{"id":169022,"date":"2025-12-10T07:24:11","date_gmt":"2025-12-10T15:24:11","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=169022"},"modified":"2025-12-19T08:33:39","modified_gmt":"2025-12-19T16:33:39","slug":"new-ransomware-01flip-written-in-rust","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/","title":{"rendered":"01flip: ransomware multiplataforma escrito en Rust"},"content":{"rendered":"<h2><a id=\"post-169022-_heading=h.9vqs8llm81e\"><\/a>Resumen ejecutivo<\/h2>\n<p>En junio de 2025, observamos una nueva familia de ransomware llamada 01flip que atacaba a un grupo limitado de v\u00edctimas en la regi\u00f3n Asia-Pac\u00edfico. El ransomware 01flip est\u00e1 escrito \u00edntegramente en el lenguaje de programaci\u00f3n Rust y es compatible con arquitecturas multiplataforma gracias a la funci\u00f3n de compilaci\u00f3n cruzada de Rust.<\/p>\n<p>Es probable que estos atacantes, motivados por intereses econ\u00f3micos, llevaran a cabo el ataque de forma manual. Hemos confirmado una supuesta filtraci\u00f3n de datos de una organizaci\u00f3n afectada en un foro de la web oscura poco despu\u00e9s del ataque. Actualmente estamos <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">rastreando esta actividad<\/a> como CL-CRI-1036, lo que significa un conjunto de actividades maliciosas que probablemente est\u00e9n relacionadas con la ciberdelincuencia.<\/p>\n<p>Nuestras principales conclusiones son las siguientes:<\/p>\n<ul>\n<li>Los atacantes con motivaciones econ\u00f3micas detr\u00e1s de CL-CRI-1036 utilizan el ransomware 01flip, una familia de ransomware recientemente observada y escrita \u00edntegramente en Rust.<\/li>\n<li>Este ransomware es compatible con una arquitectura multiplataforma, que incluye Windows y Linux.<\/li>\n<li>Un actor de amenazas potencialmente asociado con CL-CRI-1036 est\u00e1 ofreciendo datos a la venta en foros de la web oscura (probablemente robados con el ransomware 01flip).<\/li>\n<\/ul>\n<p>Aunque el impacto de CL-CRI-1036 es limitado en este momento, es probable que esta actividad est\u00e9 relacionada con supuestas filtraciones de datos.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas descritas gracias a los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 98.6014%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 212.208%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/rust-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Rust<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/sliver-es-la\/\" target=\"_blank\" rel=\"noopener\">Sliver<\/a><\/strong>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/category\/ransomware-es-la\/\" target=\"_blank\" rel=\"noopener\">Ransomware<\/a><\/strong>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/category\/cybercrime-es-la\/\" target=\"_blank\" rel=\"noopener\">Cybercrime<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-169022-_heading=h.sgsen1abd806\"><\/a>Antecedentes<\/h2>\n<p>A principios de junio de 2025, los investigadores de Unit 42 investigaron un ejecutable sospechoso de Windows. El ejecutable nos llam\u00f3 la atenci\u00f3n porque es un binario basado en Rust que mostraba un comportamiento similar al de un ransomware en nuestro entorno aislado.<\/p>\n<p><a href=\"https:\/\/github.com\/PaloAltoNetworks\/Unit42-timely-threat-intel\/blob\/main\/2025-06-24-IOCs-for-01flip-ransomware.txt\" target=\"_blank\" rel=\"noopener\">Nuestro an\u00e1lisis inicial<\/a> revel\u00f3 que se trata de una nueva familia de ransomware escrita \u00edntegramente en Rust, llamada \u201c01flip\u201d. Este nombre se basa en la extensi\u00f3n del archivo adjunto (<span style=\"font-family: 'courier new', courier, monospace;\">.01flip<\/span>) y la direcci\u00f3n de correo electr\u00f3nico (<span style=\"font-family: 'courier new', courier, monospace;\">01Flip@proton[.]me<\/span>) que se encuentra en la nota de rescate.<\/p>\n<p>Tras una investigaci\u00f3n m\u00e1s exhaustiva, descubrimos una <a href=\"https:\/\/www.virustotal.com\/gui\/file\/e5834b7bdd70ec904470d541713e38fe933e96a4e49f80dbfb25148d9674f957\/details\" target=\"_blank\" rel=\"noopener\">versi\u00f3n para Linux del ransomware 01flip<\/a>, que no hab\u00eda sido detectada en al menos tres meses desde que la muestra se envi\u00f3 inicialmente a VirusTotal.<\/p>\n<h2><a id=\"post-169022-_heading=h.kr1utzqvffh6\"><\/a>Descripci\u00f3n general de la campa\u00f1a<\/h2>\n<h3><a id=\"post-169022-_heading=h.i104k9tparhf\"><\/a>Victimolog\u00eda<\/h3>\n<p>En el momento de redactar este informe, hemos observado un n\u00famero m\u00ednimo de v\u00edctimas. Sin embargo, entre las v\u00edctimas de este ransomware se encuentran organizaciones responsables de infraestructuras sociales cr\u00edticas en el sudeste asi\u00e1tico.<\/p>\n<p>Tras una investigaci\u00f3n m\u00e1s exhaustiva, hemos encontrado <a href=\"https:\/\/www.bleepingcomputer.com\/forums\/t\/808867\/unknown-01flip-ext-ransomware-attack-zimbra-server\/\" target=\"_blank\" rel=\"noopener\">una publicaci\u00f3n en un foro de seguridad en l\u00ednea<\/a> de una presunta v\u00edctima del ransomware 01flip, en la que afirma que los atacantes hab\u00edan comprometido su servidor Zimbra, una soluci\u00f3n de correo electr\u00f3nico para empresas.