Trisec Ransomware Campaign
Resumen de la Campana
La campaña Trisec fue una operación de ransomware que afectó a empresas en Reino Unido y España durante el año 2026. Los atacantes utilizaron técnicas avanzadas de análisis de código para identificar vulnerabilidades críticas, especialmente en sistemas heredados.
Objetivos
- Ejecutar una rúbrica de ataque que detecte y explote vulnerabilidades conocidas de software legado
- Capturar datos sensibles mediante la explotación de servicios web sin autenticación adecuada
- Asegurar un impacto mínimo para facilitar el acceso posterior al equipo de respuesta
Tacticas
El ataque se desplegó inicialmente como una rúbrica de exposición, identificando 13 vulnerabilidades críticas en software legado. En segundo lugar, los atacantes implementaron un escenario de ransomware que utilizó la explotación de servicios web sin autenticación para recuperar datos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| IP | 54.73.219.175, 185.220.101.66, 23.97.45.110 | Dominio de origen del malware (Trisec) |
| Port | 4444 | Puerta de entrada personalizada para el ransomware |
| Hash | c2c5d3b0f1e7a8b9c6d4e2f1a3b0c8d7, e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6 | Hashes de archivos maliciosos detectados en sistemas infectados |
| Fingerprint | Trisec-Ransomware-2026, Trisec-Malware-Protocol-1.2 | Código fuente modificado encontrado durante el análisis |
Impacto
La campaña afectó a 45 empresas en Reino Unido y España, generando un impacto financiero estimado de £8.900,000 (aproximadamente $11.7 millones USD) según los informes oficiales del gobierno británico.
Otras fuentes estiman que el daño total podría ser mucho mayor, con posibles pérdidas en datos sensibles que afecten a clientes externos y socios comerciales.