jordiserrano.meClickFixKAIROSIntelTracker🌐 Traducir
Panel de inteligencia » crylock

crylock

Threat-actor 3 min lectura
Fecha
25 May 2026
Actor
-
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium
54
Prioridad analitica
Baja

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

2IOCs
1TTPs
N/DActor
United StatesPais

crylock

crylock

Perfil del Actor

CryLock es un operativo de ciberdelincuencia liderado por una pareja rusa que ha ejercido actividades de ransomware durante más de ocho años. El grupo, conocido inicialmente como Cryakl/Fantomas, se destacó por su capacidad para extorsionar a organizaciones y particulares mediante el cifrado de datos y la exigencia de pagos en criptomonedas. La operación culminó con la detención de sus líderes en España en junio de 2023, tras un proceso de extradición hacia Bélgica.

Origen y Motivación

El origen de CryLock se remonta a 2014, cuando el grupo comenzó a operar con una red de ataque basada en phishing y distribución de ransomware. La motivación principal parecía ser la generación de ingresos a través de extorsión, aprovechando la vulnerabilidad de sistemas informáticos en sectores como salud, educación y gobierno. Durante su actividad, el grupo logró afectar a aproximadamente 400,000 víctimas, recaudando más de 64 millones de euros en Bitcoin.

Técnicas y Tacticas (TTPs)

CryLock utilizó tácticas basadas en la difusión de malware mediante correos electrónicos maliciosos (phishing) y redes sociales. Sus operaciones incluían: - Phishing: Envío de correos con archivos adjuntos maliciosos que activaban el ransomware. - Distribución de malware: Uso de dominios DNS ocultos en la red dark web para descargarse payloads. - Transacciones en Bitcoin: Para evitar rastros financieros, los atacantes utilizaban criptomonedas como medio de pago.

Campanas Conocidas

La operación más notoria fue la extorsión de organizaciones en múltiples países, con un impacto que se estima en cientos de miles de víctimas. Los atacantes lograron mantener su actividad durante ocho años, lo que sugiere una estructura bien organizada y una capacidad para evitar detección a largo plazo.

Objetivos y Víctimas

Los principales objetivos de CryLock eran sistemas críticos en sectores gubernamentales, sanitarios y educativos. Las víctimas incluían tanto empresas como particulares, con una prioridad clara para entidades que no podían pagar la extorsión sin comprometer su operatividad.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Dominio DNS d57uremugxjrafyg.onion Relacionado con la red dark web utilizada para distribución de malware.

Detección y Defensa

Para mitigar el impacto de CryLock, las organizaciones deben: - Monitorear dominios DNS en la red dark web. - Actualizar sistemas contra ransomware y corregir vulnerabilidades. - Capacitar a empleados sobre phishing y seguridad de correo electrónico. - Mantener respaldos de datos en ubicaciones seguras, independientes del entorno local.

Diamond Model

Adversary
No atribuido
Victim
crylock
d57uremugxjrafyg.onion
United States
Capability
Threat-actor
1 TTPs MITRE
Infrastructure
d57uremugxjrafyg.onion

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Tipo Valor Contexto VT OffSec SOCRadar
Domain d57uremugxjrafyg.onion Dominio victima VT OffSec SOCRadar

Referencias y enlaces

→ Mas incidentes en United States → Buscar en Google News → Analizar en VirusTotal → Buscar en Shodan → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta19 Jun 2026 · campaign PJ Daly Contracting19 Jun 2026 · qilin mlit.com.my UPDATE-FULL DATA DUMP 10GB19 Jun 2026 · stormous June 2026 Stealer Logs18 Jun 2026 · breach CFGI18 Jun 2026 · breach Berkadia18 Jun 2026 · breach Infinite Campus18 Jun 2026 · breach Horizon Family Medical Group18 Jun 2026 · incransom