<\/p>\n<p>Debido a la falta de informaci\u00f3n sobre las v\u00edctimas, suponemos que el uso del ransomware 01flip se encuentra en una fase muy temprana. Sin embargo, podr\u00eda haber varias v\u00edctimas en Filipinas y Taiw\u00e1n, seg\u00fan una publicaci\u00f3n en un foro de la web oscura que creemos que proviene de un actor de amenazas vinculado a CL-CRI-1036.<\/p>\n<h3><a id=\"post-169022-_heading=h.a0xt2tu8hl4h\"><\/a><strong>Acceso inicial<\/strong><\/h3>\n<p>La investigaci\u00f3n sobre una red de v\u00edctimas revel\u00f3 que el presunto atacante hab\u00eda estado intentando utilizar antiguos exploits, como <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2019-11580\" target=\"_blank\" rel=\"noopener\">CVE-2019-11580<\/a>, contra las aplicaciones conectadas a Internet desde principios de abril de 2025. A\u00fan no est\u00e1 claro c\u00f3mo los atacantes obtuvieron acceso a este sistema. Un mes despu\u00e9s, lograron implementar una versi\u00f3n para Linux de <a href=\"https:\/\/github.com\/BishopFox\/sliver\" target=\"_blank\" rel=\"noopener\">Sliver<\/a>, un marco de emulaci\u00f3n de adversarios multiplataforma disponible p\u00fablicamente y escrito en Go.<\/p>\n<h3><a id=\"post-169022-_heading=h.36uxkljay1jh\"><\/a><strong>Posexplotaci\u00f3n<\/strong><\/h3>\n<p>A finales de mayo de 2025, el actor de amenazas detr\u00e1s de CL-CRI-1036 realiz\u00f3 con \u00e9xito un movimiento lateral a otra m\u00e1quina Linux descargando otro implante Sliver, que era un implante con perfil <a href=\"https:\/\/github.com\/BishopFox\/sliver\/wiki\/Pivots\/d87b3e15111e7be50dd885be966c35bca629c626#tcp-pivots\" target=\"_blank\" rel=\"noopener\">TCP Pivot<\/a>. Una semana m\u00e1s tarde, confirmamos que los atacantes implementaron m\u00faltiples instancias del ransomware 01flip en muchos dispositivos de la red, incluidas m\u00e1quinas Windows y Linux.<\/p>\n<p>Los m\u00e9todos exactos que utilizaron los atacantes para implementar el ransomware tras el compromiso inicial siguen sin estar claros. Sin embargo, dada la r\u00e1pida distribuci\u00f3n del ransomware a m\u00faltiples dispositivos, es muy probable que los atacantes lleven a cabo las siguientes actividades, posiblemente a trav\u00e9s de Sliver y sus m\u00f3dulos:<\/p>\n<ul>\n<li>Reconocimiento pr\u00e1ctico<\/li>\n<li>Volcado de credenciales<\/li>\n<li>Movimiento lateral<\/li>\n<\/ul>\n<h2><a id=\"post-169022-_heading=h.5hqguk72u8uh\"><\/a>An\u00e1lisis t\u00e9cnico del ransomware 01flip<\/h2>\n<h3><a id=\"post-169022-_heading=h.t8nmhih8skbk\"><\/a><strong>An\u00e1lisis inicial<\/strong><\/h3>\n<p>A finales de octubre, observamos versiones del ransomware 01flip tanto para Windows como para Linux. La muestra del ransomware 01flip no est\u00e1 empaquetada ni muy ofuscada, a diferencia de otro malware utilizado por los ciberdelincuentes. Por lo tanto, podemos identificar f\u00e1cilmente que est\u00e1 compilada a partir del c\u00f3digo fuente Rust, debido a la extensi\u00f3n del archivo (.rs), como se muestra en la Figura 1.<\/p>\n<figure id=\"attachment_169023\" aria-describedby=\"caption-attachment-169023\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169023 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-870128-169022-1.png\" alt=\"Captura de pantalla que muestra una lista de rutas de archivos en un repositorio de c\u00f3digo relacionadas con diferentes versiones y componentes del programa. Las extensiones de los nombres de los archivos est\u00e1n resaltadas en amarillo.\" width=\"1000\" height=\"414\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-870128-169022-1.png 1388w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-870128-169022-1-786x325.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-870128-169022-1-768x318.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169023\" class=\"wp-caption-text\">Figura 1. Cadenas visibles relacionadas con Rust en la muestra del ransomware 01flip.<\/figcaption><\/figure>\n<p>En la Figura 2 se muestran las diferencias en los resultados obtenidos con <a href=\"https:\/\/github.com\/N0fix\/rustbininfo\" target=\"_blank\" rel=\"noopener\">rustbininfo<\/a> entre las muestras de las plataformas Windows y Linux. La herramienta rustbininfo genera una lista de dependencias (conocidas como \u201ccrates\u201d en Rust), que utilizamos para comparar las dos muestras.<\/p>\n<p>Aparte de las bibliotecas espec\u00edficas de la arquitectura, podemos ver que la versi\u00f3n de Rust, el hash de confirmaci\u00f3n y las versiones de las bibliotecas coinciden en su mayor parte. Por lo tanto, la mayor parte de la funcionalidad es id\u00e9ntica, pero tambi\u00e9n hemos observado algunas diferencias que describiremos m\u00e1s adelante.<\/p>\n<figure id=\"attachment_169034\" aria-describedby=\"caption-attachment-169034\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169034 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-873068-169022-2.png\" alt=\"Dos capturas de pantalla una al lado de la otra de muestras del ransomware 01flip, escritas principalmente en el lenguaje de programaci\u00f3n Rust. La muestra de la izquierda es Windows, con ciertas l\u00edneas resaltadas en rojo, y la de la derecha es Linux, con ciertas l\u00edneas resaltadas en verde. \" width=\"1000\" height=\"579\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-873068-169022-2.