icefire
Perfil del Actor
IceFire es un grupo de amenaza que se identificó como un ransomware en 2022, y posteriormente expandió sus actividades a sistemas Linux en el primer trimestre de 2023. El grupo utiliza técnicas de doble extorsión (double-extortion), lo que implica secuestrar datos críticos y exigir pagos para devolverlos. Sus objetivos principales son obtener beneficios económicos mediante la cifrado de información valiosa.
Origen y Motivación
IceFire se originó en 2022, con una expansión significativa hacia Linux en 2023. La motivación principal parece estar relacionada con el robo y la extorsión de datos sensibles, especialmente en sectores como medios y entretenimiento. El grupo ha enfocado sus ataques en países como Turquía, Irán, Pakistán y Emiratos Árabes Unidos, donde las organizaciones tienen acceso a información crítica.
Técnicas y Tacticas (TTPs)
IceFire utiliza técnicas de ataque basadas en vulnerabilidades. En 2023, el grupo explotó una brecha en IBM Aspera Faspex (CVE-2022-47986), lo que permitió su acceso a sistemas Linux. Además, emplean métodos de doble extorsión para maximizar la valoración de sus víctimas.
Campanas Conocidas
El grupo ha sido asociado con ataques contra organizaciones del sector medios y entretenimiento en Turquía, Irán, Pakistán y Emiratos Árabes Unidos. Aunque no se han identificado nombres específicos de campañas, sus actividades incluyen el secuestro de datos críticos y la extorsión financiera.
Objetivos y Victimas
Los objetivos principales de IceFire son el cifrado de información valiosa y el extorción financiera. Según los registros, han afectado a 11 organizaciones en los países mencionados. Las víctimas suelen ser empresas que manejan contenidos multimedia o sistemas críticos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| DLS | 7kstc545azxeahkduxmefgwqkrrhq3mzohkzqvrv7aekob7z3iwkqvyd.onion | Contexto: C2 servidor |
| DLS | kf6x3mjeqljqxjznaw65jixin7dpcunfxbbakwuitizytcpzn4iy5bad.onion | Contexto: C2 servidor |
Detección y Defensa
Para mitigar el impacto de IceFire, las organizaciones deben monitorear dominios maliciosos como los DLS mencionados. Es fundamental aplicar parches de seguridad en sistemas que puedan ser vulnerables a CVE-2022-47986. Además, se recomienda implementar soluciones de detección en extremo y mantener respaldos regularmente para minimizar riesgos asociados al cifrado de datos.