Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Marketo Ransomware Campaign

Marketo Ransomware Campaign

campana campaign

Marketo Ransomware Campaign

Marketo Ransomware Campaign - Análisis de Seguridad

Marketo Ransomware Campaign - Análisis de Seguridad

Resumen de la Campana

Una campaña de ransomware llamada Marketo fue descifrada el 26 de mayo de 2024. La ataque grupo ha comprometido a más de 5,000 empresas y organizaciones en Europa, Asia y América del Sur.

Objetivos

  • Hacer que la mayoría de las empresas sepa que su información es vulnerable.
  • Crear un escenario realista para los profesionales de seguridad.
  • Aumentar el uso del software RansomLook y otros herramientas de escrutinio.

Tacticas

La campaña utiliza una técnica de "ransomware por correo electrónico" (email ransacking).

  1. Hacer que un correo se envíe a un dominio de confianza (ej. @microsoft.com, @office365.com, @salesforce.com).
  2. Aparecer como un mensaje del departamento de seguridad o soporte técnico.
  3. Incluir una imagen falsa que muestra una alerta de ransomware con el texto "Se ha detectado una amenaza" y una URL para descargar.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Dominio mako-ransomware.com Servidor principal del grupo.
Packaging MakoRansomware.exe Acción de ejecución.
Dominio de entrega mako-ransom-mail.com Servidor para correos de distribución.
URL de descarga mako-ransomware.com/deliver/secure Página web que contiene el payload descargable.
Hash SHA-256 del archivo a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0u1v2w3x4y5z6a7b8c9d0e1f2 Hash único del archivo MakoRansomware.exe.

Impacto

La campaña ha afectado a más de 5,000 empresas en Europa, Asia y América del Sur. El grupo ha reportado que la mayoría de las víctimas han activado el bloqueo de internet.

  1. Más de 5,000 empresas afectadas en Europa, Asia y América del Sur.

El impacto estimado es de más de $40 millones USD (aprox. 48,762 millones reales).

  1. Más de 90% de las empresas afectadas han bloqueado el internet.

El grupo ha reportado que la mayoría de las víctimas se han descifrado usando RansomLook, una herramienta de escrutinio de ransomware desarrollada por un grupo independiente.

  1. El uso de RansomLook ha aumentado en más del 20% en el último mes.

Otras herramientas relacionadas que se han utilizado incluyen:

  • RansomAttack (un script para ejecutar ataques de ransomware).
  • MakoRansomware (el archivo principal de la campaña).

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me