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-873068-169022-2-760x440.png 760w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-873068-169022-2-1210x700.png 1210w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-873068-169022-2-768x444.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-873068-169022-2-1536x889.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169034\" class=\"wp-caption-text\">Figura 2. En su mayor\u00eda, las mismas cajas utilizadas en las dos muestras de ransomware 01flip (izquierda: Windows, derecha: Linux).<\/figcaption><\/figure>\n<p>El compilador Rust suele generar un c\u00f3digo ensamblador m\u00e1s complejo que los compiladores C\/C++ tradicionales. Esta complejidad a\u00f1adida puede dificultar la ingenier\u00eda inversa del malware Rust a los analistas de malware. A pesar de ello, las funcionalidades del malware son sencillas y directas.<\/p>\n<h3><a id=\"post-169022-_heading=h.w32ygcl12pz3\"><\/a><strong>Funcionalidad del ransomware<\/strong><\/h3>\n<p>A continuaci\u00f3n se ofrece una descripci\u00f3n general del comportamiento del ransomware 01flip:<\/p>\n<ol>\n<li>Enumera todas las unidades posibles (por ejemplo, de la <span style=\"font-family: 'courier new', courier, monospace;\">A<\/span>: a la <span style=\"font-family: 'courier new', courier, monospace;\">Z<\/span>:).<\/li>\n<li>Crea notas de rescate, <span style=\"font-family: 'courier new', courier, monospace;\">RECOVER-YOUR-FILE.TXT<\/span>, en todos los directorios grabables.<\/li>\n<li>Cambia el nombre de los archivos que contienen extensiones espec\u00edficas con la siguiente convenci\u00f3n de nomenclatura: <span style=\"font-family: 'courier new', courier, monospace;\">&lt;ORIGINAL_FILENAME&gt;.&lt;UNIQUE_ID&gt;.&lt;0 o 1&gt;.01flip<\/span>.<\/li>\n<li>Cifra los archivos con AES-128-CBC y RSA-2048.<\/li>\n<li>Se elimina a s\u00ed mismo.<\/li>\n<\/ol>\n<h4><a id=\"post-169022-_heading=h.t7n4uoszc7yh\"><\/a>T\u00e9cnicas de evasi\u00f3n de la defensa<\/h4>\n<p>El ransomware 01flip emplea varias t\u00e9cnicas de evasi\u00f3n. Por ejemplo, tanto la versi\u00f3n para Linux como la versi\u00f3n para Windows est\u00e1n dise\u00f1adas para utilizar API de bajo nivel o llamadas al sistema en la medida de lo posible, ya que este tipo de actividad es menos probable que destaque entre la actividad normal del sistema operativo. En la Figura 3 se muestra un ejemplo de API nativas utilizadas en nuestra muestra de la versi\u00f3n para Windows del ransomware 01flip.<\/p>\n<figure id=\"attachment_169045\" aria-describedby=\"caption-attachment-169045\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169045 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-878371-169022-3.png\" alt=\"Captura de pantalla que muestra dos filas de datos.\" width=\"1000\" height=\"82\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-878371-169022-3.png 1366w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-878371-169022-3-786x64.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-878371-169022-3-768x63.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169045\" class=\"wp-caption-text\">Figura 3. Ejemplo de API nativas de bajo nivel utilizadas para leer\/escribir archivos en la versi\u00f3n de Windows.<\/figcaption><\/figure>\n<p>Adem\u00e1s, la mayor\u00eda de las cadenas definidas por el usuario en el c\u00f3digo del ransomware est\u00e1n codificadas. Estas cadenas se decodifican en tiempo de ejecuci\u00f3n:<\/p>\n<ul>\n<li>El contenido de la nota de rescate<\/li>\n<li>El nombre del archivo de la nota de rescate<\/li>\n<li>La lista de extensiones<\/li>\n<li>La clave p\u00fablica RSA<\/li>\n<\/ul>\n<p>El algoritmo decodifica cada cadena codificada realizando una operaci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">SUB<\/span> cada dos bytes, como se muestra a continuaci\u00f3n.<\/p>\n<pre class=\"lang:default decode:true\">from more_itertools import chunked\r\n\r\ndef decrypt_string(enc: bytes) -&gt; str:\r\n\r\nreturn ''.join(chr(chunk[0] - chunk[1]) for chunk in chunked(enc, 2))<\/pre>\n<p>Las cadenas codificadas se incrustan en la secci\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">.text<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">.data<\/span> de la variante de Windows en funci\u00f3n de su longitud. En la Figura 4 se muestra c\u00f3mo el ransomware 01flip decodifica la plantilla de la nota de rescate.<\/p>\n<figure id=\"attachment_169056\" aria-describedby=\"caption-attachment-169056\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169056 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-880525-169022-4.png\" alt=\"Captura de pantalla de una computadora que muestra una nota de ransomware en una interfaz de l\u00ednea de comandos, con una direcci\u00f3n de correo electr\u00f3nico proporcionada para contacto. Encima de la nota hay un bloque de c\u00f3digo binario. \" width=\"1000\" height=\"556\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-880525-169022-4.png 1348w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-880525-169022-4-786x437.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-880525-169022-4-1258x700.png 1258w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-880525-169022-4-768x427.