Crazyhunter Ransomware

Publicado hace 1 mes 14-03-2025

Un nuevo ransomware llamado Crazyhunter, ha sido detectado recientemente. Este grupo se ha caracterizado por atacar principalmente a víctimas del sector educativo y de salud. Su actividad maliciosa fue identificada por primera vez a principios de marzo de 2025.

Crazyhunter emplea un método innovador denominado “Sistema de Aniquilación Tridimensional de Datos”, el cual no solo cifra los archivos de la víctima, sino que también los sobrescribe múltiples veces con datos aleatorios antes de eliminarlos por completo. Esta técnica redefine la destrucción de datos en comparación con otros ransomwares, ya que imposibilita la recuperación, incluso si se tiene copias de seguridad.
A computer screen shot of a hackerAI-generated content may be incorrect.
[2] Sitio oficial del ransomware Crazyhunter

Para la fase de intrusión, Crazyhunter utiliza tácticas avanzadas de ingeniería social combinadas con exploits de día cero dirigidos a infraestructuras críticas. Se ha detectado el uso de ataques de spear-phishing con archivos adjuntos maliciosos, así como la explotación de vulnerabilidades en servidores expuestos. Una vez dentro del sistema, el ransomware realiza movimientos laterales para escalar privilegios y maximizar su alcance dentro de la red comprometida.

Además del cifrado de archivos, Crazyhunter desactiva los servicios de seguridad, elimina registros de eventos y deshabilita soluciones de respaldo automatizado. Su método de triple extorsión incluye las siguientes tácticas:

  • Cifrado de datos
  • Amenaza de hacer pública la información robada, si no se paga el rescate.
  • Ataques de (DDoS) a las empresas afectadas.

Se recomienda reforzar las estrategias de prevención, incluyendo la segmentación de redes, la aplicación de parches de seguridad y la implementación de copias de seguridad fuera de línea para mitigar el impacto de este nuevo ransomware.

Taxonomía MITTRE ATT&CK:

Etapa Técnica ID

Initial Access 		Valid Accounts T1078.002
Phishing T1566

Execution 		User Execution T1204.002
Domain Policy Modification T1484.001
Privilege escalation Exploitation for Privilege Escalation T1068

Defense evasion		 Code Signing T1553.002
Masquerading T1036
Credential Access Credential Dumping T1003

Discovery		 Remote System Discovery T1018
Lateral Movement Remote Services T1021

Impact		           Data Encrypted for Impact T1486
Data Destruction T1485
Network Denial of Service T1498
Command & Control Application Layer Protocol T1071

Indicadores de Compromiso:

IOC Tipo
139.9.248.128 IP
163.181.22.245 IP
163.181.22.246 IP
ncmep.org Domain
tianyinsoft.top Domain

 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactor.

Referencias

  1. Esler, J. (2025, Febrero 21). CrazyHunter Ransomware Attack on Makai Hospital. ThreatSTOP. Recuperado el 13 de marzo del 2025, en: https://www.threatstop.com/blog/crazyhunter-ransomware-attack-on-makai-hospital
  2. Melillo, P. (2025, Marzo 10). Crazyhunter: The Ransomware with the Three-Dimensional Data Annihilation System That Redefines Data Destruction. Redhotcyber. Recuperado el 13 de marzo del 2025, en: https://www.redhotcyber.com/en/post/crazyhunter-the-ransomware-with-the-three-dimensional-data-annihilation-system-that-redefines-data-destruction/
  3. LevelBlue - Open Threat Exchange. (2025, Marzo 10). LevelBlue Open Threat Exchange. Recuperado el 13 de marzo del 2025, en:https://otx.alienvault.com/pulse/67cf4d83e9c869e587830d26/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Grupo RedGolf
Publicado hace 22 horas 25-04-2025

El 23 de marzo de 2023, la firma estadounidense de ciberseguridad Recorded Future alertó sobre la continua actividad del grupo de hackers chinos conocido como RedGolf, presuntamente respaldado por el Estado. Según el informe, este grupo mantiene operaciones activas......

Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025

Una nueva vulnerabilidad ha sido descubierta por el equipo interno de Fortinet. Esta vulnerabilidad cuenta con un score CVSS de 9.3, siendo clasificada como de carácter crítico. La vulnerabilidad fue ligada al identificador CVE-2024-48887. Esta CVE afecta a diver......

Ransomware NightSpire
Publicado hace 1 semana 16-04-2025

Con la creciente efectividad de los grupos de ransomware día con día, nuevos grupos se forman para aprovechar esta modalidad, la cual resulta muy lucrativa para los actores maliciosos. También se ha visto que se crean variantes de operaciones más grand......

BOLETINES RECIENTES

...
Grupo RedGolf
Publicado hace 22 horas 25-04-2025
Leer más
...
Vulnerabilidad Critica en FortiSwitch
Publicado hace 4 días 22-04-2025
Leer más
...
Ransomware NightSpire
Publicado hace 1 semana 16-04-2025
Leer más