Saltar al contenido
Ransomware Response · Respuesta a incidentes de ransomware
RRansomware
Response
apt73

apt73: cómo recuperar tus archivos y qué hacer

Publicado: 29 de junio de 2026· Última actualización: 29 de junio de 2026· 5 min de lectura

Sin descifrador gratuito conocido

No existe (todavía) una herramienta pública para descifrar esta familia. No pagues el rescate sin antes consultar con especialistas.

Esta guía es orientativa y se actualiza conforme surge nueva información. No garantiza la recuperación de archivos.

Resumen

APT73 es un grupo de ransomware que emergió a mediados de abril de 2024, autoproclamándose como una "Amenaza Persistente Avanzada" (APT). La evidencia disponible sugiere que gran parte de su infraestructura, técnicas y materiales derivan del grupo LockBit, lo que apunta a un actor afiliado o derivado [1], [2]. Al momento de redactar esta guía no existe un descifrador gratuito conocido públicamente para APT73.

TL;DR

  • No hay descifrador gratuito conocido para APT73. Desconfía de cualquier herramienta que prometa lo contrario.
  • No apagues los equipos de inmediato; aíslalos de la red para preservar evidencia volátil.
  • Preserva muestras de archivos cifrados, la nota de rescate y logs antes de remediar.
  • No pagues sin asesoría legal y de respuesta a incidentes; el pago no garantiza recuperación.
  • Restaura desde respaldos offline verificados como la vía principal de recuperación.
  • Documenta todo y considera reportar el incidente a las autoridades.
  • ¿Necesitas apoyo? Llámanos al (800) 649-0625 o escribe a [email protected].

1. Qué es apt73

APT73 es un grupo de ransomware reportado por primera vez a mediados de abril de 2024 [1]. El nombre es notable porque el grupo se autodenominó "APT" (Advanced Persistent Threat), una etiqueta que en ciberseguridad suele reservarse para actores estatales o altamente sofisticados; en este caso se trata de una autoproclamación con fines de imagen.

Según la investigación disponible, buena parte de la información y los recursos del grupo provienen de LockBit, una de las operaciones de Ransomware-as-a-Service (RaaS) más prolíficas [1], [2]. Esto sugiere que APT73 podría ser un afiliado, una escisión o un rebranding parcial que reutiliza herramientas filtradas o builders de LockBit. Tras la filtración del builder de LockBit en 2022, múltiples grupos derivados han aparecido reutilizando ese código [3].

Limitación honesta: los detalles técnicos públicos sobre APT73 son escasos. No contamos con extensiones de cifrado ni nombres de nota de rescate verificados (ver Sección 2).

2. Cómo identificar la infección (notas, extensiones, IOCs)

Con la información verificada disponible:

  • Nombres de nota de rescate conocidos: n/d (no documentados públicamente).
  • Extensiones de archivos cifrados: n/d (no documentadas públicamente).

Dado que no existen IOCs específicos confirmados para APT73, recomendamos basarte en indicadores conductuales y en el parecido con LockBit:

  • Aparición repentina de archivos renombrados o con extensiones inusuales que no puedes abrir.
  • Una nota de rescate en formato texto u otro, depositada en múltiples carpetas, dirigiendo a un sitio de negociación (frecuentemente en la red Tor).
  • Procesos de cifrado masivo, alto uso de CPU/disco y servicios de respaldo o de seguridad deshabilitados.
  • Eliminación de instantáneas de volumen (Volume Shadow Copies), conducta típica de variantes tipo LockBit [3].
  • Posible publicación de tu organización en un sitio de filtraciones (leak site) si hubo doble extorsión.

Importante: ante la falta de firmas específicas verificadas, evita atribuir con certeza absoluta. Conserva muestras para que un analista confirme la familia.

3. Pasos inmediatos (contención, preservación de evidencia)

  1. Aísla, no apagues. Desconecta los equipos afectados de la red (cable, Wi-Fi, VPN) pero no los apagues si es posible: mantener el sistema encendido preserva memoria volátil útil para el análisis.
  2. Segmenta la red. Aísla segmentos, deshabilita cuentas comprometidas y revoca sesiones activas para frenar el movimiento lateral.
  3. Preserva evidencia:
    • Captura imágenes forenses de disco y, de ser viable, volcados de memoria RAM.
    • Resguarda logs (EDR, firewall, VPN, Active Directory, servidores).
    • Conserva la nota de rescate y al menos una copia de varios archivos cifrados (no los modifiques).
  4. No alteres los archivos cifrados. Evita renombrarlos o "reparalos" con utilidades dudosas.
  5. Identifica el vector de entrada (phishing, RDP expuesto, vulnerabilidad sin parchear, credenciales filtradas) para evitar reinfección.
  6. Activa tu plan de respuesta a incidentes y notifica a las partes pertinentes (dirección, legal, seguros, autoridades).
  7. Documenta la cronología con fechas y horas.

4. Opciones de recuperación

⚠️ No existe descifrador gratuito conocido para APT73

Al momento de esta publicación, no hay ninguna herramienta gratuita y verificada capaz de descifrar archivos cifrados por APT73. Cualquier sitio o programa que afirme "descifrar APT73 gratis" debe tratarse con alta sospecha: muchas de estas "herramientas" son fraudes o malware adicional.

Tus opciones reales son:

  • Restauración desde respaldos offline. Es la vía más confiable. Verifica que los respaldos no estén comprometidos antes de restaurar, y hazlo en un entorno limpio y reconstruido.
  • Reconstrucción de sistemas desde cero con imágenes confiables, seguida de restauración de datos.
  • Conservar los datos cifrados. Si no tienes respaldo, guarda copias seguras de los archivos cifrados. En el futuro podría publicarse un descifrador (como ha ocurrido con otras variantes derivadas de LockBit tras operaciones policiales [3]).
  • Asesoría especializada. Un equipo de respuesta a incidentes puede confirmar la variante y evaluar opciones realistas.

Sobre pagar el rescate: el pago no garantiza la recuperación, puede tener implicaciones legales y financia futuros ataques. No tomes esa decisión sin asesoría legal y de un especialista en negociación/IR. Reportar a las autoridades es altamente recomendable.

5. Prevención y endurecimiento

  • Respaldos 3-2-1 con copias offline/inmutables y pruebas de restauración periódicas.
  • MFA en todos los accesos remotos, VPN y cuentas privilegiadas.
  • Cierra o protege RDP; no lo expongas a Internet directamente.
  • Parcheo continuo de sistemas operativos, VPN y servicios perimetrales.
  • EDR/XDR con detección de comportamiento y bloqueo de eliminación de Shadow Copies.
  • Segmentación de red y principio de mínimo privilegio.
  • Capacitación antiphishing y filtrado de correo.
  • Plan de respuesta a incidentes probado, con contactos y respaldos documentados.
  • Monitoreo de credenciales filtradas y de menciones en leak sites.

Advertencias honestas (limitaciones)

  • La información pública sobre APT73 es limitada y parcialmente derivada de LockBit; algunos detalles podrían cambiar conforme avance la investigación [1], [2].
  • No conocemos extensiones ni nombres de nota de rescate verificados; no inventamos IOCs.
  • No existe descifrador gratuito conocido; esta situación puede cambiar, pero no podemos prometerlo.
  • Esta guía es informativa y no sustituye la asesoría legal ni un análisis forense profesional.

¿Sospechas o confirmas una infección por APT73? Contáctanos: (800) 649-0625 o [email protected]. Podemos ayudarte con identificación, contención y estrategia de recuperación.

Referencias

[1] Ransomware.live, "APT73, Group profile," [En línea]. Disponible en: https://www.ransomware.live/. [Accedido: 2024].

[2] Crocodyli, "ThreatActors-TTPs," GitHub. [En línea]. Disponible en: https://github.com/crocodyli/ThreatActors-TTPs. [Accedido: 2024].

[3] U.S. Cybersecurity and Infrastructure Security Agency (CISA), "#StopRansomware: LockBit 3.0," Advisory AA23-075A. [En línea]. Disponible en: https://www.cisa.gov/. [Accedido: 2024].

Actualizamos esta guía conforme surge nueva información.