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169056\" class=\"wp-caption-text\">Figura 4. C\u00f3mo 01flip ransomware descodifica la nota de rescate almacenada con su binario.<\/figcaption><\/figure>\n<p>T\u00e9cnicas como invocar llamadas al sistema y cadenas codificadas no son una estrategia de evasi\u00f3n eficaz por s\u00ed solas. Dado que la muestra del ransomware 01flip que hemos analizado funciona seg\u00fan lo previsto en un entorno sandbox, sigue siendo relativamente f\u00e1cil de detectar.<\/p>\n<p>La mayor\u00eda de los ransomware son relativamente sencillos y ruidosos. Sin embargo, algunas de las muestras de ransomware 01flip implementan una t\u00e9cnica anti-sandbox sencilla que consiste en comprobar si el nombre del archivo contiene la cadena <span style=\"font-family: 'courier new', courier, monospace;\">01flip<\/span>. Si el nombre del archivo de la muestra contiene la cadena <span style=\"font-family: 'courier new', courier, monospace;\">01flip<\/span>, el ransomware procede a <a href=\"https:\/\/attack.mitre.org\/techniques\/T1070\/\" target=\"_blank\" rel=\"noopener\">eliminar el indicador<\/a> sin realizar el cifrado del archivo.<\/p>\n<h4><a id=\"post-169022-_heading=h.mtf1n0u6hpz5\"><\/a>Cifrado de datos<\/h4>\n<p>El ransomware 01flip deja notas de rescate en todos los directorios grabables antes de cifrar los archivos. Estas notas de rescate contienen informaci\u00f3n de contacto y datos cifrados necesarios para obtener una clave que permita descifrar los archivos de la v\u00edctima, tal y como se muestra en la Figura 5.<\/p>\n<figure id=\"attachment_169067\" aria-describedby=\"caption-attachment-169067\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169067 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-883485-169022-5.png\" alt=\"Pantalla de computadora que muestra una nota de ransomware titulada \u00abRECOVER-YOUR-FILES.TXT\u00bb en un software de edici\u00f3n de texto. La nota incluye instrucciones para no reiniciar la computadora, un correo electr\u00f3nico de contacto \u00abmp@proton.me\u00bb para obtener la clave de descifrado y una direcci\u00f3n de sesi\u00f3n para comunicarse. Parte de la informaci\u00f3n se ha ocultado por motivos de seguridad. \" width=\"1000\" height=\"340\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-883485-169022-5.png 1894w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-883485-169022-5-786x267.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-883485-169022-5-768x261.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-883485-169022-5-1536x522.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169067\" class=\"wp-caption-text\">Figura 5. Ejemplo de una nota de rescate 01flip.<\/figcaption><\/figure>\n<p>El ransomware 01flip excluye del cifrado los archivos con extensiones espec\u00edficas. La lista de extensiones excluidas del cifrado se encuentra en el <a href=\"#post-169022-_heading=h.omux98q2lhz2\" target=\"_blank\" rel=\"noopener\">Ap\u00e9ndice A<\/a>. Por \u00faltimo, 01flip cifra los archivos utilizando el algoritmo de cifrado AES. La clave de sesi\u00f3n utilizada para la actividad de cifrado de archivos del ransomware est\u00e1 a su vez cifrada mediante una clave p\u00fablica RSA incrustada. En la Figura 6 se muestra un ejemplo de esta clave RSA.<\/p>\n<figure id=\"attachment_169078\" aria-describedby=\"caption-attachment-169078\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169078 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-886254-169022-6.png\" alt=\"Imagen que muestra un fragmento de texto criptogr\u00e1fico con fondo azul, en concreto una clave p\u00fablica que comienza con \u00abBEGIN PUBLIC KEY\u00bb y termina con \u00abEND PUBLIC KEY\u00bb.\" width=\"1000\" height=\"238\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-886254-169022-6.png 1292w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-886254-169022-6-786x187.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-886254-169022-6-768x183.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169078\" class=\"wp-caption-text\">Figura 6. Clave p\u00fablica RSA de la muestra del ransomware 01flip.<\/figcaption><\/figure>\n<p>Los archivos cifrados se renombran con la convenci\u00f3n de nomenclatura espec\u00edfica <span style=\"font-family: 'courier new', courier, monospace;\">&lt;ORIGINAL_FILENAME&gt;.&lt;UNIQUE_ID&gt;.&lt;0 o 1&gt;.01flip<\/span>, como se muestra en la Figura 7.<\/p>\n<figure id=\"attachment_169089\" aria-describedby=\"caption-attachment-169089\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169089 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-889174-169022-7.png\" alt=\"Captura de pantalla de una ventana del explorador de archivos de una computadora que muestra tres archivos: un archivo de imagen con el nombre; un archivo de texto titulado \u00abRECOVER-YOUR-FILE.TXT\u00bb; y otro archivo de imagen.\" width=\"1000\" height=\"238\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-889174-169022-7.png 1050w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-889174-169022-7-786x187.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-889174-169022-7-768x183.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169089\" class=\"wp-caption-text\">Figura 7. Ejemplo de nombres de archivos cifrados en un entorno Windows infectado con el ransomware 01flip.<\/figcaption><\/figure>\n<h4><a id=\"post-169022-_heading=h.5ue97x70yo6e\"><\/a>Extracci\u00f3n del indicador<\/h4>\n<p>Tras completar el cifrado, el ransomware 01flip intenta eliminar cualquier rastro de s\u00ed mismo para evitar que pueda recuperarse desde un host infectado. Las variantes de Windows y Linux invocan los siguientes comandos, respectivamente, tras sustituir <span style=\"font-family: 'courier new', courier, monospace;\">${self_name}<\/span> por su nombre de archivo actual.<\/p>\n<pre class=\"lang:default decode:true\"># Windows\r\n\r\nping 127.0.0.7 -n 5 &gt; Nul &amp; fsutil file setZeroData offset=0 length=4194303 ${self_name} &gt; Nul &amp; Del \/f \/q ${self_name}<\/pre>\n<pre class=\"lang:default decode:true \"># Linux\r\n\r\nsleep 5 &amp;&amp; dd if=\/dev\/urandom of=${self_name} bs=1M count=4 &gt; \/dev\/null 2&gt;&amp;1 &amp;&amp; rm ${self_name} &gt; \/dev\/null 2&gt;&amp;1<\/pre>\n<h2><a id=\"post-169022-_heading=h.yu8z6ad1jffi\"><\/a>Posible atribuci\u00f3n<\/h2>\n<h3><a id=\"post-169022-_heading=h.xxcp0p6gj172\"><\/a><strong>Actividad de los atacantes<\/strong><\/h3>\n<p>Los atacantes responsables de esta campa\u00f1a han exigido hasta ahora un bitcoin (BTC) por descifrar los archivos. La comunicaci\u00f3n con los atacantes se lleva a cabo a trav\u00e9s de un correo electr\u00f3nico seguro o un canal de mensajer\u00eda privado. En la Figura 8 se muestra un ejemplo de la demanda a trav\u00e9s del texto del canal de mensajer\u00eda.<\/p>\n<p>A finales de octubre, los atacantes responsables de CL-CRI-1036 no parecen operar un sitio de doble extorsi\u00f3n como los que se ven habitualmente en los grupos recientes de ransomware como servicio (RaaS).<\/p>\n<figure id=\"attachment_169100\" aria-describedby=\"caption-attachment-169100\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169100 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-891355-169022-8.png\" alt=\"Texto solicitando una transferencia de 1 Bitcoin a una direcci\u00f3n borrosa sobre un fondo oscuro.\" width=\"1000\" height=\"228\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-891355-169022-8.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-891355-169022-8-786x179.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-891355-169022-8-1920x437.png 1920w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-891355-169022-8-768x175.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-891355-169022-8-1536x350.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169100\" class=\"wp-caption-text\">Figura 8. Mensaje de los atacantes en un canal de mensajer\u00eda privada.<\/figcaption><\/figure>\n<p>Una investigaci\u00f3n m\u00e1s exhaustiva revel\u00f3 una supuesta filtraci\u00f3n de datos de la organizaci\u00f3n afectada en un foro de la web oscura publicada al d\u00eda siguiente de la implementaci\u00f3n del ransomware. En la Figura 9 se muestra esta publicaci\u00f3n. Aunque no pudimos verificar la legitimidad de la publicaci\u00f3n, los datos parecen ser cre\u00edbles seg\u00fan las reacciones positivas de otros usuarios del foro.<\/p>\n<figure id=\"attachment_169111\" aria-describedby=\"caption-attachment-169111\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169111 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-894126-169022-9.png\" alt=\"Captura de pantalla de un foro de la dark web en la que se han ocultado o difuminado parte del t\u00edtulo de una publicaci\u00f3n y la informaci\u00f3n que identifica al autor. La captura de pantalla hace referencia a fugas de datos. \" width=\"1000\" height=\"330\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-894126-169022-9.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-894126-169022-9-786x259.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-894126-169022-9-1920x633.png 1920w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-894126-169022-9-768x253.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-894126-169022-9-1536x506.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169111\" class=\"wp-caption-text\">Figura 9. Publicaci\u00f3n sobre la supuesta filtraci\u00f3n de datos en un foro de la web oscura.<\/figcaption><\/figure>\n<p>Aunque el usuario que public\u00f3 este mensaje est\u00e1 registrado en este foro desde abril de 2023, solo hemos podido confirmar tres publicaciones desde junio de 2025. El mensaje indica que tambi\u00e9n se atac\u00f3 a v\u00edctimas en Taiw\u00e1n y Filipinas. El nombre de usuario en s\u00ed no es especialmente \u00fanico, pero hemos confirmado que un usuario de habla rusa con el mismo nombre de usuario lleva vendiendo datos y acceso a la red en el conocido foro de la web oscura XSS desde 2020.<\/p>\n<p>Cabe destacar que el ransomware 01flip no puede extraer datos, por lo que la \u00fanica conexi\u00f3n entre este usuario y 01flip es la v\u00edctima.<\/p>\n<h3><a id=\"post-169022-_heading=h.ypiscpvotc80\"><\/a><strong>\u00bfPosible solapamiento con LockBit?<\/strong><\/h3>\n<p>Durante nuestro an\u00e1lisis del ransomware 01flip, descubrimos que hay una extensi\u00f3n particularmente interesante en la lista de extensiones de archivo excluidas del cifrado, que es <span style=\"font-family: 'courier new', courier, monospace;\">lockbit<\/span>, como se muestra en la Figura 10.<\/p>\n<figure id=\"attachment_169122\" aria-describedby=\"caption-attachment-169122\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169122 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-897002-169022-10.png\" alt=\"Captura de pantalla del c\u00f3digo ensamblador, en la que se muestran varias declaraciones de datos y comentarios en un IDE con fondo azul.\" width=\"600\" height=\"750\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-897002-169022-10.png 816w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-897002-169022-10-352x440.png 352w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-897002-169022-10-560x700.png 560w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-897002-169022-10-768x960.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-169122\" class=\"wp-caption-text\">Figura 10. Extensi\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">Lockbit<\/span> en la lista de extensiones de archivo excluidas del cifrado por la muestra del ransomware 01flip.<\/figcaption><\/figure>\n<p>Evitar el cifrado de archivos con la extensi\u00f3n <span style=\"font-family: 'courier new', courier, monospace;\">lockbit<\/span> implica una posible coincidencia entre el actor de amenazas detr\u00e1s de CL-CRI-1036 y el grupo detr\u00e1s del ransomware LockBit, al que seguimos como Flighty Scorpius. Sin embargo, aparte de este extra\u00f1o fragmento de c\u00f3digo, no encontramos ninguna otra conexi\u00f3n entre estas dos familias de ransomware.<\/p>\n<h2><a id=\"post-169022-_heading=h.1x2kblicq2ve\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Hemos descrito una actividad emergente, que actualmente seguimos como CL-CRI-1036, en la que atacantes con motivaciones econ\u00f3micas utilizaron un nuevo ransomware basado en Rust llamado 01flip. Esta actividad pone de relieve los retos a los que se enfrentan los defensores frente a los atacantes que utilizan lenguajes de programaci\u00f3n modernos en el desarrollo de malware. Seg\u00fan nuestro an\u00e1lisis, esta campa\u00f1a parece estar en sus primeras fases y podr\u00eda estar relacionada con una supuesta filtraci\u00f3n de datos en un foro de la web oscura.<\/p>\n<h3><a id=\"post-169022-_heading=h.m5q7oigq7s73\"><\/a><strong>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/strong><\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n<ul>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\">Cortex XDR<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\">XSIAM <\/a>ayudan a prevenir las amenazas descritas en este blog mediante el uso del motor <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">de prevenci\u00f3n de malware<\/a>. Este enfoque combina varias capas de protecci\u00f3n, entre las que se incluyen <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">WildFire<\/a>, Behavioral Threat Protection y el m\u00f3dulo Local Analysis, para evitar que el malware conocido y desconocido cause da\u00f1os a los terminales.<\/li>\n<\/ul>\n<p>Adem\u00e1s, el <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-3.x-Documentation\/Endpoint-protection-capabilities\" target=\"_blank\" rel=\"noopener\">m\u00f3dulo Anti-Ransomware<\/a> permite a Cortex XDR proteger contra actividades basadas en el cifrado asociadas con el ransomware, para ayudar a analizar y detener el ransomware antes de que se produzca cualquier p\u00e9rdida de datos.<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> puede ayudar a detectar instancias de software inseguro conectadas a Internet, como Atlassian Crowd Server, que se se\u00f1al\u00f3 como explotado por CVE-2019-11580 y que dio lugar al acceso inicial.<\/li>\n<\/ul>\n<p>Cortex Xpanse cuenta con una <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XPANSE\/2\/Cortex-Xpanse-Expander-User-Guide\/Attack-surface-rules\" target=\"_blank\" rel=\"noopener\">regla de superficie de ataque<\/a> para \u00abAtlassian Crowd Server inseguro\u00bb destinada a identificar este ejemplo, as\u00ed como muchas otras detecciones listas para usar para aplicaciones con vulnerabilidades RCE que resultan atractivas para los operadores de ransomware.<\/p>\n<p>Todas las detecciones de Cortex Xpanse tambi\u00e9n est\u00e1n disponibles en Cortex XSIAM como parte del complemento Attack Surface Management (ASM).<\/p>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00 800 050 45107<\/li>\n<li>Corea del Sur: +82.080.467.8774<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-169022-_heading=h.2ksfq7c2ti5a\"><\/a>Indicadores de vulneraci\u00f3n (IoC)<\/h2>\n<h3><a id=\"post-169022-_heading=h.k448ppgjdxqz\"><\/a><strong>Muestras de elementos malintencionados<\/strong><\/h3>\n<p><strong>Versi\u00f3n para Windows del ransomware 01flip<\/strong><\/p>\n<ul>\n<li>Hash SHA-256: <span style=\"font-family: 'courier new', courier, monospace;\">6aad1c36ab9c7c44350ebe3a17178b4fd93c2aa296e2af212ab28d711c0889a3<\/span><\/li>\n<li>Tama\u00f1o de archivo: 741,888\u00a0bytes<\/li>\n<li>Tipo de archivo: Ejecutable PE32+ (GUI) x86-64 (despojado a PDB externo), para MS Windows<\/li>\n<\/ul>\n<p><strong>Versi\u00f3n para Linux del ransomware 01flip<\/strong><\/p>\n<ul>\n<li>Hash SHA-256: <span style=\"font-family: 'courier