onix
Perfil del Actor
Onyx es un grupo de amenaza asociado al ransomware Caos, primero observado en abril de 2022. Este grupo se destaca por su metodología destructiva: sobrescribe archivos con datos aleatorios en lugar de cifrarlos, lo que dificulta la recuperación incluso tras el pago del rescate. Según las informaciones disponibles, ha afectado a aproximadamente 13 victimas en seis países, con un total de 28 casos documentados.
Origen y Motivacion
El grupo no ha sido asociado a un origen geográfico específico, aunque su base técnica se deriva del ransomware Caos. Su motivación probablemente está relacionada con el robo de información y la extorsión financiera, aprovechando la vulnerabilidad de las organizaciones para obtener pagos. No existen datos claros sobre sus objetivos específicos o métodos de selección de víctimas.
Tecnicas y Tacticas (TTPs)
Onyx utiliza técnicas estándar de ransomware, incluyendo la infección por correo electrónico, el acceso a redes vulnerables y la propagación de malware. Su TTP único es sobrescribir archivos con datos aleatorios, lo que no solo dificulta la recuperación, sino que también complica la investigación forense. Este enfoque distingue a Onyx del resto de grupos ransomware.
Campanas Conocidas
Aunque no se reportan detalles específicos sobre las campañas, el grupo ha sido activo desde 2022 y ha tenido impacto en múltiples países. Su actividad se centra en empresas y organizaciones que no tienen mecanismos de backup efectivos, lo que amplía su alcance geográfico.
Objetivos y Victimas
El objetivo principal de Onyx parece ser el secuestro de datos críticos con el fin de extorsionar a las organizaciones. Las víctimas incluyen empresas en seis países, con un total de 28 casos documentados. La falta de cifrado y la sobrescripción de archivos aumentan el riesgo de pérdida permanente de información.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Dominio | mrdxtxy6vqeqbmb4rvbvueh2kukb3e3mhu3wdothqn7242gztxyzycid.onion | Localizaciones de ataque asociadas al grupo |
Deteccion y Defensa
La detección de Onyx requiere monitoreo continuo de redes y archivos para identificar sobrescripciones inusuales. Las defensas recomendadas incluyen la implementación de respaldos frecuentes, actualizaciones de sistemas operativos y el uso de herramientas de análisis forense para detectar actividades sospechosas. La falta de cifrado en los ataques de Onyx sugiere que la prevención debe priorizar la seguridad de datos críticos.