Ransomware Genesis

Genesis es un grupo de robo de información y ransomware que apareció por primera vez a finales de 2025. Captó la atención de expertos en ciberseguridad rápidamente debido a que se confirmaron 12 víctimas en su primer mes de actividad, declarando haber exfiltrado un total de 2.2 TB de información sensible entre las víctimas iniciales. Otro aspecto del grupo que llamó la atención fue su enfoque en organizaciones que retienen información regulada y/o sensible, principalmente en Estados Unidos de América.

Imagen 1. Ejemplo de extorsión de víctima.
La rapidez y escala con la que el grupo actuó poco después de haber comenzado, son indicadores de una probable afiliación a Ransomware como Servicio (RaaS), pues los grupos que crean sus propias herramientas suelen trabajar por etapas mientras pruebas sus encriptados. La sospecha radica en Medusa Ransomware, que provee un encriptador e infraestructura, los cuales podrían estar siendo utilizados por el grupo Genesis.
Se sospecha que el grupo emplea la explotación de servicios de RDP inseguros, para después descubrir y exfiltrar información sensible y de alto valor (su objetivo principal). Posteriormente eligen si emplear o no un ransomware para encriptar la información en los sistemas de sus víctimas. Finalmente proceden con tácticas de doble extorsión, presionando a sus víctimas a adquirir la llave de desencriptado para poder restaurar sus operaciones y pagar para prevenir la publicación de la información robada.
Genesis se enfoca en la exfiltración de información, mientras que el ransomware o encriptación es la última fase, principalmente para aplicar presión a sus víctimas. También actúan como “Data Broker” o comercializadores de datos, categoría que algunas organizaciones consideran más adecuada para describir al grupo Genesis.
Este grupo también ataca a usuarios fuera de organizaciones, especialmente desarrolladores e ingenieros de nube, aunque también a usuarios casuales; Genesis se infiltra a través de ejecutables engañosos. Alguna de la información que roba a usuarios:

• Credenciales y cookies de navegadores.
• Tokens de diferentes servicios.
• Credenciales de AWS.
• Carteras de criptomonedas.

Antes de recopilar cualquier tipo de información, Genesis genera una huella única para cada sistema que vulnera. Después de recopilar información, la comprime y la pasa a una cadena de subida con redundancia (en caso de que alguno de los métodos falle), y al terminar se envía una alerta a diferentes endpoints.
Debido a que Genesis utiliza Medusa ransomware en sus ataques, es posible relacionar la taxonomía de ataque MITRE de ambos actores de amenaza, así como algunos indicadores de compromiso.

Taxonomía

Tactic	ID	Name
Initial Access	T1190	Exploit Public-Facing Application
	TA0001	Initial Access
	T1566	Phishing
Defense Evasion	T1070.003	Indicator Removal: Clear Command History
	T1027.013	Obfuscated Files or Information: Encrypted/Encoded File
	T1027	Obfuscated Files or Information
	T1070	Indicator Removal
	T1562.001	Impair Defenses: Disable or Modify Tools
Discovery	T1046	Network Service Discovery
	T1083	File and Directory Discovery
	T1135	Network Share Discovery
	T1016	System Network Configuration Discovery
	T1082	System Information Discovery
	T1069.002	Permission Groups Discovery: Domain Groups
Credential Access	TA0006	Credential Access
	T1003.001	OS Credential Dumping: LSASS Memory
Lateral Movement and Execution	TA0008	Lateral Movement
	T1059.001	Command and Scripting Interpreter: PowerShell
	T1059.003	Command and Scripting Interpreter: Windows Command Shell
	T1072	Software Deployment Tools
	T1021.001	Remote Services: Remote Desktop Protocol
	T1569.002	System Services
	T1047	Windows Management Instrumentation
Exfiltration and Encryption	TA0010	Exfiltration
	T1567.002	Exfiltration Over Web Service: Exfiltration to Cloud Storage
Command and Control	T1105	Ingress Tool Transfer
	T1071.001	Application Layer Protocol: Web Protocols
	T1219	Remote Access Software
Persistence	T1136.002	Create Account
Impact	T1486	Data Encrypted for Impact
	T1490	Inhibit System Recovery
	T1529	System Shutdown/Reboot
	T1489	Service Stop

