suncrypt

Perfil del Actor

Suncrypt es un operativo de tipo RaaS (Ransom-as-a-Service) que fue首次 observado en octubre de 2019. Este actor se destaca por su uso innovador de la triple extorsión, combinando cifrado de datos, amenazas de publicación de información y ataques DDoS contra victimas no pagadoras. Además, opera un programa de afiliados cerrado y colabora con TrickBot para obtener acceso inicial a las redes objetivo.

Origen y Motivacion

No se han revelado detalles sobre el origen geográfico o las motivaciones específicas del actor. Sin embargo, su modelo de operación basado en la extorsión por cifrado sugiere un objetivo principal de generación de ingresos a través de pagos ransoms.

Tecnicas y Tacticas (TTPs)

Suncrypt utiliza una combinación de técnicas incluyendo: - Cifrado de datos para bloquear el acceso a sistemas críticos. - Amenazas de publicación para presionar a las victimas a pagar. - Ataques DDoS contra victimas no pagadoras. - Un programa de afiliados cerrado para expandir su operativa. - Colaboración con TrickBot para obtener acceso inicial a redes objetivo.

Campanas Conocidas

Aunque no se han identificado nombres específicos de campañas, Suncrypt ha sido asociado con ataques contra 32 organizaciones desde su aparición en 2019. Su modelo RaaS permite una escala significativa y un enfoque en la extorsión mediante cifrado.

Objetivos y Victimas

El objetivo principal de Suncrypt es obtener pagos ransoms por el cifrado de datos. Las victimas incluyen organizaciones de diversos sectores, aunque no se han especificado detalles sobre sus industrias o ubicaciones geográficas.

Indicadores de Compromiso (IOCs)

Deteccion y Defensa

La detección de Suncrypt requiere monitoreo de dominios DLS y análisis de actividades de extorsión. Las defensas incluyen: - Cierre de accesos no autorizados a sistemas críticos. - Monitoreo de redes para detectar C2 actividad relacionada con TrickBot. - Actualización constante de protocolos de seguridad contra amenazas de ransomware.