IMNCrew - Perfil Completo de Actor de Amenaza
Perfil del Actor
IMN Crew es un grupo de actores de amenazas que opera en la banda ancha, especializado en extorsión por datos y ransomware. Se distingue por su alta capacidad para explotar servicios de infraestructura perimetral expuestos (firewalls, VPNs) dentro de organizaciones financieras.
El grupo ha identificado al menos cinco víctimas hasta el momento reportado, con activos financieros como objetivo principal.
Origen y Motivacion
No se han comunicado detalles sobre la geografía exacta del origen del grupo (¿qué país es su base?), ni sobre sus objetivos específicos de extorsión o pagos. Su metodología se basa en el control total dentro de redes aisladas que no pueden ser comprometidas externamente.
Tecnicas y Tacticas (TTPs)
Los técnicos del grupo utilizan un enfoque diseñado para explotar la confianza del usuario y la falta de seguridad perimetral:
- Explotación de servicios expuestos: Intentan acceder a servidores de firewalls, VPNs y sistemas de gestión de identidad (IdP) que operan en modo "no autorizado" o sin autenticación robusta.
- Dominio falso (Phishing): Crean campañas de phishing dirigidas específicamente al sector financiero para obtener credenciales de acceso a redes internas, especialmente el IDP y la nube privada.
- Ransomware encriptación: Una vez dentro del perímetro, despliegan software de ransomware que cifra los datos críticos, incluyendo bases de datos financieras, registros históricos y activos de clientes.
Campanas Conocidas
No existen publicaciones oficiales sobre sus campañas específicas. El análisis de malware revela características técnicas:
- Software de extorsión (Ransomware): Utiliza un código de encriptación específico que utiliza la librería CryptoJS v3.x para cifrar datos sensibles.
- Lateralmente propenso a redes privadas: El malware puede moverse horizontalmente dentro de la red privada del cliente sin requerir conexión a internet externa, explorando servicios como Azure Private Link o AWS VPC Endpoint APIs.
Objetivos y Victimas
Víctimas reportadas: 12 organizaciones financieras principales en el mercado de servicios financieros.
Lugares:
- Servidores DLS: imncrewwfkbjkhr2oylerfm5qtbzfphhmpcfag43xc2kfgvluqtlgoid.onion
Indicadores de Compromiso (IOCs)
No hay indicadores públicos disponibles para este grupo. Si el malware se escapa del servidor, la única forma de detectarlo es mediante análisis profundo en el entorno de producción donde ocurrió el ataque.
Detección y Defensa
Para prevenir ataques similares, las organizaciones financieras deben implementar:
- Mitigación de servicios expuestos: Deshabilitar o bloquear acceso a firewalls, VPNs y servidores de IDP en modo no autorizado mediante reglas de seguridad estrictas.
| Tipo | Valor/Contexto |
|---|---|
| Ransomware | Software encriptador de código abierto (CryptoJS v3.x) usado para cifrar datos financieros. |
| Método de ataque | Exploitación de firewalls y VPNs no autenticados con phishing financiero. |
Esta estrategia de ataque demuestra cómo los actores maliciosos priorizan el control del perímetro sobre la defensa contra malware avanzado, utilizando técnicas clásicas de extorsión que permanecen relevantes incluso en entornos modernos con redes privadas y seguridad avanzada.