redalert
Perfil del Actor
RedAlert (también conocido como N13V) es un grupo de amenaza relacionado con el ciberdelito que se ha enfocado principalmente en la inmunidad de sistemas informáticos corporativos. Este actor, primero observado en julio de 2022, tiene una especialización en ataques de extorsión doble, donde no solo cifra datos, sino que también exige pagos para revelar información confidencial.
El grupo se centra en servidores VMware ESXi tanto Windows como Linux, empleando algoritmos criptográficos avanzados como NTRUEncrypt y requiriendo solo Monero como método de pago para las extorsiones. Sus operaciones suelen incluir la amenaza de publicar documentos sensibles o datos personales de las víctimas si no se cumplen los términos del rescate.
Origen y Motivación
Aunque no se han divulgado detalles sobre el origen geográfico exacto de RedAlert, su enfoque hacia sistemas virtualizados sugiere una posible conexión con sectores tecnológicos o empresariales. La motivación principal parece ser la obtención de beneficios económicos a través de la extorsión digital, aprovechando las vulnerabilidades de entornos corporativos que dependen de infraestructuras VMware.
Técnicas y Tacticas (TTPs)
RedAlert utiliza técnicas de ataque basadas en la infección de sistemas virtualizados. Su principal táctica incluye:
- Cifrado de archivos: Utilizando el algoritmo NTRUEncrypt para bloquear accesos a archivos de máquinas virtuales.
- Extorsión doble: Exigir pagos en Monero y amenazar con la divulgación de datos sensibles si no se cumplen las condiciones.
- Ataques a entornos corporativos: Enfocándose en redes de empresas que dependen de VMware para sus infraestructuras.
Campanas Conocidas
RedAlert ha sido asociado con al menos 6 campañas de ataque, cada una afectando a organizaciones diferentes. Estas operaciones implican la infección de servidores VMware y el secuestro de archivos críticos, seguido por la extorsión para liberar los datos cifrados.
Objetivos y Victimas
El objetivo principal del grupo es obtener dinero mediante el secuestro digital. Sus victimas son principalmente empresas que utilizan VMware en sus infraestructuras, lo que sugiere una especialización en entornos de virtualización. Aunque no se han especificado las identidades exactas de las víctimas, se conocen 6 casos de ataque exitoso.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Dominio | blog2hkbm6gogpv2b3uytzi3bj5d5zmc4asbybumjkhuqhas355janyd.onion | Asociado con operaciones de RedAlert. |
| Dominio | je2yizds7r4uidk6uixfxwjj5w7or2agit4aj66l4lrhdbrvr3lsymid.onion | Asociado con operaciones de RedAlert. |
Detección y Defensa
Para mitigar el impacto de RedAlert, es crucial:
- Monitorear transacciones en Monero: Dado que el grupo requiere este criptoactivo como pago.
- Cifrado de respaldos: Asegurar que los datos críticos no estén expuestos a cifrado por ransomware.
- Reforzar entornos VMware: Implementar actualizaciones y revisiones periódicas en infraestructuras virtualizadas.
- Deteción de actividades anómalas: Vigilar comportamientos inusuales en sistemas que puedan indicar infecciones o ataques de extorsión.