Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Linkc Ransomware Campaign

Linkc Ransomware Campaign

campana campaign

Linkc Ransomware Campaign

Linkc Ransomware Campaign - Análisis de Seguridad

Linkc Ransomware Campaign - Análisis de Seguridad

Resumen de la Campana

Lateralmente propagada, el malware Linkc se ha convertido en un objetivo principal para grupos maliciosos que buscan acceder a sistemas críticos mediante phishing. El ataque inicial consiste en enviar correos falsificados desde dominios confiables, pero los usuarios sin validación profunda permiten el acceso a servidores de control remoto.

Posteriormente, el malware se despliega automáticamente y se conecta al canal de comunicación establecido para instalar la ransomware. La campaña utiliza técnicas de ingeniería social avanzada para maximizar las tasas de éxito en entornos corporativos.

Objetivos

  • Lateralmente propagar el malware Linkc a múltiples sistemas dentro del entorno corporativo.
  • Acelerar la recuperación mediante la instalación de un control remoto (RCP) para evitar la retención por parte del atacante.
  • Propagación masiva en redes pequeñas y empresas que no implementan defensas técnicas robustas.

Tacticas

El ataque se estructura en tres fases principales:

  1. Fase de Phishing Lateralizado: Envío masivo de correos falsificados desde dominios que simulan a empresas conocidas (ej. "Empresa X", "Sector Y"). El contenido incluye enlaces seguros que redirigen al servidor de control remoto del atacante.
  2. Carga Automática y Exploit: Al acceder al RCP, el malware carga automáticamente un payload diseñado para explotar vulnerabilidades en sistemas operativos (como CVEs de Linux), instalando el software malicioso con configuración automática.
  3. Instalación del Control Remoto: Para evitar que el atacante se recupere, se instala un servicio que permite al atacante controlar la víctima desde su propio servidor en tiempo real.

Indicadores de Compromiso (IOCs)

No hay indicadores públicos disponibles para esta campaña específica. Los analistas deben buscar firmas en sus propios sistemas y en el tráfico de DNS del dominio objetivo.

Tipo Valor/Contexto Observaciones
Servidor de Control Remoto (RCP) ip:185.234.76.99, ip:185.192.100.55 Posibles direcciones IP de origen de la campaña.

Impacto

La distribución rápida del malware Linkc ha afectado a cientos de organizaciones en países como México, Estados Unidos y Reino Unido. Las empresas que no implementan sistemas de detección de amenazas (EDR) o filtros DNS seguros han sido expuestas sin respuesta.

"Algunas empresas reportaron pérdida de datos críticos antes de la recuperación, lo que ha generado preocupación por la integridad de información financiera y operativa."

Cuando el malware se recupera con éxito, los atacantes pueden exfiltrar datos sensibles o ejecutar herramientas de espionaje a largo plazo.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me