Hellokitty Ransomware Campaign
Resumen de la Campana
Hellokitty es un grupo de ransomware que ha realizado una campaña masiva contra el sector financiero en 2026. El ataque comenzó en mayo de 2026 y afectó a más de 45 bancos, sistemas financieros críticos y aplicaciones corporativas. La operación utiliza técnicas de ataque APT avanzadas para mantener el control durante meses.
Objetivos
- Matar al cliente financiero mediante el bloqueo total del acceso al sistema.
- Afrontar ataques DDoS masivos desde sus servidores comprometidos.
- Estar preparado para escalar el ataque contra otros sectores en 2027.
Tacticas
- Exfiltración de Datos: El grupo utiliza un método de exfiltración basado en criptografía que permite la recuperación del contenido cifrado tras el pago de una suma fija.
- Payload Comprometida: Se ha utilizado un payload que se adapta al entorno y contiene código para realizar múltiples ataques concurrentes, incluyendo escaneo de puertos y activación de sistemas DDoS.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Payload Binario | hellokitty-attack-v1.0.exe | Payload de ataque detectado en sistemas financieros. |
| Dominio Malicioso | malware-hellokitty.com | Sitio web utilizado para exfiltración y envío de payloads. |
| Herramienta Exfiltra | exfil-protocol-v2.1.exe | Payload que se conecta a un servidor externo para transmitir datos. |
| Fingerprint Hash | a3f8c9e2b1d4a7f6e5c0b9a8 | Hash de la firma del malware detectado en múltiples sistemas. |
| Servidor DDoS | ddos-cluster-3rdparty.com | Herramienta utilizada para generar ataques de denegación de servicio masiva. |
Impacto
El ataque ha generado un impacto económico estimado en más de 450 millones de dólares. Se han realizado pérdidas operativas significativas debido a la recuperación de datos y al tiempo de inactividad del sistema financiero.