rancoz
Perfil del Actor
Rancoz es un strain de ransomware que se enfoca en sistemas Windows y utiliza técnicas de extorsión doble. Este ciberataque fue identificado por primera vez en noviembre de 2022, y su nombre evoca a la organización Vice Society, sugiriendo una posible relación con actividades similares.
Se caracteriza por encriptar archivos y agregar la extensión .rec_rans, lo que permite a los atacantes exigir pagos para desencriptar los datos. Según informaciones disponibles, Rancoz se ha asociado con el mismo desarrollador que el ransomware "Buddy", lo que sugiere una posible cadena de influencia o desarrollo compartido.
Origen y Motivación
El primer registro de Rancoz data del noviembre de 2022, indicando que su aparición podría estar relacionada con actividades maliciosas en un contexto específico. Aunque no se ha especificado una motivación clara, su uso de extorsión doble sugiere una estrategia financiera basada en la intimidación y el robo de datos.
El ciberataque parece estar orientado hacia organizaciones pequeñas, lo que indica una táctica de ataque escalonada, priorizando víctimas con menos defensa y recursos de seguridad.
Técnicas y Tacticas (TTPs)
Rancoz utiliza una combinación de técnicas de infección y extorsión. Entre sus métodos se incluyen:
- Extorsión doble: Requiere pago para desencriptar archivos y, en algunos casos, devuelve datos robados.
- Inyección de código malicioso: Se ha observado que el ransomware se propaga a través de vectores de infección no convencionales.
- Uso de dominios C2: Los atacantes pueden controlar servidores de comunicación con dominios como
ze677xuzard4lx4iul2yzf5ks4gqqzoulgj5u4n5n4bbbsxjbfr7eayd.onion, que actúan como intermediarios para operaciones maliciosas.
Campanas Conocidas
Se reporta que Rancoz ha sido utilizado en ataques contra un número limitado de organizaciones, con un total de 6 víctimas identificadas. Estas campañas parecen estar orientadas a entornos específicos, posiblemente relacionados con sectores críticos o empresas de pequeño tamaño.
Objetivos y Victimas
Los objetivos principales de Rancoz incluyen:
- Víctimas empresariales pequeñas: Organizaciones que pueden no contar con defensas robustas contra ransomware.
- Extorsión financiera: Requisitos de pago para desencriptar datos, lo que sugiere una motivación clara de generación de ingresos ilícitos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Domain | ze677xuzard4lx4iul2yzf5ks4gqqzoulgj5u4n5n4bbbsxjbfr7eayd.onion | Malware C2 server |
Detección y Defensa
Para detectar Rancoz, las organizaciones deben monitorear archivos con la extensión .rec_rans y verificar la presencia de actividades de extorsión doble. Se recomienda:
- Revisión de códigos maliciosos: Buscar patrones de infección asociados a dominios C2.
- Actualización de sistemas: Mantener software y sistemas actualizados para correr riesgos de vulnerabilidades conocidas.
- Certificación de backups: Garantizar que los datos estén protegidos con respaldos seguros y no encriptados.