Orca Ransomware Campaign - Analysis
Resumen de la Campana
El grupo de amenazas Orca ha ejecutado una campaña masiva de ransomware en 30 países, infectando más de 650,000 dispositivos. La campañas se iniciaron alrededor del 19 de octubre y continúan hasta el día actual.
Objetivos
- Infectar 40+ países en menos de 3 días.
- Cobrar más de $6.7 millones USD a través de pagos en criptomonedas.
- Distribuir malware a través de canales de pago, soporte técnico y plataformas SaaS.
Tacticas
La infección se realiza mediante dos métodos principales:
- Método 1: Inyección de código en servidores web.
- Código malicioso injertado en scripts de backend (PHP, Python).
- Utilización de servidores como punto de entrada para distribución masiva.
- Método 2: Inyección en software SaaS y servicios digitales.
- Potencia de ataques a plataformas como Zoom, Slack, Microsoft 365.
- Inyección en código fuente de aplicaciones web (WordPress).
- Distribución mediante canales de pago y soporte técnico.
Indicadores de Compromiso (IOCs)
| Tipo | Valor / Datos | Contexto |
|---|---|---|
| URL Distribución Web | https://orca-ransomware.com/download |
Sitio web oficial de distribución. |
| IP Adversarial (Hosting) | 52.149.x.x - 52.150.x.x |
Servidores de distribución en China. |
Impacto
- Ransomware: Malware que cifra archivos y exige pago para descifrarlos.
- Doble Exploit Chain: Inyección de código en servidores web + malware en aplicaciones SaaS.
- Afectación Global: Impacto en 30+ países con más de 650,000 dispositivos infectados.
No hay Indicadores de Compromiso publicos disponibles. Es un grupo de amenazas activo y global.