Ako: Windows Ransomware Threat
Actor: MedusaLocker
Status: Active Attack
Last Updated: 2026-05-25
| Tipo | Valor/URL | Contexto |
|---|---|---|
| IP Address | 142.93.126.57 | Malware traffic from known attacker network (Kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad) |
| Domain | kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion | Ransomware command and control (C&C) server |
| File Hashes | A1B2C3D4E5F6...F0A9B8C7D6E5... | Suspicious executable hashes from compromised systems |
Perfil del Actor
Ako es una familia de ransomware diseñada específicamente para atacar sistemas Windows. Este grupo se distingue por su enfoque en la preparación del objetivo antes del cifrado, utilizando técnicas como el análisis de archivos y la eliminación de componentes potencialmente dañinos.
Origen y Motivacion
La motivación principal detrás de los ataques de Ako es obtener pagos rápidos mediante ransomware. Sin embargo, este grupo presenta características únicas que pueden indicar una estrategia más sofisticada o un objetivo específico con menos recursos de seguridad.
Tecnicas y Tacticas (TTPs)
Ako utiliza múltiples técnicas para preparar el sistema antes del cifrado:
- Análisis de archivos: El malware se ejecuta como un programa normal sin ejecutar componentes potencialmente dañinos, reduciendo la probabilidad de que el objetivo sea desconectado.
- Cifrado encriptación: Utiliza una combinación de AES y RSA-2048 para cifrar los archivos.
- Extensiones falsas: Aplica extensiones como .encrypted, .bomber, .locker16, etc., que pueden causar confusión en el sistema operativo.
Campanas Conocidas
El siguiente enlace de comunicación directa (C&C) ha sido identificado para esta familia de ransomware. El acceso a este servidor es crítico para la detección y respuesta:
Objetivos y Victimas
Ako ha atacado principalmente sistemas Windows. Las victimas más afectadas son empresas que utilizan soluciones de seguridad básicas o sin protección específica para amenazas avanzadas.
Indicadores de Compromiso (IOCs)
| Tipo | Valor/URL |
|---|---|
| C&C Server | https://kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion |
| Patch Version | v1.0.3 (última versión pública) |
| File Hashes | A1B2C3D4E5...F0A9B8C7... |
Deteccion y Defensa
Para prevenir ataques de tipo Ako, las organizaciones deben implementar:
- Soluciones de seguridad avanzadas: Utilizar soluciones que detecten malware de amenazas avanzadas.
- Educativo en gestión de contraseñas y software: Fortalecer la postura del cliente sobre el uso de contraseñas seguras y aplicaciones seguras.
- Detección de anomalías: Monitorear cambios significativos en el estado del sistema, como el uso de extensiones falsas o archivos modificados que no deberían existir.
Nota: El acceso al servidor C&C está restringido y requiere autorización institucional. No se recomienda intentar acceder a sitios maliciosos sin evaluación técnica especializada.