Indicadores de compromiso

IOC	Tipo
d24dbda069525134f94904f7a16dbf275abcc0c8d7b0b9c065f39d91d3e2dd7a	SHA256
fa83180ee18c87e91ab920252e77692e7849b03d8220ace614bd4620bc559bb8	SHA256
3dae8b7d3669d697b41b427a2bbc2918881c4a70453ad2cea376bd4c27a23529	SHA256
7d979e19ebb28eb9e3c473dc130288526f950afea202b4ecaaaa74683c8c4758	SHA256
080d71eaff2082b9c10ff0a2414ed2371eb0eb700b71f975de595d7bbc409590	SHA256
4b52ba67747f8eb8287080a41164972bfa79ad4ac1baf0966fbf54545faeed32	SHA256
a4a882c22c248f95d2e913b5f83badcb0cd247894ee996ccbc15c575785e4788	SHA256
204b8a498705e97af6b7f050646bc3e9bb8609dc1cf8f57b5f7433e12b2e2319	SHA256
422933a922c14907cf70a3b0d1a15ff9c765aa57ffe39656b1fd16a23d2a670b	SHA256
068dce8acf9157ba95ad04932f1f5bdebc3660d25ff0f002bf0ccfe6294a7ffe	SHA256
1b61cc90e7143f97f267c265858d0c0409b69a2ffec6cfed9c2a794981d756b1	SHA256
6e74795b72834e29cb3bdeb09f5cab5afc88492c782a4f5b7f9892971591edc6	SHA256
401dec3bbc8bd4ce87cc0bb4ac8aedf6f40205b89476fb4b9ba9ebe0b135d459	SHA256
dbe6483c3fa475ac6ec6cf2b981ec08a5617093568ef1b04575c129013af6908	SHA256
11de285d451f5f2f24fb449364ee836ea599fb0ed7863643aef43ccf888ecc26	SHA256
4ba6866d613d0cbaaf6e586079b3de4ec0f951abb4ebd8c810ea86623242f186	SHA256
802f9297ee90fab24e1ab18bf74787a03b3e6ddf681677feb066383038a4f188	SHA256
d7a86dadc15ebf5cc064a9d9b413093854c25fdb6b06d3710300fcf4ffc79519	SHA256
56eb6afd322ef89de23aac3f5b7247a8d0f0b2db508285967e1de242e6050af6	SHA256
4e25306a7912045b5806be298d0e23de4153e331b0793b446fb123d77f072ccc	SHA256
b9d0951bbd62ad86da613fa3fcb939228305094bdc4462d06f8fd3f57e7a9b63	SHA256
1715bffc46bace588a5015bcc089fcad4d9905d6c7ed8a51c4d2ff970f3fe692	SHA256
86999ec14bdd085e1ec3acea4620d971369b928337f29169c941ffce276bf1c9	SHA256
38a03d16be9da16695e2a286948482e2fd9ca8f303213a8f6ba1ab10627fea8c	SHA256
33b01253db889904fe50103771ff248d6c836098917b20554cc5bce967be7c9b	SHA256
0a05c686d8661d0abbfde1b9619848b9041a63b7dcaf2ec36623fb5f5b811856	SHA256
82df15c58bd8eccbc4c8c9e443a1a57c4f70189745f6799a73ddecc3315910cd	SHA256
a0c26a10466c6c8e6b92e4adc85cc99a970bb4d903b60adf5c1499e9b094d7b0	SHA256
ef591a22899653a15acd0c3f303d8659d7022df02681148891dcd153a8a5a317	SHA256
9ffc66cfdbe4780957925370962a69757cb000b30e7dfa5788f160670364a326	SHA256
3930988ec97fe425cf4441f22dc4dca0aa086b3c7100ee2f67e13fe80b804151	SHA256
88faf2ec9c45158188a6ef03e15e1f0f7d575a365d6bd9ea7e5cf49cb001e5e2	SHA256
944b2b3fc5d769e1edd6d9f0790692fa45adbee43d2d1687792246e7e84f3f63	SHA256
50a362c59eac4bd2d6c3e211f3cdd661653f49d5050806f698949c7211ac6a7b	SHA256
769c32ff651161a57d38891ad1a8c331b8fbf21aeadc84008cef9793c6afa9d3	SHA256
8371908f5e73cb72d7cfe1b7f5e6067fc1be0faa2bf57595f71f8e9494d05381	SHA256
82e81546a33347df0a2597520effe148bc951c289b7cd42b24cd157f457da8eb	SHA256
24c0ba6060643f5428f88a293ff4ee911bc1a3cb06e077468b3042b7700537f0	SHA256
cf491a017db7d3182b918b0aad98b52ed0bcff6df384e9ba3d291c5aecbc93f4	SHA256

 

Recomendaciones

• Prestar especial atención y evitar abrir ejecutables descargados desde lugares sospechosos.
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto (NIST CSF, 2024).
• Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad (NIST CSF, 2024).
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactorial.

Referencias

1. Dissecting a GenesisStealer Campaign Hiding Behind Indie Game Branding. (2026, Febrero 27). Badrulmunir. Recuperado el 13 de mayo de 2026, en:  https://n3rr.xyz/posts/analysing-genesis-stealer/
2. Genesis Ransomware: Analyzing the Threat Group’s Sector-Agnostic Q4 2025 Surge. (2026, Enero 18). Ransom-DB. Recuperado el 13 de mayo de 2026, en: https://www.ransom-db.com/blog/genesis-ransomware-analysis-q4-2025-activity
3. Genesis Ransomware: The emergence of a new player in digital extortion in 2025. (2025, Noviembre 28). SOS Ransomware. Recuperado el 13 de mayo de 2026, en: https://sosransomware.com/en/ransomware-groups/genesis-ransomware-the-emergence-of-a-new-player-in-digital-extortion-in-2025/
4. Shenouda, J. (2025, Noviembre 3). New Threat Actor: Genesis. Joe Shenouda | Threat Intelligence. Recuperado el 13 de mayo de 2026, en: https://www.shenouda.nl/new-threat-actor-genesis/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios