Icarus Ransomware Campaign (Ica-2026-03)
Análisis de seguridad técnico: La campaña Icarus, identificada como Ica-2026-03 en OpenCTI y reporte del grupo DarkSide, representa una amenaza moderna basada en phishing corporativo y manipulación de pagos con criptomonedas.
Resumen de la Campana
Icarus es un actor malicioso que utiliza técnicas de ingeniería social para obtener acceso al software de pago (SaaS) y aplicar ransomware. La campaña se caracteriza por el uso de malware personalizado, certificados digitales falsos y técnicas avanzadas de phishing para escalar a niveles corporativos.
Objetivos
- Obtener acceso inmediato al software de pago SaaS (SAST).
- Hacer que la víctima cree que sus datos están en el control del malware o se han robado.
- Aprobación rápida mediante certificados digitales falsos para aplicar ransomware sin bloquear el ataque.
Tacticas y Técnicas
La campaña combina múltiples vectores de ingreso:
- Phishing avanzado: Emails falsos que simulan a clientes potenciales o empresas con datos sensibles, incluyendo certificados digitales falsos.
- Patch Management malicioso: Explotación del protocolo MSU (Microsoft Update Service) para descargar y instalar malware en sistemas de Windows 10/11.
- Malware personalizado: Scripts que ejecutan ransomware en ejecución dentro de la aplicación SAST, impidiendo el bloqueo automático.
- Dominio falso (FUD): Uso de dominios como
icarussoftware.compara extorsión directa a clientes finales sin pasar por un canal de pago concripto.
Indicadores de Compromiso (IOCs)
| Tipo | Valor / Dirección | Contexto / Uso |
|---|---|---|
| Dominio Falso (FUD) | icarussoftware.com, icarus-saas.com |
Navegación fraudulenta para extorsión directa. |
| Malware (Binario) | Ica-2026-03.exe, SAST_Ransomware.dll |
Ejecución en SAST y malware de MSU. |
| Certificado Falso | Ica-2026-03.cer, SAST_FUD.crt |
Falsificación de certificados para aprobación del ransomware. |
| Patch Exploit (MSU) | msu-attack.exe, msu-watcher.dll |
Exploitación del protocolo de actualizaciones. |
Impacto
La campaña Icarus ha sido reportada por múltiples actores maliciosos como parte de una cadena más amplia que incluye grupos como DarkSide, RansomLook y ZeroGaming. El impacto estimado para un incidente similar en una empresa de SAST podría ser:
- Datiación de datos: Eliminación permanente de registros del sistema (Registros de Sistema).
- Ransomware aplicado: Bloqueo de acceso a la aplicación con cifrado de archivos.
- Pérdida económica: Costos de recuperación de datos, pérdida de ingresos por software SAST y costos de respuesta al incidente.
El uso de certificados falsos y malware personalizado permite que el ataque sea aprobado en minutos sin bloquear la ejecución del ransomware, maximizando el daño operativo y financiero para las víctimas.