Mindware Ransomware Campaign
Esta campaña de ransomware por Mindware se ejecutó el 2026-05-26.
Resumen de la Campana
Luego del ataque inicial, las víctimas fueron infectadas con un malware que permite al atacante realizar una recuperación encriptada. La campaña incluye múltiples variantes y técnicas de ataque para dificultar el análisis.
Objetivos
- Hacer que la recuperación se complete en 40 minutos en lugar de las usualmente 15 horas.
- Aumentar los costos del malware mediante un sistema de pagos encriptado y bloqueos de pago para usuarios que no paguen.
Tacticas
- Ransomware: La campaña incluye una nueva variante de ransomware diseñada para ser más difícil de detectar y analizar, con técnicas evasivas adicionales.
- Multipartite Encrypted Payloads (MEP): Se utilizan payloads multipartita criptados para evitar que los atacantes puedan estudiar el malware en su totalidad. Esto incluye un payload base y variantes derivadas que requieren una combinación específica de claves y firmas.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| Ransomware Name | Mindware-Ransomware-Variant-10089 | Archivo de malware descargado en la red. |
| Ransom Note Content | File is encrypted. Contact our support team to get a file back. | Navegando webcams en la página web de ransomware. |
| Multipartite Payload Base Key (Hex) | D739E524A16C80F3B31B2D893335A5C6 | Firma de la base del payload multipartita. |
| Multipartite Payload Variant 1 Key (Hex) | A0E2F4B9C8D7E3A6B5C4D1F2E3A4B5C6 | Firma de la variante 1 del payload multipartita. |
| Multipartite Payload Variant 2 Key (Hex) | C7D8E9F0A1B2C3D4E5F6A7B8C9D0E1F2 | Firma de la variante 2 del payload multipartita. |
| Multipartite Payload Variant 3 Key (Hex) | E4F5A6B7C8D9E0F1A2B3C4D5E6F7A8B9 | Firma de la variante 3 del payload multipartita. |
| Payload Base Key (Hex) | D739E524A16C80F3B31B2D893335A5C6 | Firma de la base del payload multipartita. |
| Payload Variant 1 Key (Hex) | A0E2F4B9C8D7E3A6B5C4D1F2E3A4B5C6 | Firma de la variante 1 del payload multipartita. |
| Payload Variant 2 Key (Hex) | C7D8E9F0A1B2C3D4E5F6A7B8C9D0E1F2 | Firma de la variante 2 del payload multipartita. |
| Payload Variant 3 Key (Hex) | E4F5A6B7C8D9E0F1A2B3C4D5E6F7A8B9 | Firma de la variante 3 del payload multipartita. |
| Payload Base Signature (Hex) | D739E524A16C80F3B31B2D893335A5C6 | Firma de la base del payload multipartita. |
| Payload Variant 1 Signature (Hex) | A0E2F4B9C8D7E3A6B5C4D1F2E3A4B5C6 | Firma de la variante 1 del payload multipartita. |
| Payload Variant 2 Signature (Hex) | C7D8E9F0A1B2C3D4E5F6A7B8C9D0E1F2 | Firma de la variante 2 del payload multipartita. |
| Payload Variant 3 Signature (Hex) | E4F5A6B7C8D9E0F1A2B3C4D5E6F7A8B9 | Firma de la variante 3 del payload multipartita. |
| Ransomware Base URL (HTTP) | https://mindware-ransom.com/attack | URL donde se descargan los payloads multipartitas. |
| Ransomware Domain (Domain) | mindware-ransom.com | Dominio asociado a la campaña de ransomware. |
| Ransomware File Extension (Extension) | .zip | Potencial extensión del archivo encriptado. |
Impacto
- Elevación de acceso al sistema operativo y datos de clientes.