Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » GDLockerSec

GDLockerSec

threat-actor ciberseguridad

GDLockerSec

GDLockerSec: Grupo de Amenaza y Operaciones de Ransomware

Grupo de amenazas especializado en ataques de ransomware que ejecuta operaciones transnacionales con objetivos específicos, restricciones geográficas estrictas y protocolos de re-attack prohibidos.

Perfil del Actor

"Our team members are from different countries and we are not interested in anything else, we are only interested in dollars. We do not allow CIS, Cuba, North Korea and China to be targeted."
- Operative Profile

GDLockerSec representa una organización de amenazas que opera con un perfil altamente especializado y restrictivo. El grupo se distingue por su enfoque comercial específico en el sector empresarial, combinando técnicas avanzadas de ransomware con criterios estrictos sobre quién puede ser atacado.

Origen y Motivación

El origen exacto del grupo ha sido no reportado públicamente. La información disponible indica que operan desde múltiples países diferentes, lo cual es un factor de riesgo significativo para organizaciones que implementan políticas de seguridad globalizadas sin comprensión local.

  1. Motivo principal: Generación y retención de ingresos en dólares a través de operaciones transnacionales
  2. Estrategia operativa: Ataques dirigidos al sector empresarial mediante ransomware comercializado
  3. Ambiente operativo: Operaciones realizadas desde múltiples jurisdicciones sin centralización total del equipo técnico

Tecnicas y Tacticas (TTPs)

Attack Vector
Web Applications, Server Network Access, Email Delivery Systems
Payload Type
Ransomware with encrypted data and payment gateways
Data Exfiltration Method
Hijacked web servers for data exfiltration
Recovery Protocol
No active recovery attempts - only encryption of files on target machines
Pricing Model
Cyclic pricing with potential additional fees for re-attacks

Ninguna técnica de recuperación activa ha sido implementada en este ataque. El grupo se enfoca exclusivamente en la exfiltración de datos y el bloqueo del acceso, sin intentos de reparación post-compromiso.

Campanas Conocidas

Primary Campaign ID: GDLockerSec-01
Ataque web aplicado al sector empresarial con requisitos específicos de víctimas
Campaign Duration: 3 meses (Mayo 2026)
Operaciones continuas sin cambios en táctica principal
Attack Frequency: Weekly batches of attacks
Sistema de ataques estandarizado con diferentes niveles de severidad

Objetivos y Victimas

Datos públicos disponibles indican 5 víctimas identificadas para este ataque.

Victim Category Severity Level Data Availability Status
Target Company 1 Critical No datos públicos disponibles - requiere investigación adicional
Target Company 2 Critical No datos públicos disponibles - requiere investigación adicional
Healthcare Sector (Non-profit) Hospitality No víctimas identificadas en sector médico no-público
Other Non-Profit Organizations Low Priority Ninguna víctima identificados en organizaciones sin fines de lucro
CIS Region Targets (Not permitted) Excluded from operations No se atacarán países CIS por políticas internas del grupo
North Korea Targets (Not permitted) Excluded from operations Operaciones restringidas a países que no son el objetivo principal
China Targets (Not permitted) Excluded from operations Prioridad de objetivos diferenciada - China no es prioridad en este ataque

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles para este grupo. Es recomendable realizar investigaciones adicionales para identificar activos comprometidos.

if exists file "cryptokey.pgp" then execute command "pgp --verify cryptokey.pgpr"
Tipo Valor/Contexto Estatus
Payload Code Ransomware binary with encryption module No disponible públicamente - requiere investigación adicional
Payment Gateway API Keys API keys for payment processing systems Ninguna pública identificada en fuentes oficiales

Detección y Defensa

Detection Methods
Behavioral analysis, anomaly detection rules, endpoint security monitoring, network traffic inspection
Evaluation Thresholds
Susceptible to all attack types including Ransomware with encryption and data exfiltration
Defense Measures Needed
Endpoint protection, network segmentation, secure access control, regular vulnerability management
Risk Assessment Result
HIGH - Attackers use specific target criteria to maximize impact on organizations that don't understand their operational context

El perfil de GDLockerSec destaca por su enfoque muy específico sobre quién puede ser atacado. Las restricciones geográficas y las políticas de exclusiones para organizaciones sin fines de lucro muestran una estrategia de ataque altamente controlada que busca maximizar el impacto en sectores específicos.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me