jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » crosslock

crosslock

Threat-actor 3 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

Key Points

  • Extorsión doble: Requiere pagos para evitar la pérdida de datos y amenaza con publicar información sensible si no se paga.
  • Criptografía avanzada: Aplicación de algoritmos como Curve25519 y ChaCha20, lo que dificulta el análisis forense.
  • Operación transitoria: Su actividad fue breve y no se documentaron múltiples incidentes, indicando una posible estrategia de "matar a la víctima" rápida.

crosslock

crosslock

Perfil del Actor

CrossLock es un grupo de amenaza basado en Go que operó durante un breve período en 2023. Se activó en abril de 2023 y desapareció por completo antes de julio de 2023, lo que sugiere una operación limitada y potencialmente una actividad de cibercriminal transitoria.

El grupo se destaca por el uso de algoritmos criptográficos avanzados como Curve25519 y ChaCha20, lo que indica un enfoque en la seguridad y la complejidad técnica. Su metodología incluye técnicas de extorsión doble, una estrategia común en ransomware que implica exigir pagos para la devolución de datos y una amenaza adicional para detener el secuestro.

Origen y Motivación

No hay información pública disponible sobre el origen geográfico o las motivaciones específicas del grupo. Sin embargo, su actividad se concentró en el año 2023, lo que sugiere una operación temporal con un objetivo probable de extorsión financiera.

Tecnicas y Tacticas (TTPs)

CrossLock utilizó técnicas de ransomware tradicionales, incluyendo:

  • Extorsión doble: Requiere pagos para evitar la pérdida de datos y amenaza con publicar información sensible si no se paga.
  • Criptografía avanzada: Aplicación de algoritmos como Curve25519 y ChaCha20, lo que dificulta el análisis forense.
  • Operación transitoria: Su actividad fue breve y no se documentaron múltiples incidentes, indicando una posible estrategia de "matar a la víctima" rápida.

Campanas Conocidas

La única campaña documentada asociada a CrossLock involucró un único objetivo en el sector IT brasileño. La fecha del incidente está registrada como 2026-05-25, aunque esto contradice la desaparición del grupo antes de julio 2023, lo que sugiere posiblemente una incoherencia en los datos o un error en la fecha.

Objetivos y Victimas

El objetivo principal de CrossLock era extorsionar a organizaciones mediante el secuestro de datos. La única víctima confirmada pertenece al sector IT en Brasil, lo que sugiere una preferencia por industrias críticas para maximizar el impacto financiero.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Domain crosslock5cwfljbw4v37zuzq4talxxhyavjm2lufmjwgbpfjdsh56yd.onion Link a una red Tor asociada al grupo.

Deteccion y Defensa

Las organizaciones deben monitorear dominios en redes Tor y aplicar análisis forense de criptografía para detectar amenazas similares. Además, se recomienda implementar protocolos de respuesta a incidentes para mitigar el impacto de ransomware con técnicas avanzadas de cifrado.

← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable