Desarrollo de Malware creando tu primer Ransomware Parte 1

 


La mayoría de las veces, cuando uno quiere enseñar cómo actúa un ransomware moderno en un entorno corporativo, se enfrenta a dos problemas: o usás un malware real y te arriesgás a contaminar el entorno (o peor, romper cosas por accidente), o usás algo tan simplificado que no sirve para aprender nada serio.

Este proyecto nació justamente de esa tensión. Necesitábamos mostrar a un equipo de operadores EDR cómo se comporta un ransomware como LockBit 3.0 en el mundo real, pero sin correr riesgos. Sin usar muestras reales, sin sandbox en la nube, y sin depender de entornos con Windows vulnerables. Solo una VM Ubuntu, código abierto, y algo de ingeniería.

Esto es lo que hicimos.

Por qué crear un ransomware falso

LockBit 3.0 es uno de los ransomware más sofisticados de los últimos años. Cifra archivos con AES y RSA, mata procesos, detecta VMs, exfiltra información, y presiona con doble extorsión. Todo eso está documentado en análisis como los de Zscaler o Kaspersky, pero ver ese comportamiento en vivo, sin poner en riesgo nada, es otro tema.

Las herramientas de formación disponibles o eran extremadamente básicas (simples rename de archivos), o eran tan avanzadas que usaban samples peligrosos que no queríamos ni ver de cerca.

Requisitos: realista pero seguro

Así que decidimos escribir nuestro propio simulador.

Lo que implementamos

El objetivo era lograr un equilibrio entre veracidad y seguridad. Queríamos un simulador que:

  • Cifrara archivos realmente, no solo los renombrara.

  • Tomara información del sistema, como una red local.

  • Simulara exfiltración de datos a un C2.

  • Mostrara una nota de rescate.

  • Pero sin dejar puertas abiertas, sin conexión a internet, sin persistencia.

Todo debía correr en una sola VM Ubuntu y poder ser revertido fácilmente.

En la imagen de arriba vemos el archivo con el codigo en C a la derecha y su pieza compilada a la izquierda.

Lo que implementamos

El simulador final, escrito en C, funciona así:

  1. Escanea el directorio actual buscando archivos .pdf, .xls, .txt, .csv, etc.

  2. Cifra el contenido de esos archivos usando AES-256 en modo CTR, con una clave fija embebida en el binario.

  3. Ejecuta arp -a para simular recolección de información de red.

  4. Guarda ese resultado en un archivo network_report.txt.

  5. Exfiltra ese archivo simuladamente a un host remoto por TCP, usando netcat.

  6. Muestra una nota de rescate en la terminal.

  7. Finaliza. Sin persistencia, sin conexiones reales.

El diseño sigue principios del NIST sobre entornos de entrenamiento aislado, y prácticas éticas recomendadas por la comunidad MITRE.



Fragmentos del Código que cree para este entrenamiento y que estará disponible en nuestro próximo curso de desarrollo de malware.




Pero vamos a lo que todos quieren ver...las pruebas:


La imagen nos muestra el código sin compilar y la muestra compilada.

A continuación veremos un pequeño GIF del momento exacto donde ejecutando la pieza se encriptan los archivos y en el escritorio aparecerá un documento txt con la lectura del comando arp -a.




En futuras entregas desarrollaré la lógica detrás del diseño mostrando parte por parte del código. Este tipo de técnicas avanzadas no se aprende con diapositivas, hay que meter las botas en el barro y picar código. Acá es donde se comprende la importancia de la programación en Ciberseguridad. Cualquiera puede correr Metasploit o usar MSFVenom y es fantástico no tiene nada de malo, pero hay una gran diferencia cuando sos capaz de generar tus propias herramientas o más allá aún, tu propio Malware.

Continuará...

Popular posts from this blog

El estado de la Criptografía Cuántica en 2025 - Parte I

Image
En 2025, la criptografía cuántica se encuentra en un momento clave. Por un lado, ya vemos que la Distribución Cuántica de Claves (QKD) empieza a consolidarse comercialmente en entornos muy específicos, donde la seguridad es crítica. Pero al mismo tiempo, persisten desafíos técnicos y estratégicos que siguen limitando su adopción a gran escala. En este artículo quiero repasar el estado actual de esta tecnología, poniendo especial atención al despliegue de redes QKD terrestres por parte de operadores, y al avance de la QKD satelital —particularmente impulsada por China— como una vía para asegurar comunicaciones a nivel global. Nature: Satellite-based entanglement distribution over 1200 kilometers Uno de los ejes centrales del análisis es la relación entre QKD y la Criptografía Post-Cuántica (PQC). Desde que el NIST publicó los primeros estándares de PQC en 2024, la industria ya cuenta con una hoja de ruta concreta, basada en soluciones de software, para proteger la mayoría de los sistema...
Read more

Desarrollo de Exploits - Buffer Overflow

Image
  El desbordamiento de búfer ( buffer overflow ) es una de las vulnerabilidades más conocidas en la programación en C. A pesar de su antigüedad, sigue siendo relevante y en este artículo vamos a ver un ejemplo concreto y simple de cómo esta vulnerabilidad puede modificar el comportamiento de un programa. También veremos cómo evitar este tipo de errores. El código vulnerable A continuación, les dejo un programita en C que contiene una vulnerabilidad por desbordamiento de búfer. Con un poco de humor, claro esta, porque nadie dijo que escribir en C tenía que ser aburrido. En este código, la variable  nombre  tiene espacio para 8 caracteres, y  control   es una variable entera que debería mantener su valor inicial (cero). El problema ocurre porque se usa la función  gets() , que no verifica el tamaño del input que se ingresa por teclado. Esto permite que un usuario escriba más caracteres de los que caben en  nombre , sobrescribiendo la memoria adyacente, ...
Read more

Por qué los "aspirantes a hackers" abandonan (y cómo evitarlo)

Image
Abrís un tutorial sobre exploits porque viste un video llamativo o leíste una historia espectacular, y enseguida te encontrás con código en C, dumps hexadecimales y ensamblador que parecen otro idioma.  Esa mezcla de fascinación y confusión es la escena más común: mucha gente llega directamente a la parte más vistosa del hacking sin que le hayan dado las herramientas para entenderla, y termina frustrada cuando no puede reproducir lo que vio o cuando los ejemplos no funcionan en su entorno. El problema tiene dos caras: algunos se sienten sobrepasados porque les faltan las bases que sostienen lo avanzado; otros se paralizan al ver todo lo que “deberían” saber antes de empezar y abandonan de una.  No es una cuestión de talento, sino de secuencia y método. En este post te voy a mostrar por qué la formación fundacional importa, cómo leer un mapa de aprendizaje que no intimide y qué pasos prácticos tomar si querés avanzar —por ejemplo hacia exploit dev— sin dejar los pedazos en el ...
Read more