cryptbb
Perfil del Actor
CryptBB es un grupo de amenaza clasificado como ransomware con orígenes probablemente rusos. Activo alrededor de 2023, el grupo se destaca por su técnica de encriptar archivos y agregar extensiones aleatorias a los archivos cifrados. Además, se ha reportado que el grupo copió código fuente de la plataforma 8Base, lo que sugiere una operación de extorsión combinada con filtrado de datos.
Origen y Motivación
Se cree que CryptBB tiene raíces en Rusia, aunque no se ha confirmado oficialmente. Su motivación probablemente está relacionada con la obtención de beneficios financieros mediante el secuestro de datos, un método común en operaciones de ransomware. La copia de código fuente de 8Base indica que el grupo podría estar interesado en aprovechar vulnerabilidades conocidas para extorsionar a organizaciones.
Técnicas y Tacticas (TTPs)
El grupo utiliza una combinación de técnicas incluyendo:
- Encriptación de archivos con extensiones aleatorias.
- Extorsión combinada con filtrado de datos, mediante un sitio web de difusión de información robada (como el dominio cripuglupv3bsqnbt5ruu5lgwrwoaojscwhuoccbmbzmcidft5kiccqd.onion).
- Copia de código fuente de plataformas como 8Base, lo que sugiere una posible investigación de vulnerabilidades.
Campanas Conocidas
La campaña más notoria de CryptBB incluye la extorsión de organizaciones y el filtrado de datos. Según las informaciones disponibles, al menos 8 victimas han sido afectadas hasta septiembre de 2023, lo que sugiere una operación ampliada con un enfoque en empresas o sectores específicos.
Objetivos y Victimas
Los objetivos principales del grupo apuntan a organizaciones susceptibles a la extorsión. Las victimas incluyen empresas de diferentes industrias, aunque no se han especificado detalles sobre las víctimas individuales. La copia de código fuente de 8Base sugiere que el grupo podría estar interesado en plataformas con vulnerabilidades conocidas.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Dominio (onion) | cripuglupv3bsqnbt5ruu5lgwrwoaojscwhuoccbmbzmcidft5kiccqd.onion | Sitio web de difusión de información robada y actividad de extorsión. |
Detección y Defensa
Para detectar actividades relacionadas con CryptBB, es crucial monitorear dominios similares a los mencionados en la lista de IOCs. Las organizaciones deben actualizar sus sistemas contra amenazas de ransomware y realizar auditorías de seguridad regularmente. Además, se recomienda evitar el uso de plataformas vulnerables como 8Base hasta que se confirme su estabilidad.