad buscan ejercer presión psicológica para forzar un pago. La profesionalización del ransomware se evidencia en el uso de Go, tareas programadas y técnicas combinadas.

Recomendaciones prácticas: implementar defensa en profundidad segmentación de red y monitorización exhaustiva de controladores de dominio; restringir y auditar el acceso al recurso NETLOGON y a SYSVOL; impedir la ejecución de binarios desde compartidos de dominio; desplegar EDR y agentes en toda la infraestructura para aumentar la visibilidad; asegurar copias de seguridad offline e inmutables; habilitar MFA en accesos administrativos; auditar y bloquear tareas programadas no aprobadas y monitorizar cambios en políticas de firewall y RDP.

Sobre Q2BSTUDIO: en Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en inteligencia artificial y ciberseguridad que ayuda a organizaciones a diseñar defensas proactivas y soluciones a medida. Ofrecemos servicios integrales que incluyen desarrollo de aplicaciones multiplataforma, auditorías de seguridad y pentesting, y soluciones de recuperación ante incidentes. Si necesita proteger entornos corporativos o desarrollar soluciones seguras y robustas podemos ayudarle con nuestro equipo experto en software a medida y seguridad. Descubra nuestras opciones de pruebas y hardening en servicios de ciberseguridad y pentesting y cómo desarrollamos aplicaciones seguras en software y aplicaciones a medida.

Servicios adicionales y posicionamiento: además de ciberseguridad ofrecemos inteligencia artificial e ia para empresas, servicios cloud aws y azure, servicios inteligencia de negocio y soluciones Power BI para mejorar la visibilidad y la respuesta operativa. Integramos agentes IA y automatización para reducir la superficie de ataque y acelerar la detección y respuesta ante amenazas.

Reflexión final: Obscura no es solo otra muestra de ransomware sino un recordatorio de que sin monitoreo profundo y segmentación adecuada los actores maliciosos pueden paralizar infraestructuras críticas. La comunidad debe vigilar nuevas muestras y tácticas y adoptar medidas que incluyan visibilidad completa de controladores de dominio, copias de seguridad seguras y políticas estrictas de ejecución en recursos compartidos.