jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » cheers

cheers

Threat-actor 2 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

cheers

Cheers

Perfil del Actor

Cheers es un grupo de amenaza basado en Linux que emergió en 2022, aprovechando código fuente filtrado del ransomware Babuk. Se especializa en atacar servidores VMware ESXi y opera con una estrategia de doble extorsión, donde se exigen criptografía y compensaciones monetarias. El grupo ha identificado al menos 15 victimas documentadas hasta el momento.

Origen y Motivación

Cheers surgió en 2022 utilizando código fuente filtrado de Babuk, un ransomware anterior que se había expuesto públicamente. La motivación principal parece ser la ganancia financiera, con una estrategia de doble extorsión que combina cifrado de datos y publicación de información sensible en plataformas oscuros (DLS).

Técnicas y Tacticas (TTPs)

El grupo se centra en atacar servidores VMware ESXi, aprovechando vulnerabilidades en sistemas virtualizados. Su metodología incluye: - Ataques de doble extorsión: Cifran datos y publican información robada en plataformas DLS. - Uso de código malicioso basado en Babuk: Modificaciones para adaptarse a nuevas victimas. - Exploit de vulnerabilidades en ESXi: Aprovechando parches no actualizados o configuraciones inseguras.

Campanas Conocidas

Aunque se mencionan cuatro campañas documentadas, el grupo ha sido asociado con al menos 15 victimas identificadas a través de análisis de redes y plataformas DLS. Estas campañas implican la encriptación de datos y extorsión financiera.

Objetivos y Victimas

Cheers prioriza servidores VMware ESXi, especialmente aquellos con configuraciones desactualizadas o mal protegidas. Sus victimas incluyen organizaciones que no implementan medidas de seguridad robustas en entornos virtualizados.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Dominio DLS crkfkmrh4qzbddfrl2axnkvjp5tgwx73d7lq4oycsfxc7pfgbfhtfiid.onion Plataforma utilizada para publicar datos encriptados y extorsión.
Dominio DLS rwiajgajdr4kzlnrj5zwebbukpcbrjhupjmk6gufxv6tg7myx34iocad.onion Otra plataforma para distribuir contenido extorsivo y operaciones de ransomware.

Detección y Defensa

Para mitigar amenazas de Cheers: - Monitoreo de entornos VMware: Verificar vulnerabilidades en servidores ESXi. - Actualización constante: Asegurar que los sistemas virtualizados estén actualizados con parches de seguridad. - Análisis de redes: Detectar anomalías en tráfico relacionado con plataformas DLS. - Backup regular: Evitar pérdida de datos mediante respaldos frecuentes y almacenamiento offline.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach