Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Underground Ransomware Campaign

Underground Ransomware Campaign

campana campaign

Underground Ransomware Campaign

Underground Ransomware Campaign - OpenCTI

Underground Ransomware Campaign

Resumen de la Campana

La campaña "Underground" representa una operación de ransomware que ha afectado a múltiples organizaciones en el mercado minorista global. Se caracteriza por su alta velocidad de propagación, uso de variantes evolutivas y estrategias de defensa en profundidad.

Objetivos

  • Estar presente en el mercado minorista como un vector de entrada para ataques más amplios.
  • Afiltrar a usuarios finales que podrían ser objetivos para ataques de alta prioridad (ransomware, DDoS).
  • Fomentar la adopción de software malicioso mediante incentivos económicos (donación al ataque).

Tacticas

La campaña utiliza múltiples técnicas tácticas avanzadas para comprometer infraestructura crítica:

  • Ponencia de Software Malicioso: Distribución masiva de software malicioso en el mercado minorista (software de gestión, POS).
  • Credibilidad y Confianza: Uso estratégico de firmas digitales y certificados para construir confianza con clientes.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Virus/Malware Underground-4.0.x Variantes de malware que utilizan técnicas de evasión y comportamiento similar a variantes anteriores.
Cryptor WALRUS-Kernel/Underground-4.0.x El núcleo del malware utilizado para cifrar archivos y bloquear el acceso al sistema.
Virus/Malware WALRUS-Kernel/Underground-4.0.x Otro nombre de la variante que utiliza técnicas similares para evadir detección.
Cryptor WALRUS-Kernel/Underground-4.0.x Ejecución en kernel de sistema operativo que asegura el cifrado persistente.
Virus/Malware WALRUS-Kernel/Underground-4.0.x Código malicioso distribuido a través de mercados minoristas y servidores.
Virus/Malware WALRUS-Kernel/Underground-4.0.x Tecnología que bloquea acceso a archivos cifrados para evitar recuperación.
Cryptor WALRUS-Kernel/Underground-4.0.x Proceso de cifrado que bloquea la recuperación del sistema después de un ataque.

Impacto

La campaña ha generado una alta sensibilidad debido a su naturaleza subterránea y al impacto potencial en operaciones críticas:

  • Afecta a múltiples organizaciones dentro del mercado minorista.
  • Potencialmente afecta a usuarios finales que podrían ser objetivos para ataques de alta prioridad (ransomware, DDoS).

Fuentes adicionales: OpenCTI, RansomLook.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me