jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » ragnarok

ragnarok

Threat-actor 2 min lectura threat-actor
Fecha
25 May 2026
Actor
threat-actor
Tipo
Threat-actor
Pais
China
Sector
-
Confianza
medium

Key Points

  • Ataques dirigidos: Enfocados en servidores Citrix con vulnerabilidades no corregidas.
  • Filtrado basado en lenguaje: Excluye objetivos rusos y chinos mediante el ID de lenguaje del sistema.
  • Deshabilitación de Windows Defender: Para minimizar la detección durante la infección.
  • Cifrado AES dinámico: Usa una clave generada en tiempo real, encriptada con RSA.
  • Referencias a UNIX: Incluye elementos de sistemas operativos Unix en sus cadenas.

ragnarok

Ragnarok

Perfil del Actor

Ragnarok es un actor de amenaza asociado al ciberataque, conocido por su uso de ransomware en ataques específicos contra servidores Citrix no actualizados. Según Bleeping Computer, el malware se enfoca en sistemas con vulnerabilidades expuestas y utiliza técnicas de filtraje basadas en el ID de lenguaje del sistema para evitar objetivos en Rusia y China. Además, intenta deshabilitar Windows Defender y incluye referencias a rutas de archivos UNIX en sus cadenas.

Origen y Motivación

No se han proporcionado datos concretos sobre el origen geográfico o las motivaciones detrás de la actividad de Ragnarok. Sin embargo, su metodología sugiere un enfoque estratégico basado en la vulnerabilidad de infraestructuras críticas.

Técnicas y Tacticas (TTPs)

Las tácticas empleadas por Ragnarok incluyen:

  • Ataques dirigidos: Enfocados en servidores Citrix con vulnerabilidades no corregidas.
  • Filtrado basado en lenguaje: Excluye objetivos rusos y chinos mediante el ID de lenguaje del sistema.
  • Deshabilitación de Windows Defender: Para minimizar la detección durante la infección.
  • Cifrado AES dinámico: Usa una clave generada en tiempo real, encriptada con RSA.
  • Referencias a UNIX: Incluye elementos de sistemas operativos Unix en sus cadenas.

Campanas Conocidas

Se reportan tres campañas identificadas relacionadas con Ragnarok. Sin embargo, no se han publicado detalles específicos sobre las victimas o los métodos de propagación utilizados en estas operaciones.

Objetivos y Victimas

Ragnarok busca atacar sistemas con vulnerabilidades en Citrix, excluyendo intencionalmente a usuarios rusos y chinos. Se han identificado tres victimas, aunque no se proporcionan detalles sobre sus ubicaciones o sectores afectados.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Domain sushlnty2j7qdzy64qnvyb6ajkwg7resd3p6agc2widnawodtcedgjid.onion Víctima conocida
Domain wob Víctima conocida

Detección y Defensa

Las organizaciones deben monitorear activos críticos, aplicar parches inmediatos a Citrix y verificar el estado de actualización de sus sistemas. Se recomienda la implementación de soluciones de detección basadas en comportamiento anómalo y la monitorización de rutas de archivo UNIX para identificar actividades maliciosas.

← Volver al panel de inteligencia

Incidentes recientes

myipo.gov.my13 Jun 2026 · payload Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit