Lolnek Ransomware Campaign

Grupo: Campana | Fecha: 2026-05-26 | Título: Análisis de la campaña de ransomware by lolnek.

Resumen de la Campana

La campaña de ataque de LOLNEK (Lolnek) es una amenaza de ransomware que ha afectado múltiples organizaciones en el último año. La herramienta utiliza un método de exfiltración de datos masivo mediante protocolos estándar, permitiendo al atacante obtener información sensible como contraseñas y archivos críticos antes del bloqueo del sistema.

Objetivos

• Exfiltrar datos masivos en tiempo real para la venta o uso interno.
• Ranear sistemas comprometidos con un esquema de pago seguro.
• Destruir activos digitales como imágenes, documentos y registros históricos.
• Implementar una recuperación de negocio lenta mediante cifrado completo.

Tacticas

Lolnek emplea múltiples tácticas para aumentar el tiempo de ataque y la capacidad de extorsión:

• Ransomware masivo (MIME): Utiliza un archivo MIME que contiene una lista de contraseñas, cuentas bancarias, direcciones IP y información personal. El ataque utiliza protocolos estándar (SMTP, FTP, SFTP) para transferir el contenido.
• Estrategia de recuperación lenta: Cifra los datos en lugar de destruirlos inmediatamente. Esto permite al atacante recuperar información antigua durante semanas o meses, aumentando la probabilidad de éxito.
• Audiencia amplia: El ataque se dirige a empresas que han utilizado servicios como AWS S3 para almacenamiento de imágenes y aplicaciones web modernas (React, Vue), donde los archivos históricos son críticos.

Indicadores de Compromiso (IOCs)

No hay indicadores públicos disponibles sobre esta campaña específica. Para identificar posibles incidentes relacionados con LOLNEK en entornos empresariales: