Ransomware Spirals: del acceso al cifrado en menos de 24 horas

AI Overview

El Threat Hunter Team de Symantec ha documentado una nueva familia de ransomware llamada Spirals que pasó del acceso inicial al robo de datos y al cifrado en menos de 24 horas. Antes de cifrar, el operador detuvo los servicios de 23 productos de copia de seguridad, bases de datos y virtualización. Symantec ha observado hasta ahora un solo caso y precisa que no está claro si Spirals se destina a un uso más amplio.

Juan Ricardo Palacio, cofundador de HelpRansomware

Juan Ricardo Palacio

Cofundador y CEO para las Américas, HelpRansomware

Ingeniero electrónico y cofundador de HelpRansomware, con más de 25 años en ciberseguridad, análisis forense digital y respuesta ante ransomware.

Un operador de ransomware no necesita semanas dentro de una red. En el caso documentado por Symantec le bastó menos de un dia.

Los investigadores del Threat Hunter Team de Symantec informan de que un nuevo actor llamado Spirals vulneró una empresa de servicios IT del sudeste asiático en junio de 2026, robó datos y cifró la red en menos de 24 horas. La entrada fue un servidor Internet Information Services expuesto en internet. Antes de la fase de cifrado, un payload de PowerShell desactivó Microsoft Defender y detuvo los servicios de 23 productos de copia de seguridad, bases de datos y virtualización, entre ellos Veeam, VMware, Hyper-V, SQL Server, Oracle y PostgreSQL. Symantec ha observado Spirals en un único caso.

Tu servicio de copia de seguridad es parte de la superficie de ataque

Spirals no tuvo que superar las copias de seguridad: las apagó. Un payload de PowerShell detuvo los servicios de 23 productos de copia de seguridad, bases de datos y virtualización antes de cifrar un solo archivo. Una copia que puede detenerse con credenciales de dominio no es una garantia de recuperación.

Lo que documentó Symantec

La cadena de intrusión segun la investigacion del Threat Hunter Team:

  • Acceso inicial a traves de un servidor Internet Information Services publicado en internet, seguido de un web shell ASP.NET.
  • Elusion del Control de cuentas de usuario, activacion del Escritorio remoto y creacion de una cuenta local para la persistencia.
  • Volcado del hive de registro SAM y de la memoria del proceso LSASS para extraer credenciales.
  • Uso de WMI para el movimiento lateral hacia más de una docena de sistemas, con revsocks, Chisel y tuneles de Cloudflare como acceso remoto redundante.

Las cifras del caso Spirals

24
horas del acceso inicial al cifrado
23
productos de backup, bases de datos y virtualización detenidos
12+
sistemas alcanzados con movimiento lateral via WMI
6
días antes de la publicacion amenazada de los datos

Todas las cifras proceden del análisis del Threat Hunter Team de Symantec sobre una única intrusión en una empresa de servicios IT del sudeste asiático en junio de 2026. Symantec señala que ha visto Spirals en un solo caso, por lo que aún no está claro si la familia está pensada para un despliegue criminal más amplio o si fue un payload a medida para este ataque concreto.

Cómo el payload se escondió a plena vista

El operador comenzó a desplegar el payload de ransomware en la red de la víctima usando PsExec ejecutado como SYSTEM. El payload se llamaba bitsadmin.exe, probablemente para hacerse pasar por la utilidad legítima de Windows asociada al Background Intelligent Transfer Service.

Threat Hunter Team de Symantec

Una intrusión de 24 horas, paso a paso

La velocidad es el rasgo definitorio de este caso. Comprimir toda la cadena en un solo dia elimina la ventana de respuesta que muchos planes dan por supuesta. A continuacion, la secuencia descrita por Symantec. Para el patrón general, mira cómo se desarrolla un ataque de ransomware.

Hora 0
Un servidor Internet Information Services expuesto en internet es comprometido y se sube un web shell ASP.NET.
Primeras horas
El operador elude el Control de cuentas de usuario, activa el Escritorio remoto y crea una cuenta local, y después vuelca el hive SAM y la memoria LSASS para obtener credenciales.
Fase intermedia
Se usa WMI para moverse lateralmente a más de una docena de sistemas, mientras revsocks, Chisel y tuneles de Cloudflare aportan acceso remoto redundante.
Antes del cifrado
Un payload de PowerShell desactiva Microsoft Defender, elimina sus definiciones y detiene los servicios de 23 productos de backup, bases de datos y virtualización.
Menos de 24 horas
PsExec despliega el payload como SYSTEM con el nombre bitsadmin.exe, los archivos se cifran y se fija un plazo de seis días para la publicacion.

Adónde fue el tiempo

El caso Spirals en cuatro cifras

Threat Hunter Team de Symantec, intrusión de junio de 2026

Grafico de barras que muestra 24 horas hasta el cifrado, 23 servicios detenidos, 12 sistemas alcanzados via WMI y un plazo de 6 días en el caso Spirals.

📊 Cómo leerlo: cada cifra procede de una única intrusión documentada por Symantec, no de una campaña. El hallazgo no es el volumen, es la velocidad.

Qué defiende frente a este patrón

Las contramedidas siguientes se corresponden con los pasos concretos observados por Symantec, no con el ransomware en general. Cada una cierra una brecha que este operador usó realmente.

Control Por qué importa frente a Spirals Brecha que cierra
Backup inmutable u offline El operador detuvo los servicios de 23 productos de backup y bases de datos Copias accesibles con credenciales de dominio
Inventario de activos expuestos La entrada fue un servidor IIS publicado en la web Servicios expuestos que nadie vigila
Proteccion antimanipulacion del EDR Un payload de PowerShell desactivó Defender y eliminó sus definiciones Seguridad que se puede apagar
Monitorizacion de salida y tuneles revsocks, Chisel y tuneles de Cloudflare dieron acceso redundante Canales de salida que parecen legítimos

Qué falla cuando la cadena es tan rápida

La mayoria de los planes de recuperación presupone tiempo para detectar, escalar y contener. Una cadena de menos de 24 horas elimina ese supuesto. Estos son los fallos que el caso Spirals deja al descubierto.

  • ⛔ Tratar la copia de seguridad como garantia de recuperación cuando el servicio de backup puede detenerse desde la misma red.
  • ⛔ Confiar solo en la detección en endpoint, mientras el operador desactiva Defender y elimina sus definiciones antes de cifrar.
  • ⛔ Planificar una ventana de respuesta de días, cuando toda la intrusión se cerró en menos de 24 horas.
  • ⛔ Dejar un servidor expuesto en internet sin saber que existe.
  • ⛔ Centrarse en restaurar archivos y olvidar el robo de datos, que igualmente activa los deberes de notificación.

Restaurar los archivos no deshace el robo de datos

Spirals exfiltró datos antes de cifrar y fijó un plazo de seis días para la publicacion. Incluso una restauración limpia desde backup deja la copia robada en manos del operador, con los deberes legales y reputacionales que eso conlleva. En España implica valorar la notificación a la AEPD en un plazo de 72 horas conforme al RGPD. Da el robo por seguro y planifica la via de notificación junto con la técnica.

Qué hacer esta semana

Ninguna de las acciones siguientes exige una nueva partida presupuestaria. Son las brechas concretas que usó esta intrusión, en el orden que reduce más rápido la exposicion. Para la lista completa, consulta la guía sobre cómo prevenir un ataque de ransomware.

  • ✅ Mantén al menos una copia de seguridad inmutable u offline, fuera del alcance de las credenciales de dominio.
  • ✅ Inventaria cada servicio expuesto en internet y elimina o parchea lo que no deba estar publicado.
  • ✅ Activa la protección antimanipulacion para que la seguridad endpoint no pueda desactivarse desde un host comprometido.
  • ✅ Genera alertas sobre PsExec, bitsadmin y creacion de procesos WMI vistos en varios hosts en poco tiempo.
  • ✅ Vigila utilidades de tunelización como revsocks y Chisel y los tuneles de Cloudflare no previstos.
  • ✅ Ensaya una restauración asumiendo que el servidor de backup ya está comprometido.

Symantec publicó los indicadores

El informe de Symantec incluye indicadores de red y hashes de archivo del ataque Spirals documentado, para que los defensores puedan buscar el patrón antes de que llegue a la fase de cifrado. Si estás gestionando un incidente activo, conserva la nota de rescate y una muestra cifrada antes de reinstalar cualquier máquina: es el punto de partida para recuperar archivos encriptados. Es también el punto de partida para recuperar archivos encriptados.


Fuentes

Juan Ricardo Palacio, cofundador de HelpRansomware

Juan Ricardo Palacio

Cofundador y CEO para las Américas, HelpRansomware

Juan Ricardo Palacio es ingeniero electrónico, empresario y especialista en telecomunicaciones, ciberseguridad y análisis forense digital, con más de 25 años de experiencia profesional. Como cofundador de HelpRansomware, trabaja en resiliencia cibernética, respuesta ante incidentes de ransomware, recuperación de datos, criptografía e ingeniería inversa, apoyando a empresas y organizaciones en incidentes digitales de alta criticidad.

📰 Mencionado y citado en Forbes Georgia, Business Insider Africa, LA Weekly e Il Sole 24 Ore.

📅 Última actualización: 16 de julio de 2026

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *