Boletín de ciberseguridad – Ransomware LeakedData
Recientemente se ha detectado un nuevo grupo de ransomware llamado LeakedData que inicio su actividad en abril del 2025 y debido a su alto número de víctimas en tan poco tiempo se está considerando como una amenaza emergente en el mundo cibercriminal. Hasta ahora el ransomware cuenta con 72 víctimas publicadas y se ha detectado que se inclina a víctimas del sector empresarial, financiero y legal. Ataca a víctimas que van desde pequeñas empresas hasta grandes, la mayoría de Estados Unidos, Alemania y Canadá.
También a la amenaza se le ha vinculado con el grupo de ransomware Silent que está en operación desde el 2022 y se cree que el ransomware Silent solo hizo un rebranding para seguir en operación. La forma de operación del ransomware LeakedData empieza mediante campañas de phishing para obtener acceso a la infraestructura de las víctimas, y al igual que otros ransomware este utiliza la táctica de doble extorsión, en donde compromete la infraestructura de la víctima, exfiltra información sensible y después pide pago de rescate. Además, esta amenaza publica a sus víctimas en su página de filtración donde otros actores de amenazas pueden descargar la información filtrada con costo.
Sitio de filtraciones de LeakedData [1]
Este ransomware comúnmente utiliza campañas de phishing para propagarse y acceder a la infraestructura de las víctimas, pero estos están especialmente diseñados y personalizados con dominios falsos y haciéndose pasar por asistentes de TI. También se ha detectado que utilizan phishing de devolución de llamada que es un tipo de táctica que contiene información manipulada atractiva, en donde las victimas llaman o entran a un link malicioso para obtener más información de lo que se envió en el correo malicioso.
Dominios maliciosos utilizados por LeakedData [2]
Otro vector de ataque que se ha detectado que utiliza estos actores de amenazas son la explotación de vulnerabilidades de las herramientas de conexión remota AnyDesk, TeamViewer y Zoho Assist. Algo que diferencia a este ransomware de algunos otros es que LeakedData no cifra los datos de las víctimas, solo exfiltra los datos obtenidos.
Taxonomia MITRE ATT&CK:
|
Táctica |
ID de la técnica |
Nombre |
|
Reconnaissance |
T1598 |
Phishing for Information |
|
Resource Development |
T1588 |
Obtain Capabilities |
|
T1588.002 |
Tool |
|
|
Initial Access |
T1566 |
Phishing |
|
T1566.003 |
Spearphishing via Service |
|
|
Defense Evasion |
T1036 |
Masquerading |
|
Lateral Movement |
T1021 |
Remote Service |
|
Command and Control |
T11020 |
Web Service |
|
T1105 |
Ingress Tool Transfer |
|
|
T1219 |
Remote Access Software |
|
|
Exfiltration |
T1567 |
Exfiltration Over Web Service |
Indicadores de Compromiso:
|
IOC |
Tipo |
|
{dictumst.xyz} |
Dominio |
|
{tincidunt.xyz} |
Dominio |
|
{deserunt.xyz} |
Dominio |
|
{mczoho.com} |
Dominio |
|
{masterzohoclass.com} |
Dominio |
|
{zohocook.com} |
Dominio |
|
{molestie.xyz} |
Dominio |
|
{adipiscing.xyz} |
Dominio |
|
{fringilla.xyz} |
Dominio |
|
{volutpat.xyz} |
Dominio |
|
{ultrices.xyz} |
Dominio |
|
{cookwithzoho.com} |
Dominio |
|
{cocinabyzoho.com} |
Dominio |
|
{massay.xyz} |
Dominio |
|
{masaay.xyz} |
Dominio |
|
{myaaas.xyz} |
Dominio |
|
{myaasa.xyz} |
Dominio |
|
{myasaa.xyz} |
Dominio |
|
{masyaa.xyz} |
Dominio |
|
{maysaa.xyz} |
Dominio |
|
{msaaay.xyz} |
Dominio |
|
{maaays.xyz} |
Dominio |
|
maaasy.xyz |
Dominio |
|
{cocinazoho.com} |
Dominio |
|
{zohomclass.com} |
Dominio |
|
{zohocooking.com} |
Dominio |
|
{Studyzoho.com} |
Dominio |
|
{Molesste.xyz} |
Dominio |
|
{zohocookingmeals.com} |
Dominio |
|
{zohokitchen.com} |
Dominio |
|
{Ullamm.xyz} |
Dominio |
|
{zohokitchenmaster.com} |
Dominio |
|
{zohoteachingmaster.com} |
Dominio |
|
{zohoteaching.com} |
Dominio |
|
{tincidut.xyz} |
Dominio |
|
{masterclassgold.com} |
Dominio |
|
{proodee.xyz} |
Dominio |
|
{zohocookingclass.com} |
Dominio |
|
{zohoclasspro.com} |
Dominio |
|
{deerunt.xyz} |
Dominio |
|
{nostuud.xyz} |
Dominio |
|
{aliuuip.xyz} |
Dominio |
|
{zohoduolingo.com} |
Dominio |
|
{duolingoclass.com} |
Dominio |
|
{acsyruse.xyz} |
Dominio |
|
{zoholanguageclass.com} |
Dominio |
|
{zoholanguage.com} |
Dominio |
|
{duo-lingo-class.com} |
Dominio |
|
{caaom.xyz} |
Dominio |
|
{caaof.xyz} |
Dominio |
|
{caaog.xyz} |
Dominio |
|
{caaor.xyz} |
Dominio |
|
{caaon.xyz} |
Dominio |
|
{duolingo-class.com} |
Dominio |
|
{studyduolingo.com} |
Dominio |
|
{Masterclass-cocinero.com} |
Dominio |
|
{duuis.xyz} |
Dominio |
|
{eeeaa.xyz} |
Dominio |
|
{veelit.xyz} |
Dominio |
|
{eesse.xyz} |
Dominio |
|
{moolit.xyz} |
Dominio |
|
{premiumduolingo.com} |
Dominio |
|
{clase-magistral de cocinero.com} |
Dominio |
|
{yourduolingo.com} |
Dominio |
|
{masterclasscooking.com} |
Dominio |
|
{masterclass-chef.com} |
Dominio |
|
{allduolingo.com} |
Dominio |
|
{aredo.xyz} |
Dominio |
|
{aeedo.xyz} |
Dominio |
|
{allreedo.xyz} |
Dominio |
|
{alloout.xyz} |
Dominio |
|
{subscriptionduolingo.com} |
Dominio |
|
{germanbyduolingo.com} |
Dominio |
|
{duolingo-italianclass.com} |
Dominio |
|
{aeecc.xyz} |
Dominio |
|
{eceee.xyz} |
Dominio |
|
{aeocc.xyz} |
Dominio |
|
{aedcc.xyz} |
Dominio |
|
{AEUCC.xyz} |
Dominio |
|
{duolingoitalian.com} |
Dominio |
|
{duolingoit.com} |
Dominio |
|
{duolingoitclass.com} |
Dominio |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Owda, A. (2025, Mayo 15). Dark Web profile: Silent Ransom Group (LeakedData) - SOCRadar® Cyber Intelligence Inc. SOCRadar® Cyber Intelligence Inc. Recuperado el 21 de mayo del 2025 en: https://socradar.io/dark-web-profile-silent-ransom-group-leakeddata/
- Sygnia. (2024, Diciembre 09). Luna Moth Ransomware: the threat actors behind recent false subscription scams. Sygnia. Recuperado 21 de mayo del 2025 en: https://www.sygnia.co/blog/luna-moth-false-subscription-scams/
