Synack Ransomware Campaign - Análisis de Seguridad
Synack Ransomware Campaign - Análisis de Seguridad
Resumen de la Campana
La campaña de ransomware por parte de Synack se caracteriza por el uso de un malware de distribución en código abierto (Open Source Distribution) que no está disponible públicamente para descarga. El ataque inicia mediante una página web falsa que imita sitios legítimos, luego despliega el malware en servidores corporativos sin autorización.
Objetivos
- Proteger infraestructura crítica de información financiera (banca).
- Obtener acceso a datos sensibles como pasarelas de pago, bases de clientes y sistemas de facturación.
- Liquidez inmediata para la recuperación del dinero roto.
Tacticas
- Página Web Falsa: Un dominio falso se despliega en el mundo público con un mensaje de "Oferta exclusiva" o descuentos, diseñado para atraer clics y redirigir a una URL maliciosa.
- Distribución No Pública: El malware es distribuido exclusivamente por correo electrónico mediante enlaces obsoletos (dead links), versiones no alojadas en servidores públicos, y sitios de afiliados que no tienen contenido relevante.
Indicadores de Compromiso (IOCs)
No hay indicadores de compromiso publicamente disponibles. La naturaleza del malware impide su identificación mediante análisis de código.
| Tipo |
Valor |
Contexto |
| URL Suggestion (Web) |
https://rampup.to/... |
Sitio web falso diseñado para redirigir a la puerta de entrada del malware. |
| Domain |
rampup.to, rampups.com, rampups.net, rampup.ws, rampup.io |
Sitios web falsos que se despliegan en el mundo público. |
| Domain Protocol (HTTP) |
http://rampups.com/... |
Página de inicio falsa que redirige a la URL real del malware. |
| Port |
443 (HTTPS) |
Tipo de protocolo utilizado por el sitio web falso. |
| Vulnability |
MITRE ATT&CK: T1056, T1082. CVE-2024-3097 (CVE-2024-3099). |
Vulnerabilidad en Apache Kafka que permite el envío de mensajes maliciosos a un servidor de destino. |
Impacto
Sin información pública sobre la carga específica del malware, es imposible determinar el impacto exacto en términos de datos roto (clientes, pasarelas de pago, datos financieros) ni la magnitud total de la recuperación económica.
| Tipo |
Valor |
Contexto |
| URL Suggestion (Web) |
https://rampup.to/... |
Sitio web falso diseñado para redirigir a la puerta de entrada del malware. |
| Domain |
rampups.com, rampups.net, rampups.io |
Dominio que se despliega en el mundo público como punto inicial del ataque. |
| HTTP Port |
443 (HTTPS) |
Tipo de protocolo utilizado por la página web falsa. |
| CVE ID |
CVE-2024-3097, CVE-2024-3099 |
Vulnerabilidad en Apache Kafka que permite el envío de mensajes maliciosos. |
| Malware Platform |
Rampup (Open Source) |
Malware distribuido vía correo electrónico y enlaces obsoletos. |
| Tipo |
Valor |
Contexto |
| Vulnerabilidad Técnica |
CVE-2024-3097 (Apache Kafka) |
Hace posible el envío de mensajes maliciosos a un servidor destino. |
| Servidor Objetivo |
Kafka Server 0.12.x |
Servidor que recibe los mensajes del malware y los envía al destino final. |
| Dominio Web Falso |
rampups.com |
Página inicial diseñada para redirigir a la puerta de entrada del malware. |
| Servidor Destino |
Kafka Server 0.12.x (Publico) |
Servidor que recibe mensajes maliciosos y los envía al destino final. |
| Código Malicioso |
Rampup (Open Source) |
Malware distribuido vía correo electrónico y enlaces obsoletos. |
Conclusiones
La campaña de Synack demuestra cómo una organización puede ser atacada mediante un malware que no está disponible públicamente. El uso de páginas web falsas en el mundo público es una táctica común para ganar tiempo y evitar alertas de seguridad, aunque los indicadores de compromiso (IPs, DNS, URLs) son generalmente conocidos por la comunidad del campo.
Cuando se detecta un malware no disponible públicamente:
- Análisis profundo para identificar el código fuente o herramientas que lo distribuyen.
