Ransomware Crypto24

Publicado hace 7 meses 31-10-2025

El grupo de ransomware conocido como Crypto24 surgió en abril del 2025 y ha llamado la atención por sus ataques coordinados usando tanto herramientas legitimas como malware personalizado para obtener acceso, moverse lateralmente y evadir ser detectados. Actualmente, han afectado a diferentes industrias como: tecnología, servicios financieros, industria manufacturera, entretenimiento, logística y servicios legales. Entre sus victimas se han visto perjudicadas organizaciones de Asia, Europa y América, incluyendo países latinoamericanos como Uruguay, Argentina y Colombia. Para maximizar su impacto, este grupo ataca fuera de horarios de oficina. 
 

Sus métodos de infiltración incluyen enviar correos electrónicos con archivos adjuntos como phishing, servicios de acceso remoto con métodos MFA vulnerables, conexiones API legítimas a servicios en la nube y estrategias agresivas de cifrado e interrupción de copias de seguridad posteriores al acceso. 
 

Para el acceso inicial, mediante el uso de comandos estándar de Windows net.exe, los atacantes reactivan cuentas administrativas predeterminadas y crean varias cuentas de usuario nuevas que se agregan a grupos privilegiados, como administradores, para conservar el acceso elevado persistente. Para cada cuenta creada se usa el archivo 1.bat para recopilar información del sistema, recuperar información sobre las particiones en el disco, consultar información sobre el sistema operativo a través del comando WMIC e identificar niveles de privilegio y objetivos de alto valor observando membresías de grupos locales para el movimiento lateral. Son capaces de mantener la persistencia a través de las tareas y servicios programados de Windows, escalar privilegios usando PsExec y Anydesk, recolectar credenciales con un keylogger (WinMainSvc.dll), y exfiltrar información usando WinINet API y Google Drive. 
 

Tienen métodos de evasión avanzados donde usan una versión personalizada de una herramienta de código abierto llamada RealBlindingEDR para deshabilitar controladores de kernel. Esto afecta a agentes de seguridad de diferentes fabricantes como: Trend Micro, Cisco, Fortinet, Kaspersky, Sophos, SentinelOne, Malwarebytes, Cynet, McAfee, Bitdefender, Broadcom, Acronis, Citrix, etc. Para los productos de Trend Micro, este malware diseñado aprovecha una política de grupo legitima (gpscript.exe), para así ejecutar remotamente el desinstalador de Trend Vision One. La empresa Trend Micro confirma que dicho desinstalador solo lo pueden usan usuarios con privilegios de administrador, por lo que se podría observar su uso mal intencionado en sistemas previamente comprometidos. 
 

El grupo deja una nota de rescate llamada Decryption.txt donde especifica su información de contacto y amenaza con publicar su información en su sitio de filtraciones si no son contactados en una semana. 
 

A screenshot of a computerAI-generated content may be incorrect. 

Nota de rescate Ransomware Crypto24 [1] 

 

Taxonomía  

Tactic 

ID 

Technique (ID) 

Initial Access 

T1566.001 

Spearphishing Attachment 

T1087.001 

Local Account 

T1078 

Valid Accounts  

Credential Access 

T1003 

OS Credential Dumping 

T1056 

Input Capture 

T1056.001 

Keylogging 

Execution 

T1059 

Command and Scripting Interpreter 

T1106 

Native API 

T1569 

System Services 

T1053.005 

Scheduled Task 

T1059.003 

Windows Command Shell 

Persistence 

T1136 

Create Account 

Priv. Esc. 

T1068 

Exploitation for Privilege Escalation 

T1548 

Abuse Elevation Control Mechanism 

Def. Evasion 

T1562 

Impair Defenses 

T1134 

Access Token Manipulation 

T1014 

Rootkit 

T1036 

Masquerading 

Discovery 

T1082 

System Information Discovery 

Lateral Movement 

T1021.001 

Remote Services: Remote Desktop Protocol 

Collection 

T1005 

Data from Local System 

Exfiltration 

T1041 

Exfiltration Over C2 Channel 

Impact 

T1486 

Encrypt for Impact  

 

Indicadores de compromiso 

IOC 

Tipo 

0eae3b3db725dbd017852e0d752184f5 

FileHash-MD5 

7c5c87616c50cc04dd707ed4b620ba53 

FileHash-MD5 

EC5076AA5AC6BA904D33B8979C60DCE1 

FileHash-MD5 

3922461290fa663ee2853b2b5855afab0d39d799 

FileHash-SHA1 

8057d42ddb591dbc1a92e4dd23f931ab6892bcac 

FileHash-SHA1 

eeafb2d4f6ed93ab417f190abdd9d3480e1b7b21 

FileHash-SHA1 

24f7b66c88ba085d77c5bd386c0a0ac3b78793c0e47819a0576b60a67adc7b73 

FileHash-SHA256 

3b0b4a11ad576588bae809ebb546b4d985ef9f37ed335ca5e2ba6b886d997bac 

FileHash-SHA256 

686bb5ee371733ab7908c2f3ea1ee76791080f3a4e61afe8b97c2a57fbc2efac 

FileHash-SHA256 

a60c6a07d3ba6c2d9bf68def208566533398fe8f 

FileHash-SHA1 

9a9f52554c1a9938725b7dabd0f27002b0f8e874 

FileHash-SHA1 

e573f4c395b55664e5e49f401ce0bbf49ea6a540 

FileHash-SHA1 

71a528241603b93ad7165da3219e934b00043dd6 

FileHash-SHA1 

093902737a7850c6c715c153cd13e34c86d60992 

FileHash-SHA1 

5d1f44a2b992b42253750ecaed908c61014b735a 

FileHash-SHA1 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. Trend Micro. (2025, Agosto 24). Crypto24 Ransomware Group Blends Legitimate Tools with Custom Malware for Stealth Attacks. Recuperado el 31 de Octubre del 2025, en: https://www.trendmicro.com/en_us/research/25/h/crypto24-ransomware-stealth-attacks.html  
  2. Langley, M. (2025, Agosto 18). Crypto24 Ransomware: The Phantom Encryptor. Security Daily Review. Recuperado el 31 de Octubre del 2025, en: https://dailysecurityreview.com/resources/threat-actors-resources/crypto24-ransomware-the-phantom-encryptor/  
  3. Toulas, B. (2025, Agosto 14). Crypto24 ransomware hits large orgs with custom EDR evasion tool. Recuperado el 31 de Octubre del 2025, en: https://www.bleepingcomputer.com/news/security/crypto24-ransomware-hits-large-orgs-with-custom-edr-evasion-tool/  

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más