Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Zerotolerance Ransomware Campaign

Zerotolerance Ransomware Campaign

campana campaign

Zerotolerance Ransomware Campaign

Zerotolerance Ransomware Campaign - Análisis de Seguridad

Zerotolerance Ransomware Campaign - Análisis de Seguridad

Resumen de la Campana

Título: Zerotolerance Ransomware Campaign

Grupo de Operaciones: campana

Fecha del reporte: 2026-05-26

Contexto Histórico y Relación con Exofact

El grupo operativo Zerotolerance es conocido por campañas de ransomware que se identifican como "ex-ofacto" al operar dentro del ecosistema Exofactor. Las operaciones recientes incluyen el uso de soluciones de seguridad en la nube (AWS, Azure) y herramientas de autenticación como AWS IAM o Microsoft Active Directory.

En una campaña reciente, los atacantes utilizaron un script para generar archivos sospechosos que contenían información sensible como contraseñas, credenciales de API y registros de actividad. Estos archivos son distribuidos a través de enlaces falsos que se crean en el dominio exofactor.com.

Objetivos

  • Ransomware: Criptografar datos críticos de clientes y empleados mediante uso de criptoalgoritmos como RCE-3 (Ransomware Crypto Aggressive).
  • Destrucción de evidencia: Eliminar registros, logs y archivos que puedan identificar la ruta de ataque o el tiempo de ejecución.
  • Persistencia: Crear versiones temporales del sistema para evitar detección mediante herramientas como Process Explorer o Event Viewer.

Tacticas y Técnicas

El grupo utiliza un enfoque táctico que incluye:

  • Escala de ataques (Attack Scaling): Distribución de scripts para atacar múltiples máquinas en una zona geográfica, incluyendo servidores AWS y Azure.
  • Fraude de identidad (Identity Fraud): Generación de documentos falsos que se presentan como originales del cliente o proveedor, utilizando imágenes modificadas con herramientas como GIMP.
  • Criptografía agresiva: Uso intensivo de CPU y almacenamiento para cifrar grandes volúmenes de datos en tiempo real.

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles. Se recomienda realizar investigaciones avanzadas mediante herramientas como OpenCTI, AbuseIPDB y análisis de código fuente para identificar variantes o conexiones con otros grupos.**

Tipo Valor / Ruta de Acceso Contexto / Notas
Dominio de Distribución exofactor.com
https://exofactor.com/attack		 Sitio oficial del grupo. Los enlaces falsos se generan para redirigir a esta URL.

Impacto y Amenazas

Las operaciones de Zerotolerance representan una amenaza significativa al ecosistema empresarial moderno. Al operar dentro del marco de Exofactor, los atacantes tienen acceso a sistemas que manejan identidad y autenticación, facilitando el movimiento lateral en la infraestructura corporativa.

La capacidad para distribuir scripts masivos con información sensible (contraseñas, APIs) indica un nivel avanzado de operación y una estrategia diseñada para maximizar el daño inmediato antes del pago de la ransoma.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me