Ransomware Ransomhouse

Publicado hace 7 meses 13-11-2025

El ransomware RansomHouse es una amenaza que se distingue por su enfoque en la extorsión mediante la filtración de datos, alejándose del modelo tradicional basado en el cifrado masivo de archivos. Este grupo opera bajo una estructura organizada que se asemeja a un servicio, conocida como Ransomware-as-a-Service (RaaS), lo que significa que recluta colaboradores y afiliados en foros clandestinos para ampliar su alcance. Su estrategia comienza con la obtención de acceso inicial a los sistemas de la víctima, utilizando tácticas como el phishing dirigido, la explotación de vulnerabilidades sin parchear y el uso de credenciales comprometidas. Una vez dentro, los atacantes despliegan herramientas avanzadas como Metasploit, Cobalt Strike y Vatet Loader para realizar movimientos laterales y consolidar su presencia en la red. 

 

A diferencia de otros grupos de ransomware, RansomHouse no suele cifrar los archivos de la víctima, lo que les permite permanecer más tiempo en los sistemas afectados sin ser detectados. Este comportamiento les da una ventaja estratégica, ya que pueden recopilar grandes volúmenes de información sensible sin interrumpir las operaciones de la organización, reduciendo la probabilidad de una respuesta inmediata. El objetivo principal es la exfiltración de datos, que posteriormente se convierte en el núcleo de su mecanismo de extorsión. Una vez que han asegurado la información, los atacantes amenazan con publicarla en su sitio de filtraciones en la dark web si no se paga el rescate. 

 

Para aumentar la presión sobre las víctimas, RansomHouse publica pruebas del robo en canales como Telegram y en su propia plataforma, mostrando fragmentos de los datos sustraídos. Esta táctica busca generar un impacto reputacional y financiero, obligando a las organizaciones a considerar el pago para evitar la exposición pública. El grupo ha dirigido sus ataques a sectores críticos como salud, educación, tecnología, gobierno y manufactura, afectando a empresas de gran relevancia internacional. Casos como el ataque a AMD y al Hospital Clínic de Barcelona han demostrado la capacidad del grupo para comprometer infraestructuras complejas y manejar información altamente sensible. 

 

A screenshot of a computer AI-generated content may be incorrect. 

Sitio de filtraciones del Ransomware RansomHouse [1] 

 

Aunque RansomHouse se presenta como una comunidad que busca evidenciar fallos de seguridad, su actividad realmente se centra en la extorsión pura. Este discurso pretende justificar sus acciones, pero en la práctica, sus operaciones generan pérdidas económicas, daños reputacionales y riesgos legales para las organizaciones afectadas.  

 

Además, su modelo de negocio basado en la colaboración con terceros incrementa la dificultad de rastrear y desmantelar la red, convirtiéndolo en una amenaza persistente y sofisticada. RansomHouse representa una evolución en las tácticas de ransomware, priorizando la explotación de datos y la presión psicológica sobre las víctimas, lo que exige a las empresas reforzar sus estrategias de ciberseguridad, implementar controles de acceso robustos y mantener planes de respuesta ante incidentes que contemplen este tipo de ataques. 

 

Indicadores de compromiso  

IOC 

Tipo 

ef46880a8583da64cebea1e8f8cb1fb3 

FileHash-MD5 

0a77e537c64336f97a04020e59d17d09d459d1626a075878e2b796d1e1033038 

FileHash-SHA256 

2c1a4fe4a2ac4f0a49052f9521458136eb477fe23665dc4b7076fbd32de3005d 

FileHash-SHA256 

3934b3da6bad0b4a28483e25e7bab919d7ed31f2f51cca22c56535b9f8183a0e 

FileHash-SHA256 

8189c708706eb7302d7598aeee8cd6bdb048bf1a6dbe29c59e50f0a39fd53973 

FileHash-SHA256 

afe398e95a75beb4b0508c1bbf7268e8607d03776af0b68386d1e2058b374501 

FileHash-SHA256 

bfc9b956818efe008c2dbf621244b6dc3de8319e89b9fa83c9e412ce70f82f2c 

FileHash-SHA256 

d36afcfe1ae2c3e6669878e6f9310a04fb6c8af525d17c4ffa8b510459d7dd4d 

FileHash-SHA256 

16ba82a353bb797f73b90f4158fc39d2689fae1bad8e7ccaaaf1f10c73b2bda2 

FileHash-SHA256 

1af5518e797a1f23aef45a523789a51e7fdbfcb9ef364a49c976146ee85a11d3 

FileHash-SHA256 

1ee95fc46f676b5a38ed77c997ff88224a302247e448329c6248e3d2a7f6bedd 

FileHash-SHA256 

1f219339bcc557601657890c18565ad3e3888ee666a58641c5b94dbebe1dd017 

FileHash-SHA256 

255d8866810aa1aaa40dffaf92012eafb35531da5a00870cdc9201ff6aebf627 

FileHash-SHA256 

3fae6ff548ef0c45f873f87366ff91fb40dbdf45a2c8b8681438934868b79736 

FileHash-SHA256 

4131c979735a7db3c1da837651dbd611796aaaff8c346025afdca549181cad9b 

FileHash-SHA256 

493b4e61046545759983ce4fc86e0401d7f652d5d35c45654a794f31fd749fe1 

FileHash-SHA256 

51eff9d675c1c9d9d11ce82e449aa3b97a6726b34b204f1aefb63b0b01a303bf 

FileHash-SHA256 

6485c12d9c9577dbd4f1847fc6a65b05096dc796070724d55f27e5b7e9b4e177 

FileHash-SHA256 

757b4bb0c0ab330829622376074cc3da65a65de99dad8ad9b16d5abc1377fa49 

FileHash-SHA256 

7c50789f8fabc585594e26df1ab166729160ea4309eb91101db485a6bea4318a 

FileHash-SHA256 

911c3280f89b58f97b4e2e9aca12658be02bcaca54657328dc798638735b2fe4 

FileHash-SHA256 

93e13dab1e0d3c343344b5438c7ad1153536b4eb05464f3b4a84d083e0843305 

FileHash-SHA256 

a003fe3c015680a8d95effeeb726493fc6a76a363b9679594ac02c06c47c1264 

FileHash-SHA256 

a534a6a70e364a26750642d035acf0d66f0f55148c7e858ff0f742253d79e2a9 

FileHash-SHA256 

a6b079fffa2b5785ff744b7e2ae8429b31a313aa6cb4985d380644aa6001b0c5 

FileHash-SHA256 

bfc9b956818efe008c2dbf621244b6dc3de8319e89b9fa83c9e412ce70f82f2c 

FileHash-SHA256 

c868bec16fb9116e0a7bb91d532079c540d2338921825cf6582cc9fcc99b5ff4 

FileHash-SHA256 

db55383b6521a152492a5767009ad308ac46bc6cfc10e9f3bfee78110e33fdd5 

FileHash-SHA256 

f0c48f01d2eaaebe32713774bac8fe83e5bce7a7b52043a57868727d56aa6aab 

FileHash-SHA256 

f5444dd160344cc72aec927d3f9d6168d636f6945abd5007b1b47123e5643106 

FileHash-SHA256 

F7600B701815FAEADFA063A8B45CDA2746465F0D395CDCFC8C300593FF8AA0E6 

FileHash-SHA256 

 

Taxonomía  

Tactic 

ID 

Technique 

Initial Access  

T1113 

Externla Remote Services  

T1190 

Exploit Public Facing Application  

T1566 

Phishging 

Execution  

T1059 

Commnad and Scripting Interpreter  

T1106 

Native API  

Persistence  

T1078 

Valid Accounts  

Credencial Access  

T1003.001 

Credential Dumping: LSASS Memory 

T1003.006 

OS credential Dumping: DCSync 

Defense Evasion  

T1140 

Deobfuscate/ Decode Files or Information  

T1562 

Impair Dfenses  

T1027 

Obfuscated Files or Infromation  

Discovery  

T1083 

File and diectory Discovery  

T1135 

Network Share Discovery  

T1057 

Process Discovery  

T1082  

System Information Discovery  

T1049 

System Network Connections Discovery  

T1007 

System Service Discovery  

Lateral Movement 

T1021 

Remote Services  

Exfiltration  

T1020  

Automated Exfiltration  

T1048 

Exfiltration Over Alternative Protocol 

Impact 

T1486 

Data Encrypted for Impact 

T1490 

Inhibit System Recovery  

T1489 

Service Stop  

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. SentinelOne. (2025, Septiembre 17). RansomHouse. SentinelOne. Recuperado el 12 de Noviembre de 2025, en: https://www.sentinelone.com/anthology/ransomhouse/ 
  2. RansomHouse Ransomware: Lo que necesita saber. (2025, Abri 15 l). FORTRA. Recuperado el 12 de Noviembre de 2025, en: https://www.fortra.com/blog/ransomhouse-ransomware-what-you-need-know 
  3. SCILabs. (2023, Diciembre 07). Threat profile: Ransomhouse. Recuperado el 12 de Noviembre de 2025, en: https://blog.scilabs.mx/en/2023/12/07/threat-profile-ransomhouse/ 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más