Gelsemium Ransomware Campaign

Hace más de un año, el grupo de ransomware Gelsemium lanzó una campaña masiva que comprometió más de 450 sistemas en todo el mundo, afectando empresas y organizaciones desde Brasil hasta países como Estados Unidos. La técnica de ataque combinó malware con phishing para obtener acceso al sistema y luego instaló criptografía para bloquear la recuperación.

Resumen de la Campana

Gelsemium se especializa en ataques de ransomware que no requieren acceso inicial al sistema, utilizando solo enlaces de phishing. Los atacantes crean páginas falsas que simulan servicios seguros (como "Verificación de identidad") y luego redirigen a malware que descarga un agente criptográfico.

Objetivos

• Comprometer más de 450 sistemas en menos de 13 días
• Criptografar archivos críticos de múltiples organizaciones
• Dificultar la recuperación sin acceso al sistema original
• Asegurar ganancias mediante pagos en criptomonedas y descuentos a clientes

Tacticas

Paso 1: Phishing para obtener acceso inicial.

Los atacantes crean páginas web falsas que muestran una verificación de identidad segura. Al hacer clic, se descargan scripts que instalan un malware sin necesidad de conexión a internet ni acceso al sistema.

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles para esta campaña específica. Es posible que los atacantes hayan eliminado el código del malware o se basen en variantes más recientes.

Impacto

• Más de 450 sistemas comprometidos en menos de 13 días
• Afectación a empresas en Brasil, Estados Unidos y otros países
• Técnicamente sin impacto directo en usuarios finales debido al método no inicial
• Dificultad para recuperación sin acceso al sistema original por parte del atacante
• Potencial pérdida de datos críticos si se falla la criptografía