Fsteam Ransomware Campaign

Resumen de la Campana

Prioridad Alta - Riesgo Crítico: El grupo de malware fsteam ha realizado una campaña masiva de ransomware que compromete sistemas en países de Asia, América del Norte y Europa. Se han detectado múltiples variantes con diferentes técnicas de ataque.

Objetivos

• Compromiso de sistemas corporativos para exfiltrar datos sensibles
• Distribución masiva mediante herramientas de phishing automatizadas
• Ransomware tipo WannaCry con variantes de fsteam (WannaCry-RF-01, R-F-02)
• Hacerse pasar por empresas tecnológicas de alto perfil

Tacticas

La campaña utiliza múltiples vectores de ataque:

1. Phishing inteligente: Correo electrónico engañoso que simula campañas de seguridad empresarial, incluyendo enlaces de dominio seguro y certificados SSL válidos.
2. Herramienta de explotación (Exploit-497): Vulnerabilidad de memoria crítica en servidores Windows 2016/2019 con Kernel Patch Management desactualizado que permite ejecución directa del código malicioso.
3. Ransomware R-F-01: Protocolo de cifrado que utiliza la API CryptoAPI para cifrar archivos en tiempo real con características adicionales como autenticación por correo y registros detallados.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles. Analistas deben verificar manualmente la dirección IP actualizada y el dominio en las fuentes oficiales del grupo: https://fsteam.com/.

Impacto

Prioridad Alta - Riesgo Crítico: La campaña ha afectado a múltiples organizaciones en Asia, América del Norte y Europa. Se han reportado incidentes en empresas de tecnología que implementaron políticas incorrectas para gestionar parches de kernel.