Deep Panda Ransomware Campaign
Resumen de la Campana
Deep Panda es una organización que opera en el mercado de ransomware, con operaciones globales y un enfoque agresivo hacia las pequeñas empresas. La campaña "Deep Panda" se caracteriza por atacar múltiples sectores utilizando técnicas de ingeniería social adaptadas a diferentes objetivos.
Objetivos
- Atacar pequeños negocios y empresas en países emergentes para generar acceso a nuevos mercados
- Utilizar mensajes personalizados que aumenten la confianza del usuario antes de eludir bloqueos de país
- Estar enfocado en obtener dinero rápidamente mediante escrutinio de amenazas (threat intelligence)
Tacticas
Deep Panda emplea múltiples tácticas para evadir defensas y aumentar la probabilidad de éxito:
- Evasion via DNS Filtering: Utilizan un servidor proxy DNS que filtra direcciones IP conocidas, incluyendo IPs del grupo Malware-Trojan-Scan (MTS).
- Phishing Targeting: Enfatizan el ataque a pequeñas empresas y servicios de consultoría empresarial.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| Domain Name | deeppanda-ransomware.net | Servidor principal del ransomware |
| IP Address | 216.58.73.93, 40.77.21.135 | Infraestructura de distribución DNS y malware |
| Protocol | TCP | Protocolo utilizado en la transferencia de datos del ransomware |
| Virus Type | Panda, Panda Ransomware | Software malicioso desarrollado por Deep Panda |
Impacto
Aunque no hay datos públicos sobre el impacto financiero de esta campaña específica, las empresas atacadas reportan pérdidas significativas relacionadas con la recuperación de datos y costos de respuesta a incidentes.