datakeeper
Perfil del Actor
DataKeeper es un operativo de ransomware-as-a-service (RaaS) que ha estado activo desde al menos 2018. Se destaca por su modelo de affiliate llamado "CrystalPartnership RaaS", en el cual ofrecen una herramienta de ransomware enfocada principalmente en Windows, con características como la cifrado híbrido RSA-4096 y un mecanismo de pago dividido para construir confianza entre afiliados.
El operativo se ha posicionado como una plataforma para actores menos experimentados, permitiéndoles aprovechar el modelo de affiliate para generar ingresos mediante la extorsión de víctimas.
Origen y Motivación
Según los registros disponibles, DataKeeper no tiene un foco geográfico claro. Su motivación principal parece ser la generación de ingresos a través del secuestro de datos, ofreciendo una plataforma para actores que buscan monetizar su habilidad en ciberataques.
La operativa se basa en el modelo RaaS, lo que sugiere un enfoque escalable y distribuido, donde múltiples actores pueden participar en la extorsión de víctimas sin necesidad de tener una infraestructura propietaria.
Técnicas y Tacticas (TTPs)
DataKeeper utiliza técnicas como el cifrado híbrido RSA-4096, un método que dificulta la detección y recuperación de datos. Además, permite a los afiliados registrarse en una plataforma dark web abierta, lo que facilita la distribución de herramientas maliciosas.
El mecanismo de pago dividido entre el operativo y los afiliados fomenta la confianza, pero también puede crear vulnerabilidades si no hay control sobre las actividades de los afiliados.
Campanas Conocidas
No se han reportado campañas específicas vinculadas directamente a DataKeeper. Sin embargo, su modelo RaaS sugiere que sus ataques pueden estar asociados a múltiples incidentes dispersos, con una amplia gama de víctimas.
Objetivos y Víctimas
El objetivo principal es extorsionar organizaciones y usuarios individuales que utilizan sistemas Windows. Las víctimas probablemente incluyen empresas y particulares cuyos datos son valiosos para el ransomware.
La falta de detalles específicos sobre las victimas sugiere que DataKeeper opera en un entorno donde la identificación directa de víctimas es difícil, lo que complica su rastreo y neutralización.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| C2 Server | dc4nwiijwiffwztwzj5fngmcoppedrxg4jqj2tq67ontbini6qmlguid.onion |
Dominio asociado a una plataforma dark web utilizada para registrarse y distribuir herramientas maliciosas. |
No hay Indicadores de Compromiso publicos disponibles.
Detección y Defensa
Se recomienda monitorear el entorno dark web para detectar dominios o IPs relacionados con operativos como DataKeeper. Además, las organizaciones deben implementar sistemas de detección de amenazas que analicen tráfico anómalo y revisen activos críticos.
La defensa también incluye la educación de los usuarios sobre phishing y ataques sociales, ya que el modelo RaaS depende en parte de la ingeniería social para ganar acceso a sistemas vulnerables.