Stormous Ransomware Campaign

Ransomware campaign by stormous.

Fecha: 2026-05-26

Resumen de la Campana

La campaña Stormous Ransomware Campaign es una operación de ransomware distribuida mediante un botnet que ha comprometido a más de 1,800 organizaciones en Europa y América del Norte. El ataque comenzó el día 9 de mayo de 2026 con ataques de phishing masivos que llevaron al acceso inicial a servidores públicos de vulnerabilidad (CVE-2024-3791). Los atacantes utilizaron un botnet basado en Node.js para distribuir el ransomware y ejecutar scripts de exfiltración de datos.

Objetivos

• Distribución masiva de malware mediante phishing y sitios de phishing.
• Ejecución de scripts de ransomware en servidores públicos con CVE-2024-3791.
• Habilitación de exfiltración de datos para uso malicioso (CSDR).

Tacticas

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Impacto

La campaña ha afectado a más de 1,800 organizaciones en Europa y América del Norte. Los sistemas comprometidos han sido utilizados para exfiltrar información crítica incluyendo datos financieros, propiedad intelectual y registros de clientes. El malware ha sido distribuido mediante un botnet basado en Node.js que opera con una frecuencia de aproximadamente cada 30 minutos.

Factores Comunes

Cada organización comprometida respondió al ataque utilizando los siguientes controles de seguridad:

1. Vulnerabilidad crítica CVE-2024-3791 en Apache HTTP Server
2. Auditoría de servicios web (SAST) deficiente
3. Sin políticas de backup y recuperación de datos
4. Certificados SSL/Certificate Management deficiente
5. Seguridad de la cadena de suministro desatendida
6. Falta de monitoreo de comportamiento anómalo (SIEM)

El incidente se presentó como una oportunidad para mejorar la defensa en profundidad, específicamente mediante la implementación de controles de seguridad crítica que protegen contra vulnerabilidades conocidas y maliciosas.