mamona
Perfil del Actor
Mamona fue un intento de rebranding de ransomware llevado a cabo por el operador detrás del RaaS BlackLock en marzo de 2025. Como estrategia, el actor intentó presentar una variante de ransomware como una amenaza independiente, aunque el proyecto finalmente fracasó y se revertió. Sin embargo, como strain autónomo, Mamona opera sin comunicación con un servidor C2, utilizando encriptación personalizada y enfocado específicamente en sistemas Windows.
Origen y Motivacion
El grupo detrás de Mamona está vinculado al operador del RaaS BlackLock, lo que sugiere una continuidad en las actividades de este actor. La motivación parece estar relacionada con la generación de ingresos a través de ransomware, aunque el proyecto no logró su objetivo inicial. El rebranding podría haber sido un intento de evadir detección o monetizar una infraestructura ya existente.
Tecnicas y Tacticas (TTPs)
Mamona se caracteriza por:
-
Operación en línea offline: No comunica con servidores C2, lo que dificulta su rastreo.
-
Cifrado personalizado: Usa algoritmos no estándar para encriptar datos.
-
Targeteo específico: Enfocado en sistemas Windows, posiblemente mediante técnicas de phishing o vulnerabilidades conocidas.
-
Rebranding: Se presentó como una amenaza independiente, aunque su infraestructura podría estar ligada al RaaS BlackLock.
Campanas Conocidas
No se registran campañas públicas asociadas directamente a Mamona. Sin embargo, el grupo está vinculado al operador del RaaS BlackLock, lo que implica que sus actividades podrían estar relacionadas con ataques previos o similares.
Objetivos y Victimas
El objetivo principal de Mamona es extorsionar a organizaciones o individuos mediante el secuestro de datos. Las víctimas probablemente incluyen empresas o usuarios con sistemas Windows vulnerables, aunque no hay registros públicos de ataques exitosos.
Indicadores de Compromiso (IOCs)
| Tipo |
Valor |
Contexto |
| Domain (Chat) |
bdhjur3agrogoxvwobbzpptkxhyewnjrhzqj4ug2dyfhf3dopyvvurid.onion |
Relacionado con el rebranding de Mamona como RaaS. |
| Domain (API) |
owt3kwkxod2pvxlv3uljzskfhebhrhoedrh5gqrxyyd6rrco4frzj5ad.onion |
Potencialmente usado para actividades de RaaS asociadas al BlackLock. |
Deteccion y Defensa
Para mitigar el riesgo de Mamona:
-
Rastrear dominios sospechosos: Monitorear dominios como los mencionados en la tabla.
-
Actualizaciones de sistemas: Asegurar que los sistemas Windows estén actualizados para cerrar vulnerabilidades.
-
Bases de datos de amenas: Utilizar fuentes de inteligencia para identificar patrones de comportamiento similar al BlackLock.
-
Backups regularmente: Evitar dependencias en datos encriptados por ransomware.