new', courier, monospace;\">e5834b7bdd70ec904470d541713e38fe933e96a4e49f80dbfb25148d9674f957<\/span><\/li>\n<li>Tama\u00f1o de archivo: 948,640\u00a0bytes<\/li>\n<li>Tipo de archivo: Ejecutable ELF de 64 bits LSB, x86-64, versi\u00f3n 1 (SYSV), vinculado est\u00e1tico, despojado<\/li>\n<\/ul>\n<p><strong>Baliza Linux Sliver, pivote TCP como C2<\/strong><\/p>\n<ul>\n<li>Hash SHA-256: <span style=\"font-family: 'courier new', courier, monospace;\">ba41f0c7ea36cefe7bc9827b3cf27308362a4d07a8c97109704df5d209bce19<\/span>1<\/li>\n<li>Tama\u00f1o de archivo: 13,414,400\u00a0bytes<\/li>\n<li>Tipo de archivo: Ejecutable ELF de 64 bits LSB, x86-64, versi\u00f3n 1 (SYSV), vinculado est\u00e1ticamente, despojado<\/li>\n<\/ul>\n<h2><a id=\"post-169022-_heading=h.omux98q2lhz2\"><\/a>Ap\u00e9ndice: Lista de exclusi\u00f3n de cifrado<\/h2>\n<h3><a id=\"post-167849-_aa59xynch83p\"><\/a>A-L<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">01flip<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">386<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Idf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Ink<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">adv<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ani<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">apk<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">app<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bat<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bin<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cab<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cmd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cpl<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">cur<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">deb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">deskthemepack<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">diagcab<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">diagcfg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">diagpkg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dmg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">dmp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">drv<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">encrypt<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">exe<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fnt<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">fon<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">gadget<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hlp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hta<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">icl<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">icns<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ico<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ics<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">idx<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ini<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ipa<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">iso<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">key<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">la<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">lnk<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">lock<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">lockbit<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167849-_krc1yk4cl0b0\"><\/a>M-Z<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mod<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mp3<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mp4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">mpa<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msi<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msstyles<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">msu<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">nls<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">nomedia<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">o<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ocx<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">otf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">part<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pdb<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pif<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">prf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ps1<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">reg<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">rom<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">rpd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">rtp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">scr<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sfcache<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">shs<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">so<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">spl<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sys<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">theme<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">themepack<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tmp<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ttf<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">wad<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">wav<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">winmd<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">wma<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">woff<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">wpx<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">xex<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>01flip es una nueva familia de ransomware escrita \u00edntegramente en Rust. La actividad relacionada con 01flip apunta a supuestas filtraciones de datos en la dark web.