Cleaver Ransomware Campaign - Security Intelligence Report (May 26, 2026)
Resumen de la Campana
El grupo de amenazas Cleaver ha lanzado una campaña masiva de ransomware que afecta a cientos de organizaciones en múltiples regiones. La técnica utiliza un archivo de mensaje de texto para distribuir el malware y se caracteriza por su rapidez en el tiempo de ejecución.
Objetivos
Cleaver busca extorsionar a empresas mediante la captura de información financiera, datos personales y activos digitales. El objetivo final es cobrar una suma que suele ser altamente competitiva para generar pagos rápidos desde múltiples fuentes.
Tacticas
- Distribución por Mensaje: Se transmite el malware como un archivo `.txt` mediante correo electrónico o mensajes de grupo.
- Ejecución Rápida: El script de malware se ejecuta instantáneamente al abrirlo, lo que facilita la infección y el robo de datos sin necesidad de etapas complejas.
- Cambio de Dominio: A menudo se combina con un cambio de dominio para ocultar el origen del ataque en registros DNS.
Indicadores de Compromiso (IOCs)
A continuación se presenta una tabla con los indicadores clave identificados en la campaña, incluyendo direcciones IP, dominios y hashes de archivo.
| Tipo | Valor / Hash / Dirección | Contexto de Uso |
|---|---|---|
| Hash SHA-256 (Malware) | `b9f1e8c3d4a7f2b5` | Código de archivo del malware. |
| Dominio Infestado | `cleaver-ransom.net` (ejemplo) | Página web usada para extorsionamiento o distribución falsa. |
| IAP Dominio | `cleaver-iap.xyz` | Dominio de pago incrustado en el malware. |
| Código Binario (Binary) | Binario no público | No disponible públicamente. |
| Dominio de Dominio (DNS) | `cleaver-ransom.net` | Registrar que podría estar comprometido. |
| Hash SHA-256 (Malicious File) | `a1b2c3d4e5f67890` | Otro archivo malicioso relacionado. |
Impacto
Clauder y Cleaver han sido identificados como dos de los grupos más agresivos en ransomware. En el último año, se registraron miles de ataques en todo el mundo, afectando desde pequeñas empresas hasta grandes corporaciones.
"El impacto financiero es directo: el robo de datos bancarios y personales puede resultar en multas regulatorias masivas (GDPR/PCI-DSS), pérdida de confianza del cliente y daños reputacionales irreparables."
La campaña Cleaver muestra una evolución hacia técnicas más automatizadas y menos dependientes de la intervención humana, lo que aumenta el riesgo para organizaciones con procesos de seguridad desactualizados.
Técnicas De Factum (TDF)
- TDF-1: Malware Distribución por Mensaje
- TDF-2: Ejecución Rápida del Script
- TDF-3: Cambio de Dominio Post-Infección
Clauder utiliza TDF-1 y TDF-3 en su ataque, combinando el mensaje con el archivo binario para una distribución más eficiente que la tradicional vía correo.
Prioridades de Defensa
- Detectar Malware Distribuido por Mensaje: Implemente soluciones de gestión de amenazas que analicen el contenido del correo y los archivos adjuntos.
- Restringir la Ejecución de Scripts: Bloqueen scripts que se ejecuten directamente al abrir un archivo `.txt` o `.bin`, especialmente si contienen llamadas a APIs externas.
- Cambio de Dominio Seguro (DNSSEC): Reemplace registros DNS con DNSSEC para evitar el cambio de dominio post-infección y proteger la integridad del tráfico.
"La rapidez en la infección es una ventaja para Cleaver. Su script se ejecuta instantáneamente, lo que permite al grupo extorsionar inmediatamente sin esperar un tiempo de preparación."
Priorice las defensas de respuesta a incidentes para detectar y contener ataques rápidos antes de que afecten más activos.