
Resumen ejecutivo
SquadLocker apareció recientemente como una nueva amenaza ransomware promocionada por sus operadores como una herramienta avanzada con “doble nivel de cifrado” y funcionalidades completas desarrolladas en C#/.NET/C++.
La evidencia disponible incluye imágenes compatibles con una ejecución o demostración del ransomware, una nota de rescate denominada SquadLocker_ReadMe.txt, archivos con extensión .SquadLocker y una muestra reportada públicamente bajo análisis. La nota de rescate afirma el uso de AES-256 y RSA-4096, la eliminación o cifrado de copias de seguridad, la exfiltración de datos sensibles y una demanda de rescate de USD 300 mediante Bitcoin.
Sin embargo, el conjunto de capacidades anunciado por el actor todavía no ha sido validado. La mezcla de algoritmos declarados, funciones parcialmente descritas y cuestionamientos públicos sobre su estabilidad sugieren una amenaza en fase temprana, con señales de desarrollo inmaduro pero con marketing técnico agresivo.
Juicios clave
SquadLocker muestra señales iniciales compatibles con una amenaza ransomware funcional o en fase de demostración, pero no hay evidencia suficiente para confirmar una operación sostenida contra víctimas reales.
El actor anuncia un conjunto amplio de capacidades, incluyendo cifrado híbrido, dropper multietapa, bypass UAC, evasión, eliminación de backups, cifrado local y de red, robo de archivos y limpieza de logs.
La consistencia técnica del anuncio requiere validación. La combinación de esquemas criptográficos mencionados por el actor podría reflejar modularidad, confusión técnica, reciclado de lenguaje comercial o exageración de capacidades.
El monto de rescate de USD 300, el contacto por Telegram y la discusión pública con otro actor sugieren una operación incipiente o de bajo costo operativo.
Qué ocurrió
Los operadores de SquadLocker difundieron información promocional en la que describen al malware como un ransomware avanzado con capacidades de cifrado, evasión, despliegue y robo de información.
Entre las funciones anunciadas aparecen cifrado híbrido ChaCha20 + ECIES, cifrado parcial, arquitectura de dropper multietapa, bypass UAC, ofuscación polimórfica, evasión conductual, pipeline automatizado de build, eliminación de backups, cifrado de unidades locales y recursos de red, robo de archivos, desactivación de Windows Defender, limpieza de logs, wallpaper dinámico, cifrado intermitente, cifrado multihilo y generación de IV único por archivo.
Las imágenes disponibles muestran una nota de rescate en la que se informa que los archivos fueron cifrados, que las copias de seguridad fueron eliminadas o cifradas y que datos sensibles habrían sido exfiltrados. También se observa la extensión .SquadLocker aplicada a archivos cifrados.
Además, se identificó una muestra circulando con hash SHA1 d20233110f648c434132e2917681c8d31e7128c9. La existencia de esos artefactos permite tratar a SquadLocker como una amenaza emergente bajo análisis, pero no valida automáticamente todas las funciones anunciadas por el actor.
Evaluación operacional
SquadLocker es una amenaza ransomware en etapa temprana. El contraste entre la lista de capacidades promocionadas y las señales públicas de inmadurez técnica es relevante. La nota de rescate menciona AES-256 y RSA-4096, mientras que la comunicación del actor enumera también ChaCha20 + ECIES, Salsa20, RSA-2048 y AES-256-CBC. Esa superposición puede responder a distintas fases de desarrollo, a componentes no integrados o a una presentación comercial poco rigurosa.
Si bien aún no es posible determinar si esas funciones están correctamente implementadas o si podrían generar corrupción de archivos, condiciones de carrera o fallos durante el proceso de cifrado, la mención de cifrado parcial y multihilo podría indicar una intención de acelerar el impacto sobre sistemas comprometidos.
La discusión pública con otro actor del ecosistema Ransomware refuerza esta cautela. En la conversación observada, se cuestiona que algunas funciones no estarían plenamente operativas y se interpela al supuesto desarrollador sobre problemas de sincronización de hilos durante el cifrado. Este intercambio no demuestra fallas por sí solo, pero aporta un indicador útil sobre la percepción de inmadurez técnica dentro del propio entorno criminal o hacktivista.
El uso de Telegram como canal de contacto y negociación, junto con un rescate bajo, también sugiere un modelo de operación de baja barrera de entrada. Kaspersky ha documentado previamente actores que utilizan Telegram para negociar con víctimas y apoyarse en builders filtrados o reutilizados, lo que ilustra cómo parte del ecosistema ransomware puede operar con herramientas de bajo costo y promoción pública.
Significado para inteligencia
La aparición de SquadLocker merece seguimiento porque representa una señal temprana dentro del ecosistema ransomware de bajo costo y rápida promoción pública.
Aunque el actor intente presentar el malware como una herramienta avanzada, la evidencia disponible sugiere una amenaza todavía inmadura pero potencial peligrosa. Por lo que su condición de inmadurez no la vuelve irrelevante. Familias inmaduras, builders incompletos o proyectos de baja calidad pueden producir daño real si son utilizados contra usuarios, pequeñas organizaciones o entornos con controles débiles.
El interés principal para inteligencia reside en determinar si SquadLocker evoluciona hacia una herramienta operativa, si queda como demostración incompleta o si funciona como componente de reputación para actores que buscan ingresar al mercado criminal.
La existencia de una muestra reportada permite avanzar con análisis técnico para confirmar funcionalidades críticas: tipo de cifrado real, robustez criptográfica, manejo de archivos grandes, cifrado parcial, borrado de backups, ejecución en red, persistencia, evasión, comunicación externa y comportamiento de exfiltración.
Si esas capacidades se confirman, SquadLocker podría escalar como amenaza práctica. Si no se confirman, seguirá siendo relevante como ejemplo de marketing técnico agresivo en proyectos ransomware emergentes.
Cierre analítico
SquadLocker aparece como una nueva amenaza ransomware con señales iniciales de actividad, pero todavía sin evidencia suficiente para considerarla una familia madura o técnicamente consolidada.
Hasta contar con evidencia técnica real, iQBlack evalúa a SquadLocker como una amenaza emergente bajo validación. Su valor inmediato para inteligencia reside en la combinación de artefactos observables, promoción pública de capacidades y señales de inmadurez técnica dentro del propio ecosistema donde intenta posicionarse.
Explora 3C-INT
Amplía el seguimiento de actores, campañas y vínculos operativos con una capa de inteligencia estructurada.
Recibe nuevas publicaciones
Suscríbete para recibir nuevos artículos y actualizaciones públicas de iQBlack sin ruido innecesario.