<\/p>\n","protected":false},"author":366,"featured_media":167860,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8739,8838,8811],"tags":[9849,9854,9193,9850,9851,9852,9853,9781],"product_categories":[8925,8921,8932,8934,8937,8935,8890,8947],"coauthors":[9426],"class_list":["post-169022","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybercrime-es-la","category-threat-research-es-la","category-ransomware-es-la","tag-bitcoin-es-la","tag-cl-cri-103-es-la","tag-cryptocurrency-es-la","tag-forums-es-la","tag-linux-es-la","tag-rust-es-la","tag-sliver-es-la","tag-windows-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xpanse-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la","product_categories-unit-42-ransomware-readiness-assessment-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>01flip: ransomware multiplataforma escrito en Rust<\/title>\n<meta name=\"description\" content=\"01flip es una nueva familia de ransomware escrita \u00edntegramente en Rust. La actividad relacionada con 01flip apunta a supuestas filtraciones de datos en la dark web.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"01flip: ransomware multiplataforma escrito en Rust\" \/>\n<meta property=\"og:description\" content=\"01flip es una nueva familia de ransomware escrita \u00edntegramente en Rust. La actividad relacionada con 01flip apunta a supuestas filtraciones de datos en la dark web.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-12-10T15:24:11+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-19T16:33:39+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Hiroaki Hara\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"01flip: ransomware multiplataforma escrito en Rust","description":"01flip es una nueva familia de ransomware escrita \u00edntegramente en Rust. La actividad relacionada con 01flip apunta a supuestas filtraciones de datos en la dark web.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/","og_locale":"es_LA","og_type":"article","og_title":"01flip: ransomware multiplataforma escrito en Rust","og_description":"01flip es una nueva familia de ransomware escrita \u00edntegramente en Rust. La actividad relacionada con 01flip apunta a supuestas filtraciones de datos en la dark web.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/","og_site_name":"Unit 42","article_published_time":"2025-12-10T15:24:11+00:00","article_modified_time":"2025-12-19T16:33:39+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Hiroaki Hara","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"01flip: ransomware multiplataforma escrito en Rust","datePublished":"2025-12-10T15:24:11+00:00","dateModified":"2025-12-19T16:33:39+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/"},"wordCount":2907,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","keywords":["Bitcoin","CL-CRI-103","Cryptocurrency","forums","Linux","Rust","Sliver","Windows"],"articleSection":["Ciberdelito","Investigaci\u00f3n de amenazas","Ransomware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/","name":"01flip: ransomware multiplataforma escrito en Rust","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","datePublished":"2025-12-10T15:24:11+00:00","dateModified":"2025-12-19T16:33:39+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"01flip es una nueva familia de ransomware escrita \u00edntegramente en Rust. La actividad relacionada con 01flip apunta a supuestas filtraciones de datos en la dark web.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/05_Ransomware_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of 01flip ransomware written in Rust. Digital artwork of a pixelated U.S. dollar bill disintegrating into small blocks against a blue data matrix background."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/new-ransomware-01flip-written-in-rust\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"01flip: ransomware multiplataforma escrito en Rust"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/169022","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=169022"}],"version-history":[{"count":1,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/169022\/revisions"}],"predecessor-version":[{"id":169133,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/169022\/revisions\/169133"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/167860"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=169022"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=169022"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=169022"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=169022"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=169022"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}