(https://i.postimg.cc/nrzJyZqT/Ransomware.png) (https://postimg.cc/bDKWn7C2)
El servicio de ransomware como servicio (RaaS) RansomHouse ha actualizado recientemente su cifrador, pasando de una técnica lineal monofásica relativamente simple a un método multicapa más complejo.
En la práctica, estas mejoras ofrecen un cifrado más robusto, mayor velocidad y mejor fiabilidad en entornos modernos, lo que otorga a los ciberdelincuentes una mayor ventaja durante las negociaciones posteriores al cifrado.
RansomHouse se lanzó en diciembre de 2021 como una operación de ciberdelincuencia dedicada a la extorsión de datos, y posteriormente adoptó cifradores en sus ataques y desarrolló una herramienta automatizada llamada MrAgent para bloquear simultáneamente múltiples hipervisores VMware ESXi.
Recientemente, se informó que los ciberdelincuentes utilizaron varias familias de ransomware contra el gigante japonés del comercio electrónico Askul Corporation.
Un nuevo informe de los investigadores de Palo Alto Networks Unit 42 arroja más luz sobre el conjunto de herramientas de RansomHouse, incluida su última variante de cifrador, denominada «Mario».
Nuevo cifrador «Mario»
La última variante del cifrador de RansomHouse cambia de una transformación de datos de archivo de una sola pasada a una transformación de dos etapas que utiliza dos claves: una clave primaria de 32 bytes y una clave secundaria de 8 bytes.
Este enfoque aumenta la entropía del cifrado y dificulta la recuperación parcial de los datos.
'Mario' está generando las dos claves de cifrado
(https://www.bleepstatic.com/images/news/u/1220909/2025/December/keys.jpg)
La segunda mejora importante es la introducción de una nueva estrategia de procesamiento de archivos que utiliza un tamaño de fragmento dinámico con un umbral de 8 GB y cifrado intermitente.
Unit 42 afirma que esto dificulta el análisis estático debido a su naturaleza no lineal, el uso de algoritmos matemáticos complejos para determinar el orden de procesamiento y la aplicación de enfoques diferentes para cada archivo según su tamaño.
Otra mejora destacada en «Mario» es la optimización de la distribución de la memoria y la organización del búfer, así como una mayor complejidad, ya que ahora se utilizan varios búferes dedicados para cada etapa o función de cifrado.
Finalmente, la versión actualizada del cifrador ahora muestra información más detallada sobre el procesamiento de archivos en comparación con las versiones anteriores, que solo indicaban la finalización de la tarea.
Esta nueva variante sigue atacando archivos de máquinas virtuales y renombra los archivos cifrados con la extensión «.emario», dejando una nota de rescate (How To Restore Your Files.txt) en todos los directorios afectados.
Nota de rescate dejada por la última variante de RansomHouse
(https://www.bleepstatic.com/images/news/u/1220909/2025/December/mario.jpg)
Unit 42 concluye que la actualización del cifrado de RansomHouse es alarmante, lo que indica "una trayectoria preocupante en el desarrollo del ransomware", ya que dificulta el descifrado y complica el análisis estático y la ingeniería inversa.
RansomHouse es una de las operaciones de ransomware como servicio (RaaS) más longevas, aunque se mantiene en un nivel intermedio en cuanto a volumen de ataques. Su continuo desarrollo de herramientas avanzadas sugiere una estrategia calculada centrada en la eficiencia y la evasión, en lugar de en la expansión a gran escala.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/ransomhouse-upgrades-encryption-with-multi-layered-data-processing/