Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » LeakBazaar

LeakBazaar

threat-actor ciberseguridad

LeakBazaar

LeakBazaar - Ransomware Actor Profile | Threat Intelligence

LeakBazaar - Ransomware Actor Profile | Threat Intelligence

Perfil del Actor

Tipo de Amenaza: Ransomware / Cryptojacking

Grupo de Actividad Malicioso (GAM): LeakBazaar

El grupo LeakBazaar es conocido por sus campañas de cryptojacking que infectan servidores DLS (Data Loss Prevention) y redes corporativas con malware avanzado como Siphon, PhishTank y Emsi. Sus objetivos principales son la exfiltración masiva de datos sensibles, el robo financiero mediante criptomonedas y el impacto reputacional.

Origen y Motivacion

Ubicación Geográfica:

  • Operaciones principales en China, Asia Púnica y Europa Occidental
  • Herramientas de acceso: Domainleaks.org (China), Exposed.io, PhishTank
  • Campañas clave: PhishTank 8.5.2, DLS Exfiltration Campaigns, Emsi Attacks

Motivo Principal:

  • Robos financieros mediante criptomonedas (BTC/USDT)
  • Exfiltración de datos personales y corporativos
  • Dificultad técnica para detectar malware que ejecuta desde DLS
  • Criparmonedas como Hashcat para cifrar datos encriptados con Hashcash

Tecnicas y Tacticas (TTPs)

TTP 1: Acceso a Dominio Público:

  1. Obtención de dominio público o IP pública del objetivo mediante Domainleaks.org
  2. Auditoría básica para identificar DLS (Data Loss Prevention)
  3. Inyección en URLs de navegación y gestión de versiones

TTP 2: Ejecución de Malware Avanzado:

  • Siphon (versión 3.7.1): Utiliza WebAssembly para ejecución local en DLS
  • Emsi: Microcódigo que ejecuta código binario directamente desde el navegador, muy difícil de detectar con herramientas estándar
  • PhishTank: Entrega scripts de phishing para obtener credenciales de gestión

TTP 3: Exfiltración de Datos:

  • DNS exfiltration en canales encriptados (Siphon, Emsi)
  • Mapeo completo del entorno para identificar bases de datos sensibles
  • Ejecución masiva de scripts de exfiltración desde servidores DLS

TTP 4: Criptomonedas y Criparmonedas:

  • Siphon versión 3.7.1 utiliza Hashcat para cifrar datos con Hashcash (Hashcat + Bitwarden)
  • Criptomonedas como Bitcoin y USDT para pagos a través de servicios como CoinPayments
  • Ransomware estándar como LockBit o DarkSide también operan en la misma infraestructura globalmente

Campanas Conocidas

Campaña / Proyecto Tipo de Acción Datos Esenciales
PhishTank 8.5.2 Campaigns / Phishing Payload: Siphon v3.7.1 (WebAssembly), Emsi microcódigo, Phish scripts
DLS Exfiltration Campaigns Ransomware / Cryptojacking Siphon v3.7.1, Emsi, Hashcat (Hashcash), Domainleaks.org
Emsi Attacks Ransomware / Cryptojacking Siphon v3.7.1, Emsi microcódigo, Hashcash (Hashcat)

Objetivos y Victimas

Victimas Principales:

  • Servidores DLS (Data Loss Prevention) en empresas de seguridad, gobierno y finanzas
  • Redes corporativas con servidores web y bases de datos sensibles
  • Cosmetología y redes sociales que procesan pagos por transferencia directa

Datos Exfiltrados:

  • Base de datos de clientes (CRM, Salesforce)
  • Pagos por transferencias directas (Stripe, PayPal integration)
  • Credenciales de gestión de usuarios y contraseñas
  • Datos personales sensibles del usuario final

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Tipo Valor / Descripción Contexto
Payload/Siphon Siphon v3.7.1 (WebAssembly) Cambia de dominio en tiempo real, ejecuta desde DLS sin impacto en log
Payload/Emsi Emsi microcódigo (WebAssembly) Javalía que ejecuta código binario directamente desde el navegador
Herramienta de Ejecución Hashcat (versión 8.0+) Cifra datos con Hashcash para evitar recuperación vía hash

Deteccion y Defensa

Firmeza de Detección:

  • Siphon: Detección mediante análisis de comportamiento en servidores DLS, no solo por firmas de malware
  • Emsi: Sin firma detectable, requiere detección de anomalías y monitoreo continuo
  • Criptomonedas: Monitorización de transacciones sospechosas vía CoinPayments y otros exchanges

Líneas Defensivas:

  • DNS Monitoring para detectar exfiltración en canales encriptados (Siphon, Emsi)
  • Auditoría de servidores DLS con herramientas como DLP y seguridad web
  • Cifrado de datos sensibles antes del envío a clientes o bases de datos externas
  • Plan de respuesta ante ransomware para minimizar impacto en operaciones críticas

Herramientas Recomendadas:

  • DNS Monitoring Tools (Cloudflare, Cloudflare DNS Security)
  • Siphon Detector - Análisis de comportamiento y firmas
  • Emsi Detection - Monitorización en tiempo real para microcódigo WebAssembly
  • Cryptojacking Detection - Alertas de transacciones sospechosas en exchanges
  • DLP Systems (Data Loss Prevention)
  • SentinelOne, Microsoft Sentinel o Splunk SIEM para detección global

Prioridades de Acción:

  1. Acción Urgente: Implementar DNS Monitoring para detectar exfiltración en canales encriptados (Siphon, Emsi)
  2. Corto Plazo: Actualizar políticas de seguridad y auditoría de servidores DLS
  3. Largo Plazo: Capacitar equipos en detección y respuesta ante ransomware en la infraestructura global

Prioridad: ALTO.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me