haron
Perfil del Actor
Haron es un operativo de ransomware-as-a-service (RaaS) que emergió en julio de 2021, basándose en el código de la defunct Avaddon y utilizando elementos del Thanos, un constructor de ransomware. Este grupo actúa como una plataforma para ciberataques financiados por extorsión, con un enfoque en empresas de tamaño medio a grande.
Origen y Motivación
Haron se identifica como un actor de amenaza que prioriza el beneficio económico mediante la extorsión. Al copiar estructuras de notas de rescate y dominios de difusión de Avaddon, el grupo intenta maximizar su impacto y diseminación. Su motivación parece estar relacionada con la ganancia rápida de dinero, aprovechando la vulnerabilidad de organizaciones empresariales.
Técnicas y Tacticas (TTPs)
Haron utiliza un modelo RaaS para operar, lo que permite a los usuarios finales ejecutar ransomware sin conocimientos técnicos avanzados. Las tácticas incluyen la infección de redes por phishing, el uso de vulnerabilidades en sistemas y una ventana de negociación de seis días con las víctimas. La operativa se basa en la replicación de componentes de Avaddon, lo que sugiere un enfoque de "copy-paste" para acelerar su actividad.
Campanas Conocidas
No se reportan campañas específicas asociadas a Haron, aunque su operativa parece centrada en ataques generalizados contra empresas. La falta de datos detallados sobre actividades específicas sugiere que el grupo puede ser difícil de rastrear debido a la naturaleza anónima del RaaS.
Objetivos y Víctimas
Haron se enfoca en organizaciones empresariales, aprovechando su vulnerabilidad a ataques cibernéticos. La ventana de seis días para negociación indica una estrategia de extorsión con un plazo limitado, lo que podría presionar a las víctimas a pagar. Las víctimas probablemente incluyen empresas en sectores críticos, aunque no se especifican.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| C2 Server | ft4zr2jzlqoyob7yg4fcpwyt37hox3ajajqnfkdvbfrkjioyunmqnpad.onion |
Dominio Tor asociado al operativo. |
Detección y Defensa
Para mitigar el riesgo de Haron, es crucial monitorear dominios Tor y detectar actividades sospechosas en redes. Las organizaciones deben implementar medidas de seguridad como la actualización constante de sistemas, la monitorización de flujos de datos y la colaboración con centros de inteligencia cibernética. La detección temprana de patrones similares a Avaddon o Thanos puede ayudar en la prevención.