Sinobi
Sinobi es un grupo de ransomware que surgió a mediados de 2025 y rápidamente llamó la atención por su estilo operativo disciplinado y su madurez técnica.
El origen de Sinobi
El nombre del grupo es una referencia estilizada al término japonés shinobi («ninja»), que refleja el énfasis en el sigilo y la precisión durante las intrusiones. A pesar de esta marca temática, el análisis de inteligencia sobre amenazas atribuye a los operadores de Sinobi orígenes rusos o de Europa del Este, basándose en artefactos lingüísticos, patrones de actividad y comportamiento de evitación de objetivos.
Sinobi opera bajo un modelo cerrado e híbrido de ransomware como servicio (RaaS). Un pequeño equipo central se encarga del código base del ransomware, la infraestructura, los portales de negociación y las operaciones financieras, mientras que un grupo de afiliados cuidadosamente seleccionados lleva a cabo las intrusiones. A diferencia de los ecosistemas RaaS abiertos, Sinobi no recluta afiliados públicamente, ya que da prioridad a la seguridad operativa y la confianza frente a la rápida expansión.
Las múltiples coincidencias técnicas y de infraestructura indican que Sinobi es probablemente una nueva marca o sucesor directo del grupo de ransomware Lynx, que a su vez heredó el código del anterior ransomware INC. El cifrador Sinobi utiliza el mismo diseño criptográfico derivado de Babuk (Curve25519 ECDH combinado con AES-128-CTR), lo que indica la reutilización del código y la experiencia de los desarrolladores. En general, Sinobi representa una operación de ransomware motivada por intereses económicos, pero altamente profesional, más que un actor patrocinado por el Estado.
Países objetivo de Sinobi
La mayoría de las víctimas conocidas se encuentran en Estados Unidos, aunque también se ha observado actividad en Canadá, Reino Unido, Australia, Israel y algunas zonas de la región Asia-Pacífico. Sinobi evita sistemáticamente a las víctimas de Rusia y Europa del Este, una estrategia de autoprotección habitual entre los grupos de ciberdelincuentes de habla rusa.
Sectores a los que se dirige Sinobi
Sinobi se centra principalmente en organizaciones manufactureras y de producción industrial, seguidas de la construcción, la ingeniería, los servicios financieros, la sanidad y la educación. Estos sectores se eligen debido a su baja tolerancia al tiempo de inactividad y a las consecuencias normativas o reputacionales de la exposición de datos. El grupo evita las empresas muy pequeñas, probablemente debido al limitado potencial de rescate.
Las víctimas de Sinobi
Las víctimas suelen ser empresas medianas y grandes con ingresos anuales de entre 10 y 50 millones de dólares. En el tercer trimestre de 2025, se habían publicado aproximadamente 40 víctimas confirmadas en la infraestructura de filtración de Sinobi. No hay indicios de que se protejan determinados sectores, pero por lo general se evitan las entidades gubernamentales y las infraestructuras nacionales críticas para limitar la atención de las fuerzas del orden.
Método de ataque de Sinobi
Sinobi obtiene acceso inicial principalmente mediante el uso indebido de credenciales válidas, en la mayoría de los casos inicios de sesión VPN o RDP adquiridos a intermediarios de acceso inicial o recopilados a través de compromisos previos. Sinobi también lleva a cabo phishing para robar credenciales o desplegar malware explota activamente las vulnerabilidades de la infraestructura conectada a Internet, incluidos los dispositivos SSL-VPN de SonicWall y otros dispositivos perimetrales sin parches. En algunos casos, Sinobi aprovecha el acceso de terceros de confianza o de MSP para introducirse en los entornos de las víctimas.
Sinobi aumenta sus privilegios poco después del acceso inicial mediante el abuso de las capacidades administrativas integradas en Windows. Sinobi crea con frecuencia nuevas cuentas de administrador local o eleva las cuentas existentes para garantizar un control sin restricciones sobre los sistemas comprometidos.
Sinobi evade activamente la detección desactivando las herramientas de protección de los puntos finales, modificando las configuraciones del cortafuegos, borrando los registros y eliminando las copias de seguridad. Sinobi también perjudica los mecanismos de recuperación eliminando las instantáneas y reduciendo la visibilidad de la actividad del atacante.
Sinobi recopila credenciales de sistemas comprometidos para facilitar el movimiento lateral. Aunque no siempre se observan herramientas específicas, Sinobi se basa en gran medida en la reutilización de credenciales y el acceso administrativo ya presente en el entorno.
Sinobi lleva a cabo un exhaustivo reconocimiento interno utilizando scripts personalizados y comandos nativos del sistema. Sinobi enumera Active Directory, identifica usuarios con privilegios, mapea recursos compartidos de red, localiza herramientas de seguridad e identifica servidores de alto valor, como servidores de archivos, servidores de correo y sistemas de copia de seguridad.
