ramp
Perfil del Actor
RAMP (Russian Anonymous Marketplace) fue un foro en la oscuridad que operó como una plataforma central para la venta y reclutamiento de operadores de criptomoneda. No era un grupo de amenaza en sí, sino el ecosistema subyacente al modelo RaaS (Ransom as a Service), que facilita la comercialización de ransomware a través de affiliate programs y brokers. Su objetivo principal era fortalecer la infraestructura de ransomware mediante la creación de una red de colaboradores, herramientas y recursos para operaciones de extorsión.
Origen y Motivación
Fundado en 2021, RAMP fue creado por individuos con conocimientos en ciberseguridad y ransomware, probablemente con base en Rusia o regiones con comunidades rusas significativas. Su motivación era satisfacer la demanda de ransomware operadores al proporcionar un espacio para la comercialización, soporte técnico y entrenamiento. Este modelo permitía a los atacantes obtener ingresos sin necesidad de desarrollar sus propias herramientas o técnicas, lo que ampliaba el impacto de las amenazas.
Técnicas y Tacticas (TTPs)
RAMP utilizó una combinación de técnicas para mantener su operativa en la oscuridad:
-
Redes Tor: Operaba principalmente a través de dominios .onion, evitando rastreo IP.
-
Reclutamiento de Afiliados: Ofrecía recursos y soporte a otros atacantes para aumentar su influencia.
-
Plataformas Anónimas: Aprovechó la infraestructura de dark web para evitar detectación por parte de autoridades.
-
Ecosistema RaaS: Facilitó el desarrollo de operaciones de ransomware mediante herramientas y conocimientos compartidos entre usuarios.
Campanas Conocidas
Aunque no se especifican campañas particulares, RAMP fue identificado como un punto crítico en la infraestructura de ransomware. Su cierre en 2026 por el FBI sugiere que era una plataforma central para operaciones de extorsión masiva, probablemente involucrando múltiples actores en el ecosistema RaaS.
Objetivos y Victimas
El objetivo principal de RAMP era facilitar la venta y coordinación de ataques de ransomware. Las víctimas incluirían organizaciones vulnerables, empresas o incluso gobiernos, cuyos sistemas serían atacados para exigir pagos en criptomoneda. La plataforma no era un atacante directo, pero actúaba como un intermediario clave en el mercado negro de ransomware.
Indicadores de Compromiso (IOCs)
| Tipo |
Valor |
Contexto |
| Dark Web Link |
ramp4u5iz4xx75vmt6nk5xfrs5mrmtokzszqxhhkjqlk7pbwykaz7zid.onion |
Locations |
| Dark Web Link |
rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd.onion |
Locations |
| Dark Web Link |
wavbeudogz6byhnar |
Locations |
Detección y Defensa
Para mitigar riesgos asociados a RAMP, las organizaciones deben:
-
Monitorear la dark web: Buscar dominios .onion o redes Tor relacionadas con ransomware.
-
Reforzar ciberseguridad: Implementar sistemas de detección de amenazas y monitoreo de redes.
-
Educación continua: Entrenar a los empleados en identificación de phishing y actividades maliciosas.
-
Colaboración con autoridades: Reportar actividades sospechosas a organismos como el FBI o agencias antifraude.