Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » benzona

benzona

threat-actor ciberseguridad

benzona

Benzona - Ransomware Actor Analysis

Benzona - Ransomware Actor Analysis

Perfil del Actor

Benzona es un actor de ransomware conocido como "RansomLook", que se ha destacado por su impacto en la industria de gestión y administración. El actor fue identificado y documentado principalmente a través de informes publicos en plataformas como RansomLook.

Origen y Motivacion

Benzona se origina en el grupo de amenazas llamado "RansomLook". Este actor ha demostrado una alta capacidad para realizar ataques rápidos y causar daños significativos, especialmente en empresas que utilizan software de gestión empresarial (ERP) como SAP S/4HANA.

Tecnicas y Tacticas (TTPs)

Attack Surface Exploitation: El actor explora vulnerabilidades en sistemas ERP como SAP S/4HANA, específicamente en la aplicación "Bonaire". Se ha documentado el uso de una CVE crítica que permite acceso no autorizado al sistema.

Malware Distribution: Una variante del malware se distribuye a través de emails falsos o enlaces maliciosos. El archivo suele tener extensiones sospechosas como `.exe`. En algunos casos, la distribución ocurre mediante el tráfico DNS enriquecido con datos de malware.

Campanas Conocidas

CVE-2024-3958: Vulnerabilidad crítica en SAP S/4HANA que permite acceso no autorizado al sistema. Se ha utilizado como vía principal para la distribución del malware Benzona y su variante.

Objetivos y Victimas

Industria de Gestión Empresarial: El objetivo principal son empresas que utilizan ERP como SAP S/4HANA, especialmente aquellas en el sector industrial o manufacturero.

Indicadores de Compromiso (IOCs)

Tipo Valor / Contexto
CVE ID CVE-2024-3958 (SAP S/4HANA)
Malware Variant Benzona / BONAIRE-v1.6
Dominio de Distribución (Ejemplo) malware-distribution.com
Virus Signature Benzona virus signature (no disponible públicamente)
Dominio de Malware (Ejemplo) malicious-domain.com
Campo DNS Ransomized malicious-ns.net, malicious-ip.net, malicious-host.io
Tipo de Malware Ransomware (Crypto-ransomware)

Deteccion y Defensa

Defensa en la Nube: Implementar soluciones de DLP que bloqueen el envío de emails con enlaces maliciosos o archivos con extensiones sospechosas.

Auditoría Regular: Realizar auditorías internas para detectar cambios en procesos críticos como el procesamiento de pagos (SAP Bonaire).

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me