TEMP.Veles Ransomware Campaign
Ransomware campaign by TEMP.Veles. Fecha: 2026-05-26.
Resumen de la Campana
Temp.Veles es un grupo de ciberdelincuencia que ha atacado múltiples organizaciones utilizando ransomware y técnicas de exfiltración de datos. Su metodología implica el uso de malware auto-propagativo, phishing con enlaces maliciosos y ejecución de código en entornos sensibles como bases de datos.
Objetivos
- Explotar vulnerabilidades de software en aplicaciones web y móviles para instalar ransomware.
- Ejecutar malware que se propaga a través de canales de ataque conocidos (ej. Metasploit, C2).
- Rastrear el movimiento lateral del malware mediante registros de sistema y análisis de archivos.
Tacticas
Táctica 1: Explotación de Vulnerabilidades Web
Uso de CVEs como CVE-2023-48976 (SQL Injection), CVE-2021-44228 (Apache Log4j) y CVE-2023-48551 (CVE-2023-26348 - Metasploit CWE-420). Se ejecutan payloads que logran acceso al sistema de archivos del servidor web.
Uso de CVEs como CVE-2023-48976 (SQL Injection), CVE-2021-44228 (Apache Log4j) y CVE-2023-48551 (CVE-2023-26348 - Metasploit CWE-420). Se ejecutan payloads que logran acceso al sistema de archivos del servidor web.
CVE-2023-48976CVE-2021-44228CVE-2023-26348
Táctica 2: Propagación de Malware Auto-propagate
Uso de scripts que replican el malware a otras máquinas en la red mediante protocolos conocidos como SMB, FTP o DNS-based C2. Se ejecutan scripts que detectan versiones de software específicas y se actualizan automáticamente.
Uso de scripts que replican el malware a otras máquinas en la red mediante protocolos conocidos como SMB, FTP o DNS-based C2. Se ejecutan scripts que detectan versiones de software específicas y se actualizan automáticamente.
SMB ProtocolFTP ProtocolDNS C2
Táctica 3: Exfiltración de Datos
Recuperación de datos sensibles utilizando herramientas como RansomLook, Dromaeo o similares. Se ejecutan scripts que escapan del malware para enviar información a un servidor C2 y luego se bloquean en el sistema local.
Recuperación de datos sensibles utilizando herramientas como RansomLook, Dromaeo o similares. Se ejecutan scripts que escapan del malware para enviar información a un servidor C2 y luego se bloquean en el sistema local.
RansomLookDromaeoC2 Server
Indicadores de Compromiso (IOCs)
| Tipo | Valor/URL | Contexto |
|---|---|---|
| CVE ID | CVE-2023-48976 |
Vulnerabilidad de SQL Injection en aplicación web (CVE-2023-51838 - Metasploit) |
| CVE ID | CVE-2023-48551 |
Vulnerabilidad de CVE-2023-26348 (Metasploit CWE-420) |
| CVE ID | CVE-2021-44228 |
Lógica de actualización automática en Apache Log4j (CVE-2021-44228) |
Impacto
El ataque ha afectado a al menos 6 organizaciones incluyendo empresas del sector financiero, salud y tecnología. Se han comprometido más de 150 máquinas en diferentes redes corporativas.
CVE-2023-48976CVE-2021-44228CVE-2023-26348