Hackeo, minería, rescate: 5 hackers idearon cómo sacar el mayor provecho de los gigantes de IT
Google expone a Triplestrength, una banda de extorsionistas geniales.
El departamento de análisis de amenazas de Google ha revelado información sobre un grupo de hackers hasta ahora desconocido: Triplestrength, activo desde 2020. Según Genevieve Stark, jefa del Google Threat Intelligence Group, la banda está formada por solo unos pocos miembros, pero la escala de sus operaciones es impresionante.
Los delincuentes emplean un enfoque integral en sus ataques: infectan los ordenadores de sus víctimas con ransomware y, al mismo tiempo, toman el control de sus cuentas en la nube para minar criptomonedas. Además, los miembros de la banda tienen una fuerte presencia en foros de hackers, donde venden acceso a servidores comprometidos.
Los servidores de las mayores plataformas en la nube han sido su principal objetivo: Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud y Digital Ocean. La investigación reveló que obtienen credenciales de usuario mediante el malware Raccoon, diseñado para robar información de sistemas Windows infectados.
Los analistas destacan que la banda separa intencionadamente sus actividades de extorsión y minería de criptomonedas. Sus programas de ransomware solo se utilizan en ataques contra sistemas locales y no afectan a la infraestructura en la nube. A diferencia de muchas bandas criminales modernas, Triplestrength no practica la doble extorsión ni roba datos antes de cifrarlos. En su lugar, simplemente bloquean los archivos y exigen un rescate para restaurarlos.
Para el cifrado, los atacantes emplean varias familias de ransomware, entre ellas Phobos, LokiLocker y RCRU64. Todas ellas operan bajo el modelo de "ransomware como servicio" (RaaS), pero, a diferencia de plataformas populares como RansomHub o LockBit, no ofrecen servicios adicionales, como foros en la darknet para filtrar datos robados o asistencia en negociaciones con las víctimas.
Los métodos de acceso inicial empleados por Triplestrength son relativamente simples. No utilizan vulnerabilidades de día cero ni técnicas avanzadas de escalamiento de privilegios. Su táctica principal es el ataque de fuerza bruta a contraseñas para acceder a servidores de escritorio remoto (RDP). Una vez dentro, los hackers se mueven lateralmente dentro de la red corporativa, desactivan el software antivirus y utilizan herramientas ampliamente conocidas: Mimikatz para el robo de credenciales y NetScan para mapear la red en busca de dispositivos vulnerables.
Un ejemplo claro de este modus operandi ocurrió en mayo de 2024: tras obtener acceso a un servidor RDP mediante fuerza bruta, los atacantes penetraron en la red corporativa, deshabilitaron las medidas de seguridad y desplegaron RCRU64 en varios equipos con Windows.
La información sobre las actividades de Triplestrength apareció en el primer informe Google Threat Horizons de 2025. La conexión entre los ataques de ransomware y la minería de criptomonedas se estableció gracias a anuncios en Telegram, donde la banda buscaba reclutar colaboradores para propagar RCRU64. Las cuentas utilizadas en estos mensajes coincidían con las identificadas en operaciones de minería ilegal.
Las actividades de criptominería de la banda comenzaron alrededor de 2022. Inicialmente, utilizaban los recursos informáticos de las víctimas, pero luego trasladaron sus operaciones a la infraestructura en la nube. Para minar criptomonedas, emplean la aplicación unMiner y el pool unMineable.
Aunque cada ataque individual genera ingresos relativamente pequeños —desde unos cientos hasta varios miles de dólares—, las pérdidas para las víctimas son mucho mayores. En algunos casos, las facturas por el uso de recursos en la nube han ascendido a cientos de miles de dólares.
Los expertos de Google han identificado múltiples direcciones de criptomoneda TRX vinculadas a Triplestrength. Estas fueron descubiertas en archivos de configuración, pagos desde el pool unMineable y transacciones en intercambios de criptodivisas. En la última auditoría, realizada hace unos meses, se registraron más de 600 pagos a estas carteras, lo que sugiere que el número de transacciones ha seguido creciendo.
Las víctimas de Triplestrength pertenecen a diversos sectores y regiones del mundo. A pesar de su reducido número de miembros, la banda demuestra un alto nivel de organización y eficiencia en sus operaciones criminales, expandiendo constantemente su alcance.