bluesky
Perfil del Actor
Bluesky es un grupo de amenaza relacionado con el ciberataque que opera como ransomware financiero. Actividad documentada desde el medio 2022 hasta principios de 2023, se caracteriza por el uso de técnicas avanzadas de cifrado y código compartido con otros grupos maliciosos.
Origen y Motivación
Se atribuyen a actores de amenaza rusos, con una motivación clara de obtener beneficios económicos mediante la encriptación de archivos. El grupo utiliza métodos de ataque orientados a maximizar el impacto financiero sobre las victimas.
Técnicas y Tacticas (TTPs)
Bluesky emplea un algoritmo de cifrado multi-threaded ChaCha20/Curve25519 para bloquear archivos rápidamente en sistemas Windows. Su código compartido muestra similitudes con Conti v2/v3 y Babuk, lo que sugiere una posible conexión con otros grupos maliciosos.
Campanas Conocidas
No se han reportado campañas específicas conocidas asociadas directamente a Bluesky. Sin embargo, su actividad ha sido observada en un contexto de ransomware financiero que impacta a organizaciones y sectores críticos.
Objetivos y Victimas
Los objetivos principales de Bluesky son sistemas operativos Windows, con una orientación hacia entornos empresariales y gubernamentales. No se han especificado victimas particulares en fuentes públicas.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Domain Generation Algorithm (DGA) | ccpyeuptrlatb2piua4ukhnhi7lrxgerrcrj4p2b5uhbzqm2xgdjaqid.onion | [DLS] |
No hay Indicadores de Compromiso publicos disponibles.
Detección y Defensa
Las medidas de defensa incluyen la monitoreo de dominios generados automáticamente (DGAs) y la implementación de sistemas de detección avanzada para identificar patrones de cifrado. Se recomienda actualización constante de firmas antivirus y análisis de redes internas.