El riesgo del ransomware: lecciones de la APT Nebula Jackal
Publicado el
Introducción
En un incidente que revela las vulnerabilidades de las empresas ante amenazas avanzadas persistentes (APT), IberLogix fue atacada por el ransomware Nebula Jackal. La madrugada del 4 de junio de 2026, a las 02:16, la compañía comenzó a sufrir un ataque que transformó sus documentos en datos ininteligibles, marcando el inicio de una crisis.
El ataque
Los primeros servidores en caer fueron los relacionados con archivos regionales. Estos no se apagaron ni mostraron pantallas de advertencia dramáticas; en su lugar, comenzaron a cifrar archivos, cambiando su extensión a .orchid, con nombres como Contrato_Marco_TransIber.pdf.orchid. En cada directorio afectado, se dejó una nota con el mensaje: "Your network has been encrypted by Nebula Jackal..." y se proporcionó un enlace oculto en la red Tor para negociar el rescate.
Nebula Jackal y OrchidLock
Desarrollado en Rust, el ransomware OrchidLock fue diseñado para ser altamente efectivo y personalizado. Cada versión distribuida a las víctimas estaba adaptada con información específica, incluyendo identificadores únicos y claves públicas. Este enfoque modular garantizaba un control preciso sobre el ataque, permitiendo cifrar archivos de manera selectiva y evitando interferencias en procesos críticos del sistema.
Estructura del ransomware
El ransomware aplicaba un cifrado híbrido para asegurar que los datos fueran inalcanzables. Utilizaba un sistema de claves que incluía una clave privada incapaz de ser incluida en el binario. Esto dificultaba aún más la recuperación de archivos sin pagar el rescate. Los archivos se cifraban en función de su tamaño y tipo, utilizando técnicas como el cifrado de fragmentos o el cifrado completo, dependiendo de la evaluación del ransomware.
Despliegue del ataque
El malware se introdujo en la red de IberLogix a través de diversas técnicas de infiltración. Se utilizaron scripts de inicio de GPO, accesos directos a través de PsExec/SMB, y paquetes de SCCM como métodos de entrega. Esto permitió que el ransomware se propagara rápidamente a través de la infraestructura de la empresa, cifrando archivos en múltiples servidores y estaciones de trabajo.
La negociación
A las 04:05, el CISO de IberLogix se vio obligado a abrir el portal de negociación en la red Tor. Este portal, más parecido a un servicio de software que a una plataforma de rescate, ofrecía funcionalidades como un chat, pruebas de archivos cifrados y detalles sobre los pagos. En este punto, la situación se tornó crítica, y la empresa debía decidir entre cumplir con las exigencias de los atacantes o intentar una recuperación compleja y arriesgada.
Conclusiones
El ataque a IberLogix pone de manifiesto la creciente sofisticación de las APT y el ransomware en el panorama de la ciberseguridad. Las empresas deben aprender de este incidente y adoptar medidas proactivas para fortalecer sus defensas. La implementación de estrategias de ciberseguridad robustas, la formación continua del personal y la realización de copias de seguridad efectivas son esenciales para mitigar el impacto de tales ataques. La lección más importante es que la prevención y la preparación deben ser prioridad para todas las organizaciones.