Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Nevada Ransomware Campaign

Nevada Ransomware Campaign

campana campaign

Nevada Ransomware Campaign

Nevada Ransomware Campaign - Análisis de Seguridad

Nevada Ransomware Campaign

Resumen de la Campana

A mediados de 2026, se identificó una campaña ransomware dirigida contra el sector minero y energético en Nevada. La organización denominada "Nevada" utilizó técnicas de exfiltración lateral para acceder a sistemas corporativos y aplicar ataques de cifrado en tiempo real.

Objetivos

  • Ransomware que cifra datos críticos antes del bloqueo, incluyendo registros operativos (logs).
  • Exfiltración masiva de información sensible a través de servidores proxy.
  • Aprobación de pagos en moneda local para evitar sanciones internacionales.

Tacticas

La campaña empleó un ciclo completo de ataque: inicialización, escaneo pasivo, infección de sistemas y ejecución de scripts de cifrado.

Inicialización y Escaneo Pasivo

  • Exercicios de phishing simulados en sitios públicos (ej. dominio .gov) para obtener credenciales de gestión de activos.
  • Carga de scripts de reconocimiento que detectan amenazas similares a "Ransomware-NGC", "Stuxnet" y otros grupos de cibercriminales conocidos.

Infección y Ejecución de Scripts

  • Ejecución automática en servidores críticos mediante scripts que detectan eventos anómalos (alta tasa de tráfico, cambios en permisos de archivos).
  • Lanzamiento de scripts de cifrado que aplicen cifrado AES-256 y bloqueen el acceso a los datos.

Cifrado en Tiempo Real y Exfiltración

  • Los ataques se ejecutan mientras la víctima sigue operando, cifrando logs de seguridad, bases de datos y archivos críticos antes de bloquear el acceso.
  • Después del bloqueo, el malware inicia una exfiltración masiva a través de servidores proxy para evitar detección por firmas de seguridad.

Indicadores de Compromiso (IOCs)

No hay indicadores públicos disponibles que identifiquen esta campaña específica. Se recomienda monitoreo continuo con herramientas como OpenCTI y análisis en línea con herramientas como Malwarebytes para detectar variantes similares.

Tipo Valor/Contexto
Ransomware Grupo Nevada (sector minero, Nevada)
Técnica Principal Cifrado AES-256 + Exfiltración vía proxy
Herramientas Detectadas Scripts de reconocimiento (Ransomware-NGC), servidores proxy, scripts de cifrado automático

Impacto

El impacto estimado incluye pérdida de datos operativos, bloqueo total del acceso a la infraestructura y costos de recuperación que pueden exceder millones al requerir restauración desde backups externos o recuperación en caliente.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me