hades
Perfil del Actor
Hades es un actor de amenaza asociado al ransomware Hades Locker, una variante actualizada del malware WildFire Locker. Este tipo de amenazas se caracterizan por su capacidad para infiltrarse en sistemas y cifrar datos críticos, utilizando técnicas de ataque avanzadas. Según informes, Hades utiliza el algoritmo AES para encriptar archivos y modifica los nombres de los archivos encriptados con una extensión específica.
Origen y Motivación
Los datos disponibles indican que Hades actúa como un actor de amenaza sin detalles sobre su origen geográfico o motivación explícita. Sin embargo, se puede inferir que su objetivo principal es extorsionar a organizaciones mediante la encriptación de sus datos y el secuestro de archivos críticos.
Técnicas y Tacticas (TTPs)
Hades emplea técnicas de ataque basadas en la infección de sistemas a través de vectores de vulnerabilidad, seguido de la cifrado masivo de datos utilizando AES. Un TTP clave es el uso de una extensión personalizada para archivos encriptados, como .~HL[5_caracteres_aleatorios], lo que facilita la identificación de archivos comprometidos.
Campanas Conocidas
Se reporta una sola campaña atribuida a Hades, con un único victimario identificado. La actividad se ha asociado a un servidor C2 (Command and Control) operativo en la red dark web bajo el dominio ixltdyumdlthrtgx.onion, según datos actualizados hasta 2026-05-25.
Objetivos y Victimas
El objetivo principal de Hades es secuestro de datos críticos mediante encriptación, con el propósito de exigir pagos en moneda criptográfica. Aunque se ha identificado un único victimario, no se disponen detalles sobre su sector o ubicación geográfica.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| C2 Server | ixltdyumdlthrtgx.onion | [DLS] - Servidor de control y comando operativo en la red dark web. |
Detección y Defensa
Para mitigar el impacto de Hades, se recomienda monitorear sistemas para archivos con extenciones no estándar, verificar el uso de AES en archivos críticos y bloquear dominios C2 conocidos. Además, se sugiere implementar backups regularmente y actualizar sistemas para cerrar vulnerabilidades que puedan ser explotadas por este tipo de amenaza.