jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » crylock

crylock

Threat-actor 3 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

crylock

crylock

Perfil del Actor

CryLock es un operativo de ciberdelincuencia liderado por una pareja rusa que ha ejercido actividades de ransomware durante más de ocho años. El grupo, conocido inicialmente como Cryakl/Fantomas, se destacó por su capacidad para extorsionar a organizaciones y particulares mediante el cifrado de datos y la exigencia de pagos en criptomonedas. La operación culminó con la detención de sus líderes en España en junio de 2023, tras un proceso de extradición hacia Bélgica.

Origen y Motivación

El origen de CryLock se remonta a 2014, cuando el grupo comenzó a operar con una red de ataque basada en phishing y distribución de ransomware. La motivación principal parecía ser la generación de ingresos a través de extorsión, aprovechando la vulnerabilidad de sistemas informáticos en sectores como salud, educación y gobierno. Durante su actividad, el grupo logró afectar a aproximadamente 400,000 víctimas, recaudando más de 64 millones de euros en Bitcoin.

Técnicas y Tacticas (TTPs)

CryLock utilizó tácticas basadas en la difusión de malware mediante correos electrónicos maliciosos (phishing) y redes sociales. Sus operaciones incluían: - Phishing: Envío de correos con archivos adjuntos maliciosos que activaban el ransomware. - Distribución de malware: Uso de dominios DNS ocultos en la red dark web para descargarse payloads. - Transacciones en Bitcoin: Para evitar rastros financieros, los atacantes utilizaban criptomonedas como medio de pago.

Campanas Conocidas

La operación más notoria fue la extorsión de organizaciones en múltiples países, con un impacto que se estima en cientos de miles de víctimas. Los atacantes lograron mantener su actividad durante ocho años, lo que sugiere una estructura bien organizada y una capacidad para evitar detección a largo plazo.

Objetivos y Víctimas

Los principales objetivos de CryLock eran sistemas críticos en sectores gubernamentales, sanitarios y educativos. Las víctimas incluían tanto empresas como particulares, con una prioridad clara para entidades que no podían pagar la extorsión sin comprometer su operatividad.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Dominio DNS d57uremugxjrafyg.onion Relacionado con la red dark web utilizada para distribución de malware.

Detección y Defensa

Para mitigar el impacto de CryLock, las organizaciones deben: - Monitorear dominios DNS en la red dark web. - Actualizar sistemas contra ransomware y corregir vulnerabilidades. - Capacitar a empleados sobre phishing y seguridad de correo electrónico. - Mantener respaldos de datos en ubicaciones seguras, independientes del entorno local.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin