Crosslock Ransomware Campaign - IOC Analysis
Grupos de Trabajo: campana | Fecha: 2026-05-26
Tipo: Ransomware attack | Estado: Publicamente reportado en OpenCTI
Resumen de la Campana
Crosslock es un grupo de ransomware que ha realizado múltiples ataques de cifrado y bloqueo de acceso a datos, especialmente en el sector bancario. En la campaña del 26 de mayo de 2026, se reportaron incidentes donde los atacantes utilizaban técnicas de engaño (phishing) para obtener credenciales y luego ejecutaban malware que bloqueaba las operaciones financieras.
Objetivos
- Ejecución de ransomware y cifrado de datos críticos en instituciones financieras.
- Bloqueo del acceso al sistema para evitar recuperación por parte de los clientes.
- Distribución masiva de malware a través de campañas de phishing.
Tacticas
- Campaña Phishing: Envío masivo de correos que imitan a proveedores bancarios o instituciones financieras para obtener credenciales de acceso.
- Ejecución Ransomware: Desplegamiento del malware Crosslock que bloquea el acceso al sistema financiero en tiempo real.
Indicadores de Compromiso (IOCs)
| Tipo | Valor/Observación | Contexto/Referencia |
|---|---|---|
| Ransomware Software | Crosslock (versión v1.5.0) | Software de cifrado detectado en sistemas financieros. |
| Dominio Malicioso | cryptosoft.com | Página web reportada como objetivo principal del ataque. |
Impacto
La campaña ha afectado al menos 15 instituciones financieras en el sector bancario. Los ataques se realizaron entre mediados y finales de mayo de 2026, con un impacto estimado que incluyó:
- Días operativos bloqueados por malware.
- Requiemes facturación a clientes.
Conclusión
Crosslock continúa operando su estrategia de ransomware en 2026, enfocándose en el sector bancario. Es importante monitorear la red para detectar nuevas campañas y actualizar las listas de IOC regularmente.