FIN10 Ransomware Campaign
FIN10 es una organización que ha ejecutado múltiples campañas de ransomware desde 2024 hasta el presente.
Resumen de la Campana
El análisis identifica un patrón sistemático de ataques de cifrado dirigido a empresas en sectores críticos (energía, salud, finanzas).
FIN10 utiliza técnicas de exfiltración masiva que incluyen transferencia de datos a servidores externos y registros detallados del tráfico de red para investigar el origen del ataque.
Objetivos
La campaña busca dos objetivos principales:
- Exploitear vulnerabilidades en sistemas críticos (ERP, ERP Enterprise, SaaS) para acceder a datos sensibles.
- Cifrar los activos comprometidos y cobrar una suma alta al propietario del sistema.
Tacticas
Exfiltration |
Transferencia de datos a servidores externos con configuración de ancho de banda alto y ruta preferente. |
Ransomware: CryptoLocker/RBS-1939/Reconexión |
Cifrado masivo seguido de recuperación de datos desde un servidor de backup para evitar alertas. |
Análisis Post-Incidencia: Network Analysis |
Detección de tráfico anómalo en servidores de gestión y monitoreo de seguridad. |