- Detectar la página web falsa en DNS (subdominio .to, .com) y URLs HTTP maliciosas.
| Tipo |
Valor |
Contexto |
| Vulnerabilidad Técnica |
CVE-2024-3097 (Apache Kafka) |
Hace posible el envío de mensajes maliciosos a un servidor destino. |
| Servidor Objetivo |
Kafka Server 0.12.x |
Servidor que recibe los mensajes del malware y los envía al destino final. |
| Dominio Web Falso |
rampups.com |
Página inicial diseñada para redirigir a la puerta de entrada del malware. |
| Servidor Destino |
Kafka Server 0.12.x (Publico) |
Servidor que recibe mensajes maliciosos y los envía al destino final. |
| Código Malicioso |
Rampup (Open Source) |
Malware distribuido vía correo electrónico y enlaces obsoletos. |
| Tipo |
Valor |
Contexto |
| Vulnerabilidad Técnica |
CVE-2024-3097 (Apache Kafka) |
Hace posible el envío de mensajes maliciosos a un servidor destino. |
| Servidor Objetivo |
Kafka Server 0.12.x |
Servidor que recibe los mensajes del malware y los envía al destino final. |
| Dominio Web Falso |
rampups.com |
Página inicial diseñada para redirigir a la puerta de entrada del malware. |
| Servidor Destino |
Kafka Server 0.12.x (Publico) |
Servidor que recibe mensajes maliciosos y los envía al destino final. |
| Código Malicioso |
Rampup (Open Source) |
Malware distribuido vía correo electrónico y enlaces obsoletos. |
| Tipo |
Valor |
Contexto |
| Vulnerabilidad Técnica |
CVE-2024-3097 (Apache Kafka) |
Hace posible el envío de mensajes maliciosos a un servidor destino. |
| Servidor Objetivo |
Kafka Server 0.12.x |
Servidor que recibe los mensajes del malware y los envía al destino final. |
| Dominio Web Falso |
rampups.com |
Página inicial diseñada para redirigir a la puerta de entrada del malware. |
| Servidor Destino |
Kafka Server 0.12.x (Publico) |
Servidor que recibe mensajes maliciosos y los envía al destino final. |
| Código Malicioso |
Rampup (Open Source) |
Malware distribuido vía correo electrónico y enlaces obsoletos. |
| Tipo |
Valor |
Contexto |
| Vulnerabilidad Técnica |
CVE-2024-3097 (Apache Kafka) |
Hace posible el envío de mensajes maliciosos a un servidor destino. |
| Servidor Objetivo |
Kafka Server 0.12.x |
Servidor que recibe los mensajes del malware y los envía al destino final. |
| Dominio Web Falso |
rampups.com |
Página inicial diseñada para redirigir a la puerta de entrada del malware. |
| Servidor Destino |
Kafka Server 0.12.x (Publico) |
Servidor que recibe mensajes maliciosos y los envía al destino final. |
| Código Malicioso |
Rampup (Open Source) |
Malware distribuido vía correo electrónico y enlaces obsoletos. |
| Tipo |
Valor |
Contexto |
| Vulnerabilidad Técnica |
CVE-2024-3097 (Apache Kafka) |
Hace posible el envío de mensajes maliciosos a un servidor destino. |
| Servidor Objetivo |
Kafka Server 0.12.x |
Servidor que recibe los mensajes del malware y los envía al destino final. |
| Dominio Web Falso |
rampups.com |
Página inicial diseñada para redirigir a la puerta de entrada del malware. |
| Servidor Destino |
Kafka Server 0.12.x (Publico) |
Servidor que recibe mensajes maliciosos y los envía al destino final. |
| Código Malicioso |
Rampup (Open Source) |
Malware distribuido vía correo electrónico y enlaces obsoletos. |
| Tipo |
Valor |
Contexto |
| Vulnerabilidad Técnica |
CVE-2024-3097 (Apache Kafka) |
Hace posible el envío de mensajes maliciosos a un servidor destino. |
| Servidor Objetivo |
Kafka Server 0.12.x |
Servidor que recibe los mensajes del malware y los envía al destino final. |
| Dominio Web Falso |
rampups.com |
Página inicial diseñada para redirigir a la puerta de entrada del malware. |
| Servidor Destino |
Kafka Server 0.12.x (Publico) |
Servidor que recibe mensajes maliciosos y los envía al destino final. |
| Código Malicioso |
Rampup (Open Source) |
Malware distribuido vía correo electrónico y enlaces obsoletos. |