Sinobi se mueve lateralmente por la red utilizando RDP y SMB, autenticándose con credenciales robadas o reutilizadas. Sinobi prefiere las técnicas de «vivir de la tierra», mezclando actividades maliciosas con tráfico administrativo legítimo para evitar levantar sospechas.
Sinobi recopila datos confidenciales antes del cifrado, incluidos documentos, bases de datos, archivos de correo electrónico y copias de seguridad. Sinobi da prioridad a la información que aumenta el poder de extorsión, como la propiedad intelectual, los datos de los clientes y los registros regulados.
Sinobi ejecuta la carga útil del ransomware manualmente o mediante una implementación mediante script una vez que se ha completado el acceso y la recopilación de datos suficientes. La ejecución suele producirse fuera del horario laboral para retrasar la detección y la respuesta.
Sinobi extrae los datos robados utilizando herramientas legítimas como Rclone o clientes FTP seguros. Sinobi transfiere los datos a través de canales cifrados, utilizando con frecuencia infraestructura basada en Tor o servicios web anónimos para ocultar los destinos.
Sinobi cifra los archivos utilizando criptografía avanzada, añade una extensión personalizada, elimina las instantáneas de volumen, termina los servicios críticos y deja notas de rescate en todo el entorno. Sinobi también cambia los fondos de escritorio para garantizar la visibilidad del ataque e inicia una doble extorsión amenazando con divulgar datos públicos si no se realiza el pago.
Sinobi obtiene acceso inicial principalmente mediante el uso indebido de credenciales válidas, en la mayoría de los casos inicios de sesión VPN o RDP adquiridos a intermediarios de acceso inicial o recopilados a través de compromisos previos. Sinobi también lleva a cabo phishing para robar credenciales o desplegar malware explota activamente las vulnerabilidades de la infraestructura conectada a Internet, incluidos los dispositivos SSL-VPN de SonicWall y otros dispositivos perimetrales sin parches. En algunos casos, Sinobi aprovecha el acceso de terceros de confianza o de MSP para introducirse en los entornos de las víctimas.
Sinobi aumenta sus privilegios poco después del acceso inicial mediante el abuso de las capacidades administrativas integradas en Windows. Sinobi crea con frecuencia nuevas cuentas de administrador local o eleva las cuentas existentes para garantizar un control sin restricciones sobre los sistemas comprometidos.
Sinobi evade activamente la detección desactivando las herramientas de protección de los puntos finales, modificando las configuraciones del cortafuegos, borrando los registros y eliminando las copias de seguridad. Sinobi también perjudica los mecanismos de recuperación eliminando las instantáneas y reduciendo la visibilidad de la actividad del atacante.
Sinobi recopila credenciales de sistemas comprometidos para facilitar el movimiento lateral. Aunque no siempre se observan herramientas específicas, Sinobi se basa en gran medida en la reutilización de credenciales y el acceso administrativo ya presente en el entorno.
Sinobi lleva a cabo un exhaustivo reconocimiento interno utilizando scripts personalizados y comandos nativos del sistema. Sinobi enumera Active Directory, identifica usuarios con privilegios, mapea recursos compartidos de red, localiza herramientas de seguridad e identifica servidores de alto valor, como servidores de archivos, servidores de correo y sistemas de copia de seguridad.
Sinobi se mueve lateralmente por la red utilizando RDP y SMB, autenticándose con credenciales robadas o reutilizadas. Sinobi prefiere las técnicas de «vivir de la tierra», mezclando actividades maliciosas con tráfico administrativo legítimo para evitar levantar sospechas.
Sinobi recopila datos confidenciales antes del cifrado, incluidos documentos, bases de datos, archivos de correo electrónico y copias de seguridad. Sinobi da prioridad a la información que aumenta el poder de extorsión, como la propiedad intelectual, los datos de los clientes y los registros regulados.
Sinobi ejecuta la carga útil del ransomware manualmente o mediante una implementación mediante script una vez que se ha completado el acceso y la recopilación de datos suficientes. La ejecución suele producirse fuera del horario laboral para retrasar la detección y la respuesta.
Sinobi extrae los datos robados utilizando herramientas legítimas como Rclone o clientes FTP seguros. Sinobi transfiere los datos a través de canales cifrados, utilizando con frecuencia infraestructura basada en Tor o servicios web anónimos para ocultar los destinos.
Sinobi cifra los archivos utilizando criptografía avanzada, añade una extensión personalizada, elimina las instantáneas de volumen, termina los servicios críticos y deja notas de rescate en todo el entorno. Sinobi también cambia los fondos de escritorio para garantizar la visibilidad del ataque e inicia una doble extorsión amenazando con divulgar datos públicos si no se realiza el pago.