ValenciaLeaks - Análisis de Amenaza Definitiva (2026)
TITULO: ValenciaLeaks: Grupo Data Extorsión que Exfiltró 5 Victimas en Agosto-Septiembre 2024
GRUPO: threat-actor / data-extortion
FECHEO: August–September 2024
VICTIMAS DOCUMENTADAS: City of Pleasanton (CA), Duo Pharma Biotech, 5 clientes adicionales
Perfil del Actor
ValenciaLeaks es un grupo de actores de amenazas que operan en el mercado global de exfiltración de datos. El grupo ha realizado múltiples operaciones de extorsión a empresas y gobiernos donde la capacidad técnica para manejar grandes volúmenes de información es una ventaja competitiva clave.
Origen y Motivacion
El origen específico del grupo no está documentado en fuentes públicas fiables, pero su actividad ha estado vinculada a redes que operan desde regiones de riesgo geopolítico. La motivación principal se centra en la exención legal mediante pago para datos sensibles.
Tecnicas y Tacticas (TTPs)
Detección y Análisis: Utilizan herramientas como RansomLook, OpenCTI y DataforContext para monitorear listas de amenazas activas. Sus operaciones incluyen múltiples campañas de exfiltración que han afectado a clientes en tecnología, farmacéutica y gobierno.
Campanas Conocidas
| Tipo | Victima | Volúmen Exfiltrado | Estado |
|---|---|---|---|
| Página Web de Extorsión | City of Pleasanton, CA | 283 GB (aprox.) | Datos públicos en leak-site.net |
| Página Web de Extorsión | Duo Pharma Biotech | 20 GB (aprox.) | Datos públicos en leak-site.net |
| Campana de Extorsión | Clientes tecnológicos y farmacéuticos adicionales | Miles de GB (estimación) | Activo en agosto-septiembre 2024 |
Objetivos y Victimas
Los objetivos principales incluyen:
- Tecnología: Software de gestión, bases de datos corporativas.
- Farmacéutica: Datos médicos, formularios de investigación clínica.
- Gobierno y Corporaciones: Información administrativa y documentos legales.
Indicadores de Compromiso (IOCs)
| Tipo | Valor / URL | Contexto |
|---|---|---|
| Página Web de Extorsión | leaksite.net | Plataforma donde se publica información exfiltrada. Disponible desde agosto 2024. |
| Dominio de Función | [DLS] 6doyqxqqj36vnedtt2zwxmngx52mgyp7brbrtwkyd75jgiolocoybgid.onion |
Punto de acceso seguro para usuarios de la página web de extorsión. |
Detección y Defensa
Defensa Técnica: Implementar soluciones que detecten actividad sospechosa en páginas web de extensión, uso de protocolos inseguros (SFTP) o conexiones a dominios onion.
Auditoría Continua: Monitoreo constante de listas de amenazas activas y análisis de comportamiento anómalo para detectar eventos consistentes con el modelo de negocio del grupo.