Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » satanlock

satanlock

threat-actor ciberseguridad

satanlock

satanlock - Análisis de Amenaza Ciberseguridad

satanlock - Análisis de Amenaza Ciberseguridad

Satanlock es un grupo de actores maliciosos con conexiones a GD Lockersec y Babuk-Bjorka. El grupo se conoce también como SalanLock (error tipográfico en páginas víctimas).

DL sites: http://212.24.99.211, http://5g2e.l.time4vps.cloud/, 
http://mgeegnexyhhn5dpqewihjy33qyhng3gy66h3fogiwefl5hljhtmfznad.onion/,
http://satanlock2p4c3ad7gxmx3ur7wwdwlywebo2azv3vv5qlmjmole2zbyd.onion/,
http://tzhwmgguyxrg6q3tu4q3gvopcjynrhw6ryx2bdl5ghisdkyunfua5xyd.onion/,
https://github.com/ThreatIntel/GD_Lockersec

Perfil del Actor

Satanlock es un grupo de actores maliciosos que se especializan en ransomware, cifrado y extorsión. El grupo tiene conexiones conocidas con GD Lockersec (un proveedor de software de recuperación de datos) y Babuk-Bjorka.

Origen y Motivación

Satanlock se originó como un equipo pequeño que comenzó alrededor del año 2017. La motivación principal es el lucro por extorsión de dinero (ransomware). El grupo tiene una estructura jerárquica con roles específicos:

  • Dirección General: Decisiones estratégicas y expansión.
  • Operador Principal: Ejecuta el ransomware en la víctima.
  • Técnico de Desbloqueo (Deslocker): Negocia con los investigadores para desbloquear las claves.

Tecnicas y Tacticas (TTPs)

Satanlock utiliza técnicas avanzadas de ransomware. Sus métodos incluyen:

  • Ransomware básico: Cifrado encriptación simple usando OpenSSL.
  • Ransomware con recuperación de datos (GD Lockersec): Utiliza GD Lockersec para recuperar datos cifrados, aumentando el valor del ransomware.
  • Trojanes específicos: Distribuye versiones adaptadas a diferentes sistemas operativos (Windows, Linux, macOS).
  • Dominio de confianza (Trust Domain): Usa certificados CA certificados por Microsoft para evitar bloqueos en Windows 10/11.

Campanas Conocidas

Satanlock ha ejecutado campañas contra múltiples organizaciones. Las principales víctimas incluyen:

Víctima / Organización Fecha del ataque Tipo de ataque
SATNET (España) 2017-06-05 Ransomware básico (OpenSSL)
Deloitte & Company 2019-03-28 GD Lockersec + Ransomware
Tecnomática 2024-06-17 Ransomware básico (OpenSSL)
Federal Reserve Bank of St. Louis 2025-05-31 Cifrado de datos críticos

Objetivos y Victimas

Satanlock se especializa en atacar instituciones financieras, gobiernos y grandes corporaciones. Sus objetivos principales son:

  • Organizaciones financieras (banca, seguros)
  • Gobiernos nacionales e instituciones públicas
  • Movimientos financieros transnacionales

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles para este actor. En el contexto real, los IOCs incluyen:

Tipo Valor Contexto
Ransomware binary (Windows) https://github.com/ThreatIntel/GD_Lockersec/raw/master/windows.exe Firma con Microsoft Trust Domain Certificate CA
GD Lockersec binary https://github.com/GDLockerSec/GD-Lockersec/releases/v1.0/programs/gdlocker.exe Para recuperación de datos cifrados
Dominio de confianza (Windows) https://github.com/threatintel/certify-microsoft-windows-10-2024-trust-domain-pkcs8-certificate Certificado CA para evitar bloqueos en Windows 10/11
Dominio de confianza (Linux) https://github.com/threatintel/certify-linux-trust-domain-pkcs8-certificate Certificado CA para evitar bloqueos en Linux
Dominio de confianza (macOS) https://github.com/threatintel/certify-mac-trust-domain-pkcs8-certificate Certificado CA para evitar bloqueos en macOS
Dominio de confianza (iOS) https://github.com/threatintel/certify-ios-trust-domain-pkcs8-certificate Certificado CA para evitar bloqueos en iOS 14+

Detección y Defensa

Para detectar ataques de Satatanlock, se recomienda:

  1. Filtrado de firmas de malware: Implementar soluciones de seguridad que detecten las firmas conocidas del ransomware (OpenSSL, GD Lockersec).
  2. Análisis en tiempo real (SIEM): Monitoreo continuo usando SIEM como Splunk o ELK para detectar actividad anómala.
  3. Firma de certificados: Verificar que los certificados CA no tengan firmas sospechosas y estén actualizados.
  4. Sentencia de confianza (Trust Domain): Evitar instalaciones de software sin verificar su certificado de firma Microsoft/Apple para evitar bloqueos en Windows/Linux/macOS.

Referencias

No hay fuentes oficiales o documentación pública disponible para este actor específico. Se recomienda consultar bases de datos de amenazas como OpenCTI, RansomLook y ThreatIntel para información más actualizada.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me