Una botnet de criptominación que ha estado activa desde 2019 ha agregado un probable ransomware generado por IA a sus operaciones. El nuevo análisis del equipo de Forticnapp, parte de Fortiguard Labs, ha identificado el primer incidente de una superposición entre el ransomware H2Miner y LCryx. El equipo descubrió este enlace durante una investigación sobre un clúster de servidores privados virtuales (VP) utilizado para minería de Monero (un tipo de criptomoneda). La investigación descubrió muestras asociadas con campañas anteriores de H2Miner que se documentaron en 2020 pero desde entonces se han actualizado con nuevas configuraciones. El equipo de Forticnapp también identificó una nueva variante del ransomware LCryx, denominado «LCrypt0RX». LCRYX es una cepa de ransomware basada en VBScript observada por primera vez en noviembre de 2024. Se evaluó que LCRYPT0RX carece de la sofisticación de familias de ransomware más avanzadas. Sin embargo, introduce técnicas distintas para la usabilidad del sistema degradación, la interferencia de la interfaz de usuario y los scripts integrados redundantes. También envuelve herramientas de piratería e infestadores disponibles comercialmente, ampliando su funcionalidad más allá del simple cifrado. Forticnapp dijo que la familia de ransomware exhibe varias características inusuales que sugieren que puede haberse generado utilizando IA. El ransomware LCryx generado por IA alberga varios defectos El equipo de Forticnapp dijo que han observado la creciente adopción de modelos de idiomas grandes (LLM) por parte de los actores de amenazas en los últimos años. Sin embargo, este método de desarrollo de ransomware ha llevado a algunos defectos críticos y un comportamiento ilógico dentro del script. Son estos indicadores los que han llevado al equipo a sospechar que la familia de ransomware LCRYX se generó utilizando IA. Por ejemplo, se repiten múltiples funciones en todo el script sin una razón clara, lo que sugiere la generación de código automatizado sin optimización. También hay evidencia de lógica de cifrado defectuoso, creación de objetos redundantes y sintaxis malformada dentro del ransomware. El script también lleva a cabo comportamientos ilógicos como intentar abrir archivos cifrados en el bloc de notas, que Forticnapp notó no tiene una función práctica y no tiene sentido operativo. Incluso la URL de la nota de rescate tiene errores. La dirección .onion en la nota de rescate (http: // lcryptordecrypt7xfzq5tclm9jzpwq72uofgy2znkdsxm54zbcu2yid[.]cebolla) no se ajusta a las especificaciones válidas de dirección TOR. Puede haber sido un marcador de posición durante una transición de los servicios de cebolla V2 a V3. También se muestra que la funcionalidad de desactivación antivirus es ineficaz, ya que los métodos para deshabilitar los productos antivirus de BitDefender y Kaspersky son incorrectos y probablemente son alucinaciones de LLM. Lea más sobre el uso de LLM para el desarrollo de malware: los ciberdelincuentes miran a Deepseek, Alibaba LLMS para el desarrollo de malware que examina la conexión H2Miner-Lcryx La superposición operativa entre H2Miner y LCRYX podría indicar la colaboración entre los operadores para maximizar la ganancia financiera. Sin embargo, hay otras posibilidades para la unión de la fuerza. Primero, los operadores de H2Miner también podrían haber desarrollado LCRYPT0RX para aumentar las ganancias. Alternativamente, los operadores H2Miner podrían estar reutilizando LCRYPT0RX para realizar operaciones mineras mientras cambian la culpa. El equipo de ForticNApp concluyó: «La campaña refleja una tendencia más amplia: la mercantilización del delito cibernético, donde el acceso a herramientas previas a la construcción, código generado por LLM y la infraestructura barata reduce la barrera de entrada, lo que permite que incluso los actores de baja calificación lanzaran campañas de alto impacto».