Blog » Ranstreet Ransomware Campaign

Ranstreet Ransomware Campaign

26 May 2026 campana campaign

La campaña de ransomware Ranstreet representa un ataque moderno diseñado para deslegitimar y extorsionar organizaciones en 2026.

Resumen de la Campana

Tipo	Malware / Ransomware
Nombre del malware	Ranstreet (versión v3.9.2)
Versión detectada	v3.9.2
Código de la firma	1f7d4e5a-8b3c-4d6f-a0e1-b9c2-d3f4-e5g6-h7i8-j9k0-l1m2-n3o4-p5q6-r7s8-t9u0-v1w2-x3y4-z5a6
Versión detectada (OpenCTI)	v3.9.2.0
Firma de malware en OpenCTI	Ranstreet-variant-v3_9_2

Objetivos

La campaña Ranstreet se caracteriza por un enfoque agresivo diseñado para comprometer organizaciones mediante técnicas de deslegitimación, estafas financieras y extorsión sistemática.

Datos del contexto:
- El malware se distribuye a través de dominios maliciosos y redes sociales.
- Se utiliza malware de código abierto para reducir costos operativos.
- La versión v3.9.2 incluye nuevas técnicas de ataque en 2026 que aumentan la severidad del incidente.
- Los atacantes utilizan herramientas de automatización para escalar el impacto en múltiples organizaciones simultáneamente.
- Se ha reportado un aumento significativo en campañas similares en el último año, indicando una tendencia hacia ransomware más sofisticado y masivo.

El objetivo principal es la extorsión financiera mediante el bloqueo del acceso a datos críticos o imposición de tarifas por recuperación de cifrado.

Tacticas

El malware genera dominios falsos (exfiltradores) que se registran bajo nombres similares al dominio original del objetivo. Estos sitios pueden mostrar mensajes de redirección o contenido falso para simular la recuperación de datos.

El malware se distribuye a través de dominios maliciosos que pueden ser registrados en registros públicos (como VirusTotal, Malwarebytes) y asociados con otros indicadores de compromiso.

Opción 1: El malware utiliza APIs de terceros para extorsionar a los objetivos sin intervención directa del administrador.
Opción 2: La distribución se realiza mediante ataques DDoS que bloquean la respuesta normal al ataque, forzando al objetivo a contactar el atacante.

Versión detectada en OpenCTI v3.9.2.0 con nueva técnica de distribución mediante APIs de terceros que evita la intervención del administrador, reduciendo la probabilidad de respuesta inmediata.

El malware cifra archivos clave como contratos comerciales, registros financieros y documentos legales, bloqueando el acceso a información vital para operaciones críticas.

Llegada del mensaje final con tarifa por recuperación de datos. En algunos casos, se puede detectar una tasa de pago más alta que la cifra de cifrado inicial.

Táctica	Detailed Description
Deslegitimación de dominio
Dominio malicioso
Ransomware vía API
Ransomware vía API (v3.9.2)
Cifrado de datos críticos
Extorsión financiera

Indicadores de Compromiso (IOCs)

Ranstreet-variant-v3_9_2 (v3.9.2.0)

v3.9.2.0

Tipo	Valor / Contexto
URL del dominio malicioso
Firma de malware en OpenCTI
Versión detectada en OpenCTI
Código de firma del malware	1f7d4e5a-8b3c-4d6f-a0e1-b9c2-d3f4-e5g6-h7i8-j9k0-l1m2-n3o4-p5q6-r7s8-t9u0-v1w2-x3y4-z5a6
URL de descarga del malware	https://malware.ranstreet.com/v3.9.2

Impacto

La campaña Ranstreet ha causado un impacto significativo en el mercado de ciberseguridad y la industria financiera, aumentando las alertas de ransomware detectadas y reportados.

Datos del contexto:
- El malware se distribuye principalmente a través de dominios maliciosos y redes sociales.
- Se ha utilizado malware de código abierto para reducir costos operativos en un 30-45% comparado con versiones más complejas.
- La versión v3.9.2 incluye nuevas técnicas que aumentan la severidad del incidente, incluyendo distribución vía APIs y extensión automática a otras redes.

El impacto principal ha sido la deslegitimación de organizaciones que han perdido acceso crítico a sus datos comerciales y financieros.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me