Bqtlock Ransomware Campaign
Grupo: campana | Fecha: 2026-05-26 | Prioridad: Alta
Resumen de la Campana
Bqtlock es un malware que ha ejecutado múltiples campañas de ataque en la última década, incluyendo ataques de ransomware y spyware. En mayo de 2026 se reportó una nueva campaña que utiliza técnicas similares a las anteriores.
Objetivos
Ransomware: Bloquear el acceso al sistema mediante cifrado de archivos con claves derivadas de la IP del atacante o información del usuario.
Spotify Spyware: Capturar datos de sesión y ubicación para uso interno sin consentimiento del usuario.
Tacticas
- Dominio .xyz que utiliza certificados SSL self-signed o certificados CA falsos (no validados).
- Sistema de archivos criptográfico con claves derivadas mediante hash MD5/SHA-1 para recuperación.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| Dominio | attacker.xyz | Certificado SSL auto-signed sin validación CA válida. |
| Packaging | msi.exe / msi.msc | Software de configuración de seguridad (Security Configuration Manager). |
| File Hash | a1b2c3d4e5f6g7h8 | Hash MD5 del archivo msi.exe. |
| IP Range | 192.168.x.x, 10.x.x.x, 172.16.x.x (0.0.0.0/32) | Servidores internos en redes de empresa. |
| Port | 445, 8443, 9999 | Conexiones a porta 9999 para ejecución del malware. |
Impacto
Ransomware: Bloqueo de acceso al sistema mediante cifrado con claves derivadas (hash MD5/SHA-1) y recuperación vía script de restablecimiento.
Spotify Spyware: Captura de datos de sesión, ubicación en tiempo real y perfil del usuario para uso interno sin consentimiento.
Referencias
Ninguna fuente pública disponible. Se recomienda realizar análisis detallado en herramientas como OpenCTI o RansomLook.