Autores: Ilia Dafchev, Darrel Virtusio

Una nueva investigación ofrece la radiografía técnica más completa hasta la fecha sobre la evolución del ransomware Makop, una familia activa desde 2020 y derivada de Phobos. Aunque no se trata de una variante nueva, el informe aporta detalles inéditos sobre su funcionamiento actual y revela un hallazgo especialmente relevante: el primer uso documentado de Guloader para distribuir Makop, un cambio notable en la cadena de ataque de este grupo.

Guloader, conocido por propagar malware genérico, rara vez se había asociado a campañas de ransomware. Su despliegue en estos incidentes refleja una transición hacia modelos de distribución basados en loaders, alejándose de las implantaciones manuales vía RDP que Makop utilizaba históricamente.

Un arsenal consolidado y de bajo esfuerzo

El análisis describe cómo los operadores combinan técnicas tradicionales con herramientas ampliamente disponibles: compromisos de RDP, utilidades comerciales, antivirus killers, controladores vulnerables y un amplio abanico de exploits de escalada de privilegios que abarcan años de CVE conocidos. Esta consolidación crea un flujo de trabajo eficaz que requiere poca sofisticación, pero resulta altamente funcional para los atacantes.

La investigación también destaca un claro patrón regional. El 55 % de las víctimas identificadas se encuentran en India, donde Makop ha adaptado parte de su kit, incluso incorporando un desinstalador específico para el antivirus Quick Heal, uno de los más extendidos en ese mercado. Este ajuste geográfico ofrece pistas clave a defensores y analistas para comprender cómo los operadores personalizan sus ataques según el entorno de destino.

Amenaza alta y en expansión

El nivel de amenaza es calificado como alto, ya que el modus operandi de Makop refleja técnicas empleadas por gran parte de las familias actuales de ransomware. Organizaciones con RDP expuesto, controles de seguridad insuficientes o infraestructuras poco maduras se encuentran especialmente en riesgo.

Aunque India concentra la mayoría de los incidentes observados, también se han registrado casos en Brasil, Alemania y otras regiones, lo que confirma que el enfoque del grupo es oportunista. No atacan países concretos, sino redes vulnerables, independientemente de su ubicación. El riesgo, por tanto, es global.

¿A quién afecta?

La investigación es especialmente relevante para:

• Equipos de ciberseguridad, respuesta a incidentes y administradores de TI.
• Empresas —especialmente pymes— con servicios RDP expuestos públicamente o defensas débiles.
• Regiones con mayores índices de victimización, como India, pero también cualquier organización con brechas en su arquitectura de seguridad.

Un recordatorio del avance constante incluso entre actores de baja complejidad

La introducción de Guloader en la cadena de ataque demuestra que incluso actores considerados de baja sofisticación continúan evolucionando. Este tipo de innovaciones obliga a los defensores a seguir con atención estas campañas y a reforzar controles básicos, desde el cierre de RDP expuestos hasta la actualización de sistemas y la aplicación estricta de medidas de hardening.

La campaña de Makop subraya una vez más que, en el ecosistema del ransomware, la falta de medidas de seguridad elementales sigue siendo una de las principales puertas de entrada para los atacantes.