Barracuda full logo

Sinobi: El grupo de ransomware exclusivo y sofisticado que quiere ser un ninja

Temas:
18 nov 2025
|
Christine Barry

La marca de ransomware Sinobi surgió a mediados de 2025 y rápidamente se ha distinguido por intrusiones calculadas, una seguridad operativa disciplinada y una estructura profesional que revela operadores altamente capacitados y bien conectados.

Sinobi es una organización híbrida de ransomware como servicio (RaaS). Los miembros principales trabajan con afiliados bien seleccionados para mantener un control centralizado y una capacidad operativa distribuida. Las técnicas del grupo mejoran a medida que el grupo madura. Las operaciones de Sinobi se destacan por intrusiones silenciosas, herramientas modulares, objetivos selectivos y un fuerte énfasis tanto en el sigilo como en el apalancamiento. El grupo también es conocido por su uso extenso y sofisticado de living-off-the-land (LotL) y living-off-the-land binaries (LOLBins).

Aquí tienes un vistazo rápido a este grupo:

 

Característica

Descripción

Tipo de amenaza

Grupo híbrido RaaS que utiliza operadores internos y socios afiliados verificados para ataques de doble extorsión dirigidos.

Rasgo único

Cadena de intrusión modular, operaciones sofisticadas de LotL que se asemejan a técnicas de estados nación.

Objetivos

Organizaciones medianas y grandes de múltiples sectores en los Estados Unidos y países aliados.

Acceso inicial

Credenciales comprometidas, exploits de aplicaciones y acceso remoto, y compromiso de la cadena de suministro de terceros.

Método de extorsión

Exfiltración de datos y cifrado.

Sitio de filtración

“Sinobi”: Un sitio de filtraciones simple basado en TOR que lista víctimas, muestras de datos robados y un temporizador de cuenta regresiva. El grupo opera sitios de filtraciones y chat por separado, y ambos tienen espejos en la web clara.

 

Sitio de filtración de datos de Sinobi, a través de Ransomware.Live

Nombre y ubicación

La palabra Sinobi parece ser una referencia estilizada deliberada a 'shinobi', que es un término japonés antiguo para ninja. Las primeras comunicaciones internas en foros de la dark web mostraban a los afiliados usando frases como “entrar en silencio, salir en silencio”, reforzando la creencia de que la identidad de la marca está destinada a proyectar sigilo y precisión al estilo ninja.

A pesar del nombre de inspiración japonesa, los patrones de comunicación, las particularidades lingüísticas y las ventanas de actividad indican orígenes rusos y de Europa del Este. Las herramientas y negociaciones de Sinobi se llevan a cabo principalmente en ruso e inglés, sin evidencia de que hubiera afiliación estatal. Este es un grupo de ciberdelincuencia motivado financieramente que opera dentro de un ecosistema regional familiar. La investigación independiente de Rakesh Krishnan (The Raven File) respalda la ubicación de al menos una dirección IP en Rusia:

 

Investigación independiente de RAKESH KRISHNAN sitúa al menos un servidor Sinobi en Rusia.

Sinobi ofrece espejos en la web visible de sus sitios de filtración y chat en la dark web, pero la mayor parte de su infraestructura permanece en recursos basados en TOR, foros de la dark web y servicios de mensajería cifrada como Telegram. Esto dificulta la visualización y captura de las direcciones IP de los servidores de comando y control (C2).

Victimología, operaciones y modelo de negocio

Sinobi no parece estar alineado con intereses estatales ni con ninguna otra ideología. El grupo se centra en organizaciones con muy baja tolerancia al tiempo de inactividad o las filtraciones de datos. Los sectores manufacturero, de servicios empresariales, sanitario, financiero, educativo y otros han sido víctimas de Sinobi. El grupo rara vez se dirige a empresas más pequeñas, probablemente debido al bajo "retorno de la inversión (de ataque)".

 

Resumen de las víctimas del ataque Sinobi por sector, a través de MOXFIVE

No hay información pública disponible sobre regiones o industrias "protegidas". Sin embargo, Sinobi se enfoca abrumadoramente en entidades en los Estados Unidos, con un enfoque secundario en Canadá, Australia y países aliados. El grupo evita objetivos que podrían provocar una respuesta política o de las fuerzas del orden, particularmente agencias gubernamentales, servicios públicos y entidades en toda la región de Europa del Este.

Sinobi es diferente de los programas abiertos de RaaS que permiten a los afiliados registrarse o solicitar ser afiliados. El grupo se basa en una red privada y evaluada de especialistas que son conocidos por el grupo o son presentados por fuentes confiables. Este enfoque permite a Sinobi evitar actividades de reclutamiento como esta:

 

Publicación de reclutamiento de DragonForce RaaS en foro clandestino, a través de Specops

Debido a que Sinobi no recluta como otros grupos de RaaS, no hay una lista pública de reglas del grupo, requisitos para afiliados, objetivos prohibidos u otros detalles operativos. Esto reduce la exposición del grupo a la infiltración por parte de las fuerzas del orden y limita la inteligencia de código abierto (OSINT) disponible.

Los investigadores creen que los operadores principales de Sinobi mantienen el código del ransomware y la infraestructura basada en Tor, llevan a cabo negociaciones, gestionan los esquemas de lavado de dinero y "cobro", y hacen cumplir las reglas del grupo. Los afiliados llevan a cabo los ataques desde la intrusión hasta la implementación del ransomware. Esta división de responsabilidades se basa en patrones observados en las operaciones de Sinobi, notas de rescate, estructuras de portales y procesos de negociación. No hay confirmación pública de esto, y se desconoce la división de ingresos entre los miembros principales y los afiliados.

Cadena de ataque

Al igual que la mayoría de los grupos de amenazas de ransomware, la cadena de ataque de Sinobi comienza obteniendo acceso inicial al entorno de la víctima. Se ha observado que el grupo utiliza corredores de acceso inicial (IABs), ataques de phishing mediante kits de phishing comunes y explota VPNs vulnerables, dispositivos firewall o sistemas de acceso remoto como Citrix o Fortinet. Sinobi también utilizará un tercero comprometido y seguirá una cadena de suministro para infiltrarse en una víctima.

Los operadores de Sinobi siguen una cadena de ataque estándar que comparte muchos de los mismos patrones observados en RansomHub, ALPHV/BlackCat y otros grupos desde la filtración del ransomware Conti.

Una vez dentro del sistema, Sinobi comienza inmediatamente una intrusión hands-on-keyboard que utiliza tanto herramientas personalizadas como el abuso de living-off-the-land (LotL). Los actores de amenazas comienzan actividades de escalada de privilegios y evasión de seguridad, incluyendo la creación de nuevas cuentas de administrador, el ajuste de permisos y la desactivación de herramientas de seguridad de los endpoints. También comienzan a establecer persistencia configurando herramientas legítimas de acceso remoto.

Sinobi luego despliega un script de reconocimiento ligero que automatiza el movimiento lateral y lleva a cabo tareas adicionales de evasión de seguridad. El script está configurado para enumerar la información del dominio, localizar los recursos compartidos de archivos, identificar cuentas privilegiadas y comprobar la presencia de soluciones de seguridad en los endpoints que podrían interrumpir el ataque de ransomware.

La exfiltración de datos comienza una vez que el atacante ha completado el reconocimiento y ha configurado Rclone, WinSCP u otra herramienta de transferencia de archivos. Los datos se envían a almacenamiento en la nube u otra ubicación externa, y el binario de ransomware se ejecuta cuando esto se completa.

No hay un único nombre de archivo utilizado para el binario de ransomware, pero suele ser un nombre genérico u ofuscado como "bin.exe". Este archivo elimina la Papelera de reciclaje, cifra los archivos, agrega la extensión .SINOBI y deja la nota de rescate README.txt en cada directorio con archivos cifrados. Luego cambia el fondo de escritorio a una imagen que muestra el texto de la nota de rescate.

 

Inicio de la nota de rescate de Sinobi, a través de Ransomware.Live

Nota de rescate de Sinobi, vía Ransomware.Live

La nota de rescate incluye información sobre el proceso de comunicación y las URLs del sitio de filtración TOR. También incluye las URLs del sitio de filtración en la web pública. Puede ver la nota de rescate en su totalidad aquí.

En este punto, el afiliado de Sinobi permitirá que el grupo central se haga cargo y gestione las comunicaciones, fugas de datos, etc.

Extorsión y negociación

Sinobi comenzó como una operación de extorsión simple, pero a finales de 2024 pasó a un enfoque completo de doble extorsión utilizando un sitio de filtración alojado en Tor. Las víctimas son contactadas típicamente a través de la nota de rescate mencionada anteriormente. Si las víctimas no responden, Sinobi escala publicando muestras de datos y contactando a empleados o clientes. El grupo también amenazará a la empresa con exposición regulatoria bajo marcos como GDPR, HIPAA o requisitos de divulgación de la SEC.

Las negociaciones son gestionadas por un pequeño grupo de operadores principales que utilizan patrones de comunicación predefinidos y tácticas de presión adaptadas a la industria de la víctima y su postura regulatoria. El objetivo siempre es generar urgencia, no pánico: manipulación profesional en lugar de caos.

Amigos y familiares

La historia de Sinobi comienza a mediados de 2023 cuando un atacante conocido como INC ransomware surgió aparentemente de la nada. Se cree que INC es un grupo original sin linaje de otros atacantes. Operó como un grupo de ransomware como servicio hasta mayo de 2024, cuando fue puesto a la venta en foros clandestinos.

 

Publicación en el foro que ofrece el ransomware INC a la venta, a través de SOCRadar

Poco después de la (presunta) venta, el diseño del sitio de filtraciones de INC se cambió a este estilo:

 

Sitio de enlace de ransomware INC, a través de Bleeping Computer

La actividad de INC disminuyó y un nuevo grupo llamado Lynx surgió por esas mismas fechas. No hay confirmación de que los operadores de Lynx compraran el código fuente de INC, pero Lynx es claramente un sucesor de INC.

Tras un examen detenido... la superposición significativa en funciones compartidas sugiere fuertemente que los desarrolladores del ransomware Lynx han tomado prestada y reutilizado una parte considerable del código base de INC para crear su propio software malicioso. Vía Unit42

Lynx fue una amenaza activa y agresiva durante aproximadamente un año, y luego redujo sus actividades a mediados de 2025. El grupo sigue siendo una amenaza, pero su actividad declinó alrededor del momento en que Sinobi emergió en junio de 2025.

Se cree ampliamente que Sinobi es una marca renombrada, sucesora o derivada del ransomware Lynx. El diseño del sitio de filtraciones de Lynx es solo una de las pruebas que lo respaldan:

 

Captura de pantalla del sitio de enlaces de ransomware Lynx, a través de Fortinet

Se pueden ver las similitudes entre los sitios de filtración de INC, Lynx y Sinobi.

Más allá de esto, hay similitudes en la rutina de cifrado, victimología, metodología de doble extorsión y procedimientos operativos.

Sinobi aprovecha al máximo el ecosistema de amenazas. Compra rutinariamente acceso a IABs, alquila infraestructura a proveedores de alojamiento a prueba de balas, obtiene credenciales de mercados en la darknet y, ocasionalmente, se asocia con operadores de botnets para la distribución de phishing. Sus prácticas de lavado de dinero y cobro son indistinguibles de las utilizadas por Qilin y Akira.

Protéjase

Todos los indicios sugieren que Sinobi está en una trayectoria de crecimiento. A medida que el mercado del ransomware continúa fragmentándose y evolucionando, Sinobi está bien posicionado para expandir su base de afiliados, fortalecer sus herramientas y, potencialmente, añadir variantes dirigidas a Linux o VMware ESXi. Su profesionalismo discreto y su frecuencia moderada de publicación indican un grupo que prefiere ingresos sostenibles en lugar de un crecimiento explosivo, lo que puede ayudarles a evitar el destino de grupos de alto perfil que atraen la presión agresiva de las fuerzas del orden.

Sinobi representa una amenaza de ransomware avanzada y ágil. Las organizaciones pueden reducir significativamente el riesgo centrándose en la gestión de credenciales, la concienciación de los empleados, la supervisión proactiva y las inversiones continuas en flujos de trabajo de copia de seguridad, detección y respuesta. La prevención y la respuesta rápida son actualmente los medios más efectivos para defenderse contra esta amenaza.

Barracuda puede ayudarle

Maximice su protección y ciberresiliencia con la plataforma de ciberseguridad BarracudaONE impulsada por IA. La plataforma protege su correo electrónico, datos, aplicaciones y redes, y se fortalece con un servicio XDR gestionado 24 horas al día, 7 días a la semana, unificando sus defensas de seguridad y proporcionando detección y respuesta de amenazas profundas e inteligentes. Gestione la postura de seguridad de su organización con confianza, aprovechando la protección avanzada, análisis en tiempo real y capacidades de respuesta proactiva. Las herramientas de informes robustas proporcionan información clara y procesable, ayudándole a monitorear riesgos, medir el ROI y demostrar el impacto operativo. No pierda la oportunidad de obtener una demostración de la plataforma con nuestros expertos en ciberseguridad.

 

Soluciones de Barracuda para ransomware
Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Cybercrime in 2026: Faster, smarter and fully industrialized
Cybercrime in 2026: Faster, smarter and fully industrialized
 Going off message: CISA warns of sophisticated spyware attacks
Going off message: CISA warns of sophisticated spyware attacks
 El Informe de Impacto en el Consumidor del ITRC de 2025: Una nueva era del crimen de identidad
El Informe de Impacto en el Consumidor del ITRC de 2025: Una nueva era del crimen de identidad
 El ataque de ransomware en Nevada aporta lecciones sobre la resiliencia cibernética estatal
El ataque de ransomware en Nevada aporta lecciones sobre la resiliencia cibernética estatal
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.