jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » ako

ako

Threat-actor 3 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Encriptación híbrida: Uso simultáneo de AES y RSA-2048 para proteger los datos.
  • Extensión de archivos personalizada: Aplicación de extensiones como .encrypted, .bomber, .locker16, entre otras, para identificar archivos encriptados.
  • Avoidance de ejecutables: Evitar la ejecución directa del malware para no hacer inutilizable el sistema durante la fase de preparación.
  • Monitorear archivos con extensiones no estándar: Verificar la presencia de .encrypted, .bomber, etc., en sistemas críticos.
  • Revisar tráfico de red sospechoso: Detectar comunicación con nodos Tor o dominios maliciosos.

ako

ako

Perfil del Actor

Ako es un actor de amenaza asociado al ransomware MedusaLocker, un malware de Windows diseñado para preparar sistemas objetivo antes de encriptar archivos. Este tipo de amenazas suele operar en el dark web, utilizando técnicas avanzadas para evitar que las víctimas se queden sin acceso a su sistema durante la fase de preparación.

MedusaLocker evita ejecutar archivos directamente para no renderizar el sistema inutilizable al pagar el rescate. Utiliza una combinación de criptografía AES y RSA-2048, lo que sugiere un enfoque de alta complejidad para proteger los datos robados.

Origen y Motivación

El actor Ako parece tener una presencia activa en el dark web, con referencias a un nodo Tor (kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion) que podría ser utilizado para comunicaciones o distribución de malware. La motivación probablemente está relacionada con el robo de datos y la extorsión financiera, un modelo común en amenazas de ransomware.

Técnicas y Tacticas (TTPs)

Las técnicas empleadas por Ako incluyen:

  • Encriptación híbrida: Uso simultáneo de AES y RSA-2048 para proteger los datos.
  • Extensión de archivos personalizada: Aplicación de extensiones como .encrypted, .bomber, .locker16, entre otras, para identificar archivos encriptados.
  • Avoidance de ejecutables: Evitar la ejecución directa del malware para no hacer inutilizable el sistema durante la fase de preparación.

Campanas Conocidas

No se disponen de detalles específicos sobre campañas activas relacionadas con Ako. Sin embargo, su presencia en el dark web sugiere una operativa crónica que podría afectar a organizaciones y usuarios individuales.

Objetivos y Victimas

El objetivo principal de Ako es encriptar archivos sensibles y exigir un rescate. Las victimas probablemente incluyen empresas, organizaciones sin fines de lucro o individuos cuyos datos son valorables. La estrategia de evitar la ejecución directa del malware indica una tentativa de maximizar el tiempo de inutilización del sistema antes de la encriptación.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
URL Tor kwvhrdibgmmpkhkidrby4mccwqpds5za6uo2thcw5gz75qncv7rbhyad.onion Nodo asociado al actor en el dark web (2026-05-25)

Se registró una actividad relacionada con este nodo en la fecha 2026-05-25, lo que sugiere un posible escaneo o distribución de amenazas.

Detección y Defensa

Para mitigar el impacto de Ako, es fundamental:

  • Monitorear archivos con extensiones no estándar: Verificar la presencia de .encrypted, .bomber, etc., en sistemas críticos.
  • Revisar tráfico de red sospechoso: Detectar comunicación con nodos Tor o dominios maliciosos.
  • Implementar protección endpoint: Utilizar soluciones antivirus y herramientas de detección de amenazas para identificar patrones híbridos de encriptación.
← Volver al panel de inteligencia

Incidentes recientes

myipo.gov.my13 Jun 2026 · payload Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit