adminlocker
Perfil del Actor
adminlocker es un actor de amenaza asociado a ransomware que opera en el entorno de ciberseguridad con un perfil relativamente bajo. Se identificó inicialmente como una amenaza individual o de un pequeño grupo cerrado, sin evidencia de estructura organizada o affiliate model. Su actividad se centra en la cifrado de archivos y extorsión mediante plataformas basadas en Tor.
Origen y Motivación
La primera observación de adminlocker data del mes de diciembre de 2021, cuando se detectaron ataques que cifraban archivos de victimas y exigían pagos en Bitcoin. El actor parece actuar con una motivación financiera, utilizando un portal Tor para recibir pagos y facilitar la extorsión. Sin embargo, no hay registros de actividades de difusión o affiliate model.
Técnicas y Tacticas (TTPs)
El actor utiliza técnicas de phishing y exploits para ganar acceso a sistemas vulnerables. Una vez dentro, cifra archivos críticos y exige pagos en Bitcoin a través de un portal Tor. La operación se lleva a cabo con una alta prioridad en la rapidez y el anonimato, aprovechando redes TOR para evitar rastreo.
Campanas Conocidas
No hay datos publicados sobre campañas específicas atribuidas a adminlocker. Sin embargo, su actividad se centra en victimas que no tienen defensas robustas contra ransomware. La fecha de observación más reciente es 2026-05-25.
Objetivos y Victimas
adminlocker parece tener como objetivo principal a organizaciones y particulares que no tienen sistemas de defensa adecuados. Las victimas probablemente incluyen empresas pequeñas, usuarios domésticos o entornos sin protección contra ransomware.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Tor Onion URL | adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion | Plataforma utilizada para recibir pagos en Bitcoin durante extorsiones. |
Detección y Defensa
Para mitigar riesgos de adminlocker, es fundamental monitorear redes Tor y alertar sobre actividades sospechosas. Las organizaciones deben implementar sistemas de detección basados en comportamiento, usar encryption robusta y mantener actualizaciones de seguridad. La presencia de un portal Tor como este puede ser un indicador de una campaña de ransomware activa.