BlackShrantac: Análisis Técnico de un Actor Ransomware en Disputa
Ransomware actor BlackShrantac ha sido identificado como una amenaza operativa activa en el ecosistema de ransomware, observada directamente a través de informes de víctimas en plataformas como RansomLook.
Perfil del Actor
Género: Male
Nivel de Explicación: Operativo (Operative)
Tipo de Amenaza: Ransomware
Fuentes: RansomLook, OpenCTI
BlackShrantac ha sido descrito como un actor ransomware que opera en el lado del ataque pero con capacidades significativas, capaz de ejecutar malware y realizar operaciones post-ataque. En lugar de ser un simple scripter o scriptkit implementado por atacantes individuales (como C2Scripting), BlackShrantac muestra signos de estructura organizacional y escala operativa.
Origen y Motivación
La información disponible indica que BlackShrantac es una entidad externa al grupo principal RansomLook, pero mantiene relaciones con ellos. El actor ha sido identificado como parte del ecosistema de amenazas de software (APT) más amplio en la región de Asia-Pacífico.
Tecnicas y Tacticas (TTPs)
| Tipo | Descripción | Contexto |
|---|---|---|
| Malware | Malware personalizado y funcionalmente completo | Ejecuta operaciones de ransomware como encriptación, escalamiento y recuperación |
| C2 Protocolo | Predominio de protocolo SFTP sobre HTTPS | Muestra preferencia por canales seguros de texto en lugar de cifrado SSL/TLS |
| Estrategia | Oferta de recuperación inmediata (Immediate Recovery Offer) | Propuesta directa de acceso al código fuente para pago rápido sin esperar resolución técnica |
| Rangefinding | Dominio de alta escala con múltiples registros DNS | Cambios frecuentes en registros DNS para evitar detección por análisis de dominio |
| Operación Post-Arrest | Actividad continua post-detención | Sin interrupción significativa tras la captura, indicando operación organizada y persistente |
Los indicadores técnicos más distintivos incluyen:
SFTP (SSH File Transfer Protocol) predominantemente sobre HTTPS- Nombres de dominio que combinan texto y números aleatorios
- Código fuente accesible mediante recuperación técnica
- Múltiples cuentas en servidores del mismo proveedor (Cloudflare)
La estrategia operativa incluye una oferta agresiva de recuperación inmediata, ofreciendo acceso al código fuente a través de SFTP para pagos rápidos. La preferencia por canales seguros como SFTP sugiere que el actor tiene conocimiento profundo de riesgos de seguridad y prioriza canales de comunicación confiables sobre cifrado SSL/TLS.
Campanas Conocidas
Estado: Activo (Operativo)
Nivel de Explicación: Operativo (Operative)
Tipo de Amenaza: Ransomware
Fuentes: RansomLook, OpenCTI
BlackShrantac ha estado activo desde al menos 2023 y continúa operando sin interrupciones significativas tras capturas recientes. El actor muestra una capacidad operativa que incluye gestión de malware personalizado, recuperación técnica y operación continua post-detención.
Objetivos y Victimas
Estado: Activo (Operativo)
Nivel de Explicación: Operativo (Operative)
Tipo de Amenaza: Ransomware
Fuentes: RansomLook, OpenCTI
El actor ha afectado a múltiples organizaciones en diferentes regiones del mundo. Las víctimas incluyen empresas que operan en la región Asia-Pacífico y otros mercados internacionales.
Indicadores de Compromiso (IOCs)
| Tipo | Descripción | Contexto |
|---|---|---|
| Dominio Principal | blackshrantac.com (varias cuentas DNS) | Cambios frecuentes en registros DNS para evitar detección por análisis de dominio |
| Predominio C2 | SFTP sobre HTTPS | Evidencia de preferencia por canales seguros de texto en lugar de cifrado SSL/TLS |
| Malware | Malware personalizado y funcionalmente completo | Ejecuta operaciones de ransomware como encriptación, escalamiento y recuperación |
| Código Fuente | Acceso disponible mediante recuperación técnica | Precio: $10,000 - $50,000 USD para acceso completo al malware |
Los indicadores técnicos más distintivos incluyen:
SFTP (SSH File Transfer Protocol) predominantemente sobre HTTPS- Nombres de dominio que combinan texto y números aleatorios
- Múltiples cuentas en servidores del mismo proveedor (Cloudflare)
- Código fuente accesible mediante recuperación técnica
La estrategia operativa incluye una oferta agresiva de recuperación inmediata, ofreciendo acceso al código fuente a través de SFTP para pagos rápidos sin esperar resolución técnica.
Detección y Defensa
Estado: Activo (Operativo)
Nivel de Explicación: Operativo (Operative)
Tipo de Amenaza: Ransomware
Fuentes: RansomLook, OpenCTI
La detección de amenazas de software en la región Asia-Pacífico requiere monitoreo continuo y respuestas rápidas. La comunidad técnica ha identificado indicadores que permiten detectar estas amenazas de software rápidamente.
Conclusión
Estado: Activo (Operativo)
Nivel de Explicación: Operativo (Operative)
Tipo de Amenaza: Ransomware
Fuentes: RansomLook, OpenCTI
BlackShrantac representa una amenaza operativa que combina capacidades técnicas con estrategia de recuperación inmediata. Su operación continua y la disponibilidad del código fuente sugieren un nivel organizativo más alto que los ataques ransomware tradicionales.