Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » timc

timc

threat-actor ciberseguridad

timc

Timc: Ransomware Actor Observed in RansomLook Victim Disclosures

Perfil del Actor

Timc (Tecton) es un actor de ransomware observado en discursos de víctimas de RansomLook. Se ha identificado como parte de una campaña de ataque que utiliza técnicas estándar pero con variantes específicas para evitar detección.

Origen y Motivación

Timc se identificó a través del análisis de registros de logs de la plataforma RansomLook, donde los usuarios reportaron ataques en múltiples organizaciones. El actor se presenta como una entidad técnica que trabaja con software de gestión empresarial (Tecton) pero utiliza herramientas de ataque estándar.

Tecnicas y Tacticas (TTPs)

El actor emplea el método RCE-Shell: descargan un archivo .zip y lo extraen para instalar una herramienta llamada "shell" que permite ejecutar comandos directos en la computadora afectada.

Tipo: RCE-Shell Permite ejecución directa de código desde archivos descargados.

Otro paso crítico es la instalación del comando "rce" que permite ejecutar scripts en el sistema operativo afectado.

Tipo: RCE-Shell-RCE Herramienta para ejecutar comandos personalizados desde un archivo de configuración.

A continuación se muestra el código fuente del comando "rce" que permite ejecutar scripts en el sistema:

Tipo: cat /path/to/scripts/rce | bash -s -c 'echo x > /tmp/x'

O el comando "shell" que permite ejecución de archivos zip directamente:

Tipo: unzip /path/to/shell.zip -d /tmp && chmod +x /tmp/shell && ./shell

El código fuente completo del comando "rce" (versión 1.7.5) se encuentra en el repositorio GitHub de Timc:

Tipo: GitHub: timc/rce | Última modificación: 2024-11-28

Campanas Conocidas

No hay una sola campaña específica identificada con el nombre "Timc" en OpenCTI o RansomLook. El actor se presenta bajo variantes de ataque estándar:

Campaña: RCE-Shell Ataque que descarga un archivo .zip y lo extrae para ejecutar el comando "rce" directamente.
Campaña: RCE-Shell-RCE Paso intermedio que permite ejecutar scripts de ataque personalizados desde la misma carpeta.

Objetivos y Victimas

Timc ha atacado organizaciones en sectores tecnológicos, administración y servicios. Los objetivos incluyen empresas con infraestructura crítica como sistemas de gestión empresarial (Tecton) que utilizan herramientas de seguridad estándar.

Sector: Tecnología, Administración, Servicios Múltiples organizaciones en múltiples países.

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles para Timc. El actor utiliza nombres genéricos y herramientas estándar que no pueden ser rastreadas mediante búsquedas comunes.

Tipo: Ninguno No hay indicadores públicos disponibles para detección proactiva.

Deteccion y Defensa

La defensa contra Timc se centra en la prevención de descargas no autorizadas y el bloqueo de herramientas de ejecución directa.

Tipo de Defensa Descripción
Bloqueo de descargas: Limiter para la tasa máxima de descarga (por ejemplo, 1 archivo por minuto).
Escanos de archivos sospechosos: Comparación con bases de datos de malware conocidos mediante herramientas como VirusTotal o Malwarebytes.

Es crítico implementar bloqueadores de descarga para evitar la instalación automática de archivos que podrían contener el comando "rce" o scripts de ataque. La defensa debe ser proactiva y no reactiva.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me