Ransomware Stormous

El ransomware Stormous en los últimos meses ha aumentado su actividad, lo que lo convierte en una posible amenaza en ascenso. Se ha monitoreado que Stormous ha ido acumulando victimas este año desde el mes de febrero y mes tras mes ha publicado más víctimas, esto ha llamado la atención de los especialistas en inteligencias de amenazas porque, aunque el ransomware lleva en actividad desde febrero del 2022, su número de víctimas se habían mantenido bajas. Stormous se inclina por atacar a organizaciones o víctimas de países como España, Francia, Brasil, Emiratos Árabes y Estados Unidos, también se ha detectado mayor número de víctimas en los sectores de hotelería, tecnología, gobierno y en el sector salud.  
 

Esta amenaza utiliza campañas de phishing, explotación de vulnerabilidad y credenciales comprometidas para obtener acceso a la infraestructura de sus víctimas, después de acceder realizan movimientos laterales para obtener privilegios de administrador y así poder localizar la infraestructura critica de las víctimas y comprometer la información. 

 

Después de localizar la información sensible utilizan el método de doble extorsión, que es una de las tácticas más comunes en los ransomwares. El método básicamente se centra en primero cifrar y exfiltrar la información comprometida y después pedir un pago de rescate. 

 

Stormous, tiene un sitio de filtración en donde publica a sus víctimas y la información robada, la información no se publica en el sitio hasta después de 7 días del ataque, debido a que los autores de amenazas les dan 3 días a sus víctimas para pagar el rescate, desde el 4to día se duplica el costo de rescate y al cumplir los 7 días se publica la información. 


Sitio de filtración del ransomware Stormous [1] 
 

A la amenaza se le ha vinculado con el gobierno ruso ya que mostro su apoyo en la guerra que tuvo con Ucrania, también es importante mencionar que se le han atribuido victimas u organizaciones reconocidas como Coca-Cola, Mattel, Danaher y recientemente Grupo Volkswagen. Con eso se puede comprobar que es una amenaza que se tiene que mantener en radar para mantenerse informados de su evolución. 
 

Taxonomía MITRE ATT&CK

Táctica	ID	Técnica
Reconocimiento	T1595	Escaneo activo
Desarrollo de recursos	T1588.002	Obtener capacidades: Herramienta
Acceso inicial	T1566	Phishing
	T1190	Aplicación de vulnerabilidad de seguridad pública
	T1078	Cuentas válidas
	T1199	Relación de confianza
Ejecución	T1059	Intérprete de comandos y secuencias de comandos
	T1204.002	Ejecución de usuario: Archivo malicioso
	T1505.003	Componente de software de servidor: Web Shell
Persistencia	T1053	Tarea/trabajo programado
	T1547.001	Inicio automático de arranque/inicio de sesión: claves de ejecución del Registro
	T1543.003	Crear o modificar un proceso del sistema: servicio de Windows
Escalada de privilegios	T1548.002	Mecanismo de control de elevación de abuso: derivación de UAC
Evasión de la defensa	T1027	Archivos o información ofuscados
	T1562.001	Deshabilitar/Modificar Herramientas – Matar Procesos
	T1070	Eliminación del indicador en el host
Acceso a credenciales	T1003	Volcado de credenciales del sistema operativo
Descubrimiento	T1083	Detección de archivos y directorios
	T1046	Escaneo de servicios de red
Movimiento lateral	T1021.001	Servicios remotos: Escritorio remoto
	T1021.002	Servicios remotos: recursos compartidos de administración de SMB/Windows
Colección	T1560	Archivo de datos recopilados
Exfiltración	T1041	Exfiltración por canal C2
	T1567.002	Exfiltración a través del servicio web
Impacto	T1486	Datos cifrados para el impacto
	T1490	Inhibir la recuperación del sistema
	T1487	Borrar/eliminar disco

Indicadores de compromiso 

IOC	Tipo
96ba3ba94db07e895090cdaca701a922523649cf6d6801b358c5ff62416be9fa	sha256
b15a8047abd9a3af013cf6c77ce15acf	md5
154.201.87.185	ip
0ca931fb37e2cf33a5fd01a2bb5854cc	md5
38a9671a253750cbe517ce75af2117e3	md5
779aa15cd6a8d416e7f722331d87f47b	md5
a3860c4277bc224773df5b7365cdb77d	md5
c2734e516454c7af7354a7a4d25cdfa1	md5
ce7dc5df5568a79affa540aa86b24773	md5
d09f57fcdedc901ad0f3f6f6293d1460	md5
f0514037777ec49400b7ac301ea70c52	md5
111caef54a6bb02a11d8c6f923e5c8b1f2323eb3	sha1
1a3f554c6f1acbd3f7b894a09a492edd9743406c	sha1
35871a1c2693d43cc88429992d2bb93ab66b2b68	sha1
3fe5d098952796c0593881800975bcb09f1fe9ed	sha1
86f163a248e2a9eb2209881351029ce2bbcc5b58	sha1
9050419cbecc88be7a06ea823e270db16f47c1ea	sha1
ad062ffc6cc642ed47549f172e085c15e4902466	sha1
b7613d1df887295461332141f0e9f047a1a7eab8	sha1
008c7e556beba4a5d026211259114ba686013b5fd5f9cb9e677b2641bd2c2fc5	sha256
0323956d8e2c7f6cf85c72873002af0469201d680b79cad4d67d3e83614bf949	sha256
0ae98cbdb70327b23fdbcd3c8fdfc59613d88ed97139d84e07913d46f7bb663d	sha256
0af21e5bdeaf84c33c172a1170987cca478c2b3e13a3de5653f724f36e278ee4	sha256
19f0294a7fe42251565bb132555a0a48babc582c1e0d7cbb6201974627ab080b	sha256
23ba8078df63ebb313f2f2a2f24dab840e068ddd5cc54bb661db7d010954d2fc	sha256
275d0d15fa3582e848f05daa76d351e10ce3d7072e9c987eee1a1f606c714a97	sha256
4067b731d895acf92f04f223d3ceeab9924e909536fa207df2d6ff262752c400	sha256
94.103.91.246	ip

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque. 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Threat Intelligence Report May 20th. (2025,  Mayo 26). Recuperado el 20 de junio de 2025, en: https://redpiranha.net/news/threat-intelligence-report-may-20-may-26-2025 
2. Sarı, C. (2024, Noviembre 1). Dark Web Profile: Who is Stormous Ransomware. SOCRadar. Recuperado el 20 de junio de 2025, en: https://socradar.io/who-is-stormous-ransomware-group/ 
3. LevelBlue - Open Threat Exchange. (2024a, Agosto 17). LevelBlue Open Threat Exchange. Recuperado el 20 de junio de 2025, en: https://otx.alienvault.com/pulse/6699289c41d96474b1b805e8 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios