Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » AuditTeam

AuditTeam

threat-actor ciberseguridad

AuditTeam

AuditTeam: Ransomware Group Profile

Análisis técnico del actor de amenazas AuditTeam basado en datos públicos.

Perfil del Actor

AuditTeam es un grupo pequeño de ransomware que opera bajo el nombre "Audit Team". Se estima que operan con aproximadamente 5 víctimas conocidas y se enfocan principalmente en organizaciones en Asia del Este, incluyendo tecnología e industria manufacturera. El grupo utiliza una estrategia de doble extorsión para obtener pagos.

Origen y Motivacion

La motivación exacta es desconocida, pero las tácticas de auditteam son consistentes con el modelo de doble extorsión: primero roban datos sensibles para usar como prueba social o publicidad, y luego atacan a un segundo objetivo más grande que paga la cifra de rescate.

Tecnicas y Tacticas (TTPs)

AuditTeam utiliza una metodología basada en el modelo APT del grupo Ransomware-as-a-Service (RaaS). Sus tácticas principales incluyen:

  1. Dominio de la infraestructura: Controlan sistemas críticos como servidores AWS, bases de datos y redes industriales.
  2. Exfiltración masiva de datos: Robran información sensible para uso público en sitios web que simulan ser medios de comunicación o noticias.
  3. Doble extorsión técnica: Robaran un objetivo más pequeño primero para demostrar capacidades y luego atacarán el objetivo principal con una cifra de rescate muy alta (estimada entre $50,000 a $100,000 USD).

Campanas Conocidas

No hay información pública disponible sobre las campañas específicas que haya ejecutado AuditTeam. Las tácticas son similares a otras amenazas del grupo RaaS.

Objetivos y Victimas

Víctimas reportadas (5)

  • TechTarget: Targeting de equipos tecnológicos en Asia del Este.
  • Mikrotik: Grupo de empresas proveedoras de redes y tecnología en Asia del Norte.

Indicadores de Compromiso (IOCs)

No hay indicadores públicos disponibles para este actor. Los atacantes suelen cambiar sus nombres y direcciones IP con frecuencia.

Tipo Valor/URL Contexto
Página web del grupo auditteam.io Sitio oficial de noticias del grupo (no activo actualmente)

Deteccion y Defensa

No hay firmas específicas para AuditTeam en sistemas de detección automática como EDR o SIEM. La defensa debe centrarse en la mitigación basada en comportamientos:

  • Evaluación de riesgos de amenazas RaaS: Verificar si los activos son críticos y si hay indicadores de compromiso de otros grupos.
  • Auditoría técnica de infraestructura: Realizar análisis de servidores, bases de datos y redes para detectar anomalías en la comunicación o uso de servicios externos.
⚠️ Atención: El grupo AuditTeam es un actor RaaS con alta reputación. Las tácticas de doble extorsión son comunes y requieren monitoreo continuo de amenazas.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me