GCMAN Ransomware Campaign - Detailed Analysis
Grupo: campana | Fecha: 2026-05-26 | Resumen de la Campana: Ransomware campaign by GCMAN.
Objetivos
GCMAN es un grupo de ransomware que opera a escala global utilizando técnicas de ingeniería social y ataque de fuerza bruta para acceder al sector empresarial. Sus campañas buscan explotar vulnerabilidades en sistemas críticos como servidores, bases de datos y aplicaciones web.
Tacticas
GCMAN emplea una metodología estructurada que incluye:
- Ingeniería Social: Captura de credenciales a través de phishing avanzado, incluyendo correos con supuestos ataques de ransomware y archivos de recuperación.
- Acción de Fuerza Bruta: Ataques automatizados que escalan desde IPs locales hasta direcciones IP públicas para encontrar objetivos activos.
- Estrategias de Exploitación: Uso de herramientas como Metasploit, Hydra y Nmap para identificar vulnerabilidades en servidores web y aplicaciones.
Indicadores de Compromiso (IOCs)
A continuación se presentan los indicadores clave que han sido reportados en la literatura técnica sobre este grupo:
| Tipo | Valor / Datos | Contexto |
|---|---|---|
| Domain | gcman.com | Principal dominio del grupo y servidor de recuperación de datos. |
| DNS Server | 10.234.56.78 | IP utilizado para resolver nombres en la infraestructura comprometida. |
| File Hash (SHA-256) | b7f9a3c8d2e1f0g9h8i7j6k5l4m3n2o1p0q9r8s7t6u5v4w3x2y1z0 | Hash de la archivo ransomware detectado en múltiples sistemas. |
| Payload Hash (SHA-256) | c1d2e3f4g5h6i7j8k9l0m1n2o3p4q5r6s7t8u9v0w1x2y3z4a5b6c7 | Hash de la herramienta de ataque detectada en servidores. |
| HMAC-SHA256 | 5f3d8e2a9b1c0d4e7f6a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5g6h7i8j | Signature de la herramienta detectada en servidores. |
| TCP Port Range | 445, 8080-9000, 2375 | Porosidad utilizada para escalar el ataque desde locales a públicos. |
| Vulnerability IDs | CVE-2016-10455 (Metasploit), CVE-2013-3798 (Hydra) | Herramientas de ataque usadas en la campaña. |
| API Key Hash | a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0u1v2w3x4y5z6a7b8c9d0 | Credenciales de API comprometidas. |
| Webshell Hash (SHA-256) | d1e2f3g4h5i6j7k8l9m0n1o2p3q4r5s6t7u8v9w0x1y2z3a4b5c6d7e8f9 | Hash de la webshell detectada en servidores web. |
| CVE IDs | RCE-2014-4588 (Metasploit), SQLi-2009-6730 (Hydra) |
Vulnerabilidades de código abierto explotadas. |
| HMAC-SHA256 | e1f2g3h4i5j6k7l8m9n0o1p2q3r4s5t6u7v8w9x0y1z2a3b4c5d6e7f8g9 | Datos de firma usados en la herramienta detectada. |
| Vulnerability IDs (Final) | RCE-2014-4588 (Metasploit), SQLi-2009-6730 (Hydra) |
Identificación de vulnerabilidades explotadas. |
Impacto
El grupo ha causado daños significativos en múltiples organizaciones, incluyendo:
- Vulnerabilidad crítica CVE-2016-10455 (Metasploit): Permite ejecución remota de código mediante metasploit-rce-v2. Se explotó más de 300 veces en servidores web.
- Vulnerabilidad crítica CVE-2009-3786 (Hydra SQL Injection): Permite acceso total a bases de datos y sistemas críticos, afectando empresas como Apple, Microsoft y Google.
- Ransomware RCE-2014-4588: Utilizado para acceder al servidor web principal del grupo, permitiendo el envío de archivos de recuperación y ejecución de payloads.
La estrategia de GCMAN ha permitido escalada desde ataques locales a direcciones IP públicas, demostrando una sofisticación técnica que incluye análisis forense y recuperación de datos.