DARKANGELS RANSOMWARE CAMPAIGN - Análisis de Datos

Resumen de la Campana

Darkangels es un grupo ransomware que ha realizado múltiples ataques en el sector energético durante 2025-2026, utilizando una variante del método de "Ransomware as a Service (RaaS)" para escalar sus operaciones.

Objetivos

El objetivo principal es la recuperación total de activos críticos mediante pagos en criptomonedas. Los objetivos específicos incluyen:

• Almacenamiento Cloud (AWS S3): Bloqueo del acceso al bucket público y cifrado de datos.
• Bases de Datos SQL (MySQL/PostgreSQL): Restricción de lectura y bloqueo de bases de datos.
• Sistemas Operativos: Instalación de versiones vulnerables para facilitar el ataque o recuperación.

Tacticas

Darkangels ha implementado una estrategia agresiva basada en tres tácticas principales:

• Táctica 1: Exploitación de Vulnerabilidades (CVE-2025-4894). Uso del CVE de un servicio de gestión de versiones para la ejecución de scripts de ataque.
• Táctica 2: Propagación Vertical y Horizontal. Ataques internos para acceso al núcleo del sistema, seguida de escalamiento a múltiples servidores en el mismo entorno.
• Táctica 3: Drogas de Compromiso (Droppers). Uso de scripts que crean archivos falsos ("virus") para crear un ambiente confiable y facilitar la infección posterior.

Indicadores de Compromiso (IOCs)

Impacto

La campaña ha tenido un impacto significativo en múltiples organizaciones, especialmente en el sector energético:

• Servidores Encriptados: Miles de servidores en AWS S3 y bases de datos SQL han sido afectados por la ejecución del exploit.
• Pérdida de Datos: Los activos críticos (bases de datos, sistemas de control) están bloqueables o encriptados sin acceso.
• Dificultad de Recuperación: La técnica de "drunk driver" (dropper) ha permitido que los atacantes se propaguen fácilmente a nuevos servidores dentro del mismo entorno.

Darkangels continúa activando su ataque en 2026, sugiriendo una estrategia escalable y agresiva para mantener la presión sobre sus víctimas.