Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Abyss Ransomware Campaign

Abyss Ransomware Campaign

campana campaign

Abyss Ransomware Campaign

Abyss Ransomware Campaign

Resumen de la Campana

El grupo de ciberdelincuencia "Abyss" ha ejecutado una campaña de ransomware dirigida a organizaciones en el sector tecnológico y financiero. La operación se identificó con un análisis exhaustivo de indicadores de compromiso (IOCs) que permiten detectar actividades sospechosas, incluyendo técnicas de exfiltración de datos y métodos de bloqueo de acceso al sistema operativo.

Objetivos

La campaña tiene como objetivo principal la captura de valores del cifrado en criptomonedas digitales y el bloqueo de acceso a sistemas críticos mediante ataques de doble extensión (double extension attacks). Las tácticas implementadas incluyen: * Exfiltración masiva de información sensible de clientes. * Bloqueo de archivos importantes con nombres falsos para evitar recuperación. * Doble extensión de archivos para ocultar el archivo original en la raíz del sistema. * Manipulación de logs y registros para sustituir actividad legítima con datos falsos (log poisoning).

Tacticas

1. Exfiltración de Datos Sensibles

La técnica más agresiva utilizada es la exfiltración de información crítica mediante herramientas como Metasploit, que permiten extraer contraseñas, claves privadas y datos del cliente en un solo paso sin bloquear el acceso al sistema operativo.

2. Bloqueo con Doble Extensión

Para evitar que los atacantes recuperen archivos cifrados con nombres falsos (como "file_12345.txt"), la técnica utiliza dos extensiones: `.tmp` y `.old`. Esto crea un archivo original en la raíz del sistema, el cual se bloquea permanentemente para no poder ser restaurado.

3. Manipulación de Logs

La campaña incluye la manipulación sistemática de logs para sustituir mensajes de éxito con información falsa que simula actividad normal, dificultando la detección mediante análisis de eventos (SIEM).

Indicadores de Compromiso (IOCs)

A continuación se presentan los indicadores técnicos identificados en el análisis de la operación Abyss. Estos datos son públicos y pueden usarse para la detección preventiva en infraestructuras similares: | Tipo | Valor | Contexto / Descripción | |------|-------|--------------------------| | malware | abyss-ransomware.exe | Ejecutable principal del malware identificado en el dominio corporativo. | | malware | abyss-ransomware.tmp | Archivo secundario que actúa como bloqueador de archivos originales (doble extensión). | | malware | abyss-ransomware.old | Archivo original cifrado, bloqueado para recuperación por parte del atacante. | | malware | abyss-ransomware.exe | Versión modificada del malware que incluye lógica de exfiltración de contraseñas y claves privadas mediante Metasploit. |

Impacto

La operación Abyss ha generado daños significativos en organizaciones objetivo, especialmente aquellas con sistemas críticos dependientes de software empresarial. La capacidad para recuperar datos sin bloquear archivos importantes permite una recuperación más rápida y con menor impacto operativo tras la recuperación del sistema. Además, la manipulación sistemática de logs dificulta la correlación de eventos y la respuesta ante incidentes.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me