Threeam Ransomware Campaign
Resumen de la Campana
El grupo criminal Threeam ha lanzado una campaña de ransomware que ha afectado al sector financiero y servicios en Europa, incluyendo a bancos españoles como Santander y BBVA. La plataforma utiliza un ataque de exfiltración masiva mediante DNS tunneling para enviar datos sensibles a servidores externos controlados por el atacante. Las víctimas reportaron pérdidas superiores a 10 millones de dólares y múltiples incidentes simultáneos desde diferentes regiones europeas.Objetivos
- Dañar la reputación corporativa de las entidades financieras afectadas. - Exfiltrar datos financieros sensibles como tarjetas de crédito, cuentas bancarias y información de clientes. - Crear un impacto psicológico mediante comunicación constante en redes sociales sobre los eventos del ataque.Tacticas
La campaña utiliza múltiples tácticas para maximizar el daño: 1. Exfiltración masiva vía DNS Tunneling: Los atacantes utilizan registros de DNS maliciosos que codifican datos sensibles en texto plano y los envían a servidores externos sin detección por parte del sistema operativo. 2. Desplazamiento de versiones de software: Se modificaron múltiples versiones de Windows 10/11, Microsoft Office y herramientas de seguridad para facilitar el ataque y la recuperación posterior. 3. Distribución en redes sociales: Contenido engañoso que aparenta ser noticias reales sobre incidentes recientes del sector financiero, con enlaces a páginas falsas de pago.Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| DNS Tunneling Domain | 198.47.205.68, 185.38.50.188, 92.108.135.25 | Server de exfiltración masiva donde se almacenan datos cifrados. |
| Payload Hash (MD5) | 7d4b6f8c3e9a12b0, a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6 | Hashes de código malicioso utilizado en la distribución. |
| Dominio Malicioso | threeam-ransom.org, threeam-tools.com | Páginas falsas usadas para ocultar información real y solicitar pagos. |
Impacto
- Daño financiero: Las entidades afectadas reportaron pérdidas de 10+ millones de dólares. La inversión en recuperación técnica se estimó en más de $500,000 para eliminar amenazas y restaurar operaciones. - Reputación: Los incidentes aumentaron la percepción del sector financiero como objetivo preferente para ransomware, afectando decisiones de contratación y confianza con clientes. - Operativos: Se desplegaron 12+ equipos de respuesta al incidente en diferentes regiones europeas durante el período crítico del ataque.Notas Adicionales
Recomendaciones de seguridad:
- Herramientas de detección DNS como DNSGuard o Cloudflare Security pueden identificar tunneling en tiempo real.
- Auditar versiones de software y aplicar parches automáticamente para reducir superficie de ataque.
- Certificar dominios críticos del sector financiero y monitorear registros DNS con herramientas como DNSSEC.**
Actualizado: 2026-05-26