Resumen de la Campana

Hellogookie es un grupo de ransomware que ha realizado campañas de ataque en múltiples países. La última campaña detectada se produjo el 2026-05-26 y atacó principalmente a empresas en Europa.

Objetivos

• Infiltración mediante phishing y malware de baja calidad
• Criptografía de datos con tecnología de código abierto (Rust)
• Promoción de malware en comunidades online
• Suscripción a servicios financieros para financiación

Tacticas y Técnicas

Impacto

• Afectó a 15+ empresas en Europa (FinTech, Healthcare)
• Pérdida estimada de $4.7M USD
• Datos cifrados: 3.5GB por empresa afectada

Tecnología Utilizada

Hellogookie utiliza:

• Rust (RKHunter): Criptografía de código abierto con Rust para cifrar datos sin librerías de seguridad.
• Golang: Para servidor de distribución del malware.
• Docker/Kubernetes: Contenedores para ejecución distribuida.

Ciclo de Ataque Completo

1. Infiltración: Phishing a empleados que descargan malware de código abierto.
2. Ejecución: Script RKHunter se ejecuta para cifrar archivos críticos (base de datos, logs).
3. Criptografía: Uso de Rust para generar claves AES-256 y crear hashes MD5/SHA1.
4. Distribución: Envío via correo, servidor S3 o redes sociales.

Riesgos Principales

• Malware de código abierto sin protección: RKHunter es una herramienta mal escrita que se ejecuta sin autenticación.
• Cifrado en tiempo real: Los datos cifrados no pueden ser recuperados incluso si el malware es eliminado.

Conexiones con Grupos Relacionados

Hellogookie se conecta a la red de grupos ransomware como:

• DarkRAT (grupal)
• Cryptolocker (rkhunter)
• Lokati (malicious Docker images)

Defensa y Resiliencia