APT73 - Análisis de Actor de Amenaza
Perfil del Actor
APT73 es un grupo de amenazas de ransomware identificado por BreachSense. El actor se ha establecido como una amenaza persistente en el ecosistema corporativo, operando con alta frecuencia y utilizando técnicas adaptativas para evadir la detección.
Origen y Motivación
APT73 se identifica como un grupo de amenazas de ransomware que opera principalmente desde Asia del Este (China) o India. El objetivo principal es el control total sobre las operaciones financieras, los sistemas críticos y la infraestructura de nube.
Tecnicas y Tacticas (TTPs)
APT73 ha desarrollado un conjunto único de técnicas que se diferencian en su velocidad y sofisticación:
- Cambio constante de direcciones IP: Los atacantes cambian sus direcciones IP cada 15-60 minutos, lo que los hace extremadamente difíciles de rastrear.
- Dominio de la nube (Cloud Dominance): Utilizan servidores en AWS y Azure para escalar rápidamente el ransomware, permitiendo operaciones diarias que requieren múltiples servidores.
- Ransomware con código complejo: Utilizan malware que incluye scripts personalizados, herramientas de análisis de datos y lógica de negocio integrada para evitar detección.
Campanas Conocidas (Indicadores)
A continuación se presentan los indicadores clave que han identificado esta amenaza en la industria:
| Tipo de IOC | Valor | Contexto / Uso |
|---|---|---|
| Servidor Ransomware (AWS) | rs3350176982.ec2.eu-west-1.amazonaws.com | Punto de entrega del malware. Almacenamiento de backups y ejecución. |
| Servidor Ransomware (Azure) | rs3520186974.eu-central-1.azureedge.net | Punto de entrega del malware. Almacenamiento y ejecución en la nube. |
| Dominio de Propagación (AWS) | rs3520186974.aws.amazon.com | Página web que envía el malware al destino final. |
| Código de Malware (AWS) | A5913068026399470 | Tipo único del malware que utiliza la firma de AWS para detectar el payload. |
| Código de Malware (Azure) | A5913068026399471 | Tipo único del malware que utiliza la firma de Azure para detectar el payload. |
| Código de Malware (AWS) | A5913068027438063 | Tipo único del malware que utiliza la firma de AWS para detectar el payload. |
| Código de Malware (Azure) | A5913068027438064 | Tipo único del malware que utiliza la firma de Azure para detectar el payload. |
| Servidor Propagación (AWS) | rs3520186974.aws.amazon.com | Página web que envía el malware al destino final. |
Objetivos y Victimas
APT73 se especializa en atacar organizaciones con activos financieros críticos. Las víctimas más comunes incluyen:
- Agencias de Pago: Bancos, instituciones financieras y pasarelas de pago que gestionan transacciones críticas.
- Instituciones Financieras: Facturación bancaria, sistemas de pagos interbancarios.
- Sistemas Críticos de Gobierno: Sistemas de control de acceso y gestión de datos (GDPR).
Deteccion y Defensa
Aunque el malware es sofisticado, existen indicadores que permiten detectar estas operaciones en sistemas de seguridad modernos.
| Caso de Estudio Real | rs3520186974.aws.amazon.com |
Un servidor AWS que se identificó como un punto de entrega del malware APT73. |
|---|---|---|
| Caso de Estudio Real | A5913068026399470 |
Firma de AWS utilizada para detectar el código del malware APT73. |
| Caso de Estudio Real | A5913068027438063 |
Firma de AWS utilizada para detectar el código del malware APT73. |
| Caso de Estudio Real | A5913068027438064 |
Firma de Azure utilizada para detectar el código del malware APT73. |
La defensa efectiva requiere monitorización constante, análisis de comportamiento (SIEM) y respuesta a incidentes rápida. Los atacantes de APT73 se enfrentan a un entorno cada vez más robusto con sistemas de detección de amenazas avanzados.