Arkana Seguridad
Arkana es un grupo de ransomware recientemente identificado que debutó públicamente con un ataque agresivo y de gran repercusión contra WideOpenWest (WOW!), un importante proveedor estadounidense de cable y banda ancha.
Origen de Arkana
Arkana es un grupo de ransomware recientemente identificado que debutó públicamente con un ataque agresivo y de gran repercusión contra WideOpenWest (WOW!), un importante proveedor estadounidense de cable y banda ancha. A pesar de su reciente aparición, la sofisticación operativa del grupo sugiere que puede estar dirigido por actores de amenazas experimentados. Arkana utiliza un modelo de ransomware en tres fases (rescate, venta y filtración) quese centra en la extorsión y las tácticas coercitivas. El lenguaje utilizado en su sitio Onion y en sus comunicaciones apunta a posibles orígenes o afiliaciones rusas, aunque esto aún no se ha verificado de forma concluyente.
Su estrategia no es sólo técnica, sino también psicológica, y se basa en tácticas de vergüenza y doxxing corporativo para aumentar la presión sobre las víctimas. El uso por parte del grupo de un "Muro de la Vergüenza " público y la difusión de información sobre ejecutivos expoliados marcan un giro hacia los ataques a la reputación como parte de su plan de extorsión.
Países objetivo de Arkana
Aunque no se ha revelado públicamente ningún otro ataque, el de Arkana contra WOW, una empresa con sede en Estados Unidos, demuestra su interés por atacar a entidades occidentales, especialmente norteamericanas. Su enfoque sugiere una voluntad de desafiar a organizaciones bien establecidas en entornos altamente regulados.
Industrias objetivo de Arkana
Arkana se ha centrado principalmente en el sector de las telecomunicaciones y los servicios de Internet, como demuestra su primer ataque conocido contra WideOpenWest. Sin embargo, su modelo centrado en la extorsión y sus técnicas de explotación de infraestructuras sugieren que están bien posicionados para atacar a cualquier industria que almacene grandes cantidades de información de identificación personal, datos financieros y opere sistemas backend críticos.
Las víctimas de Arkana
La única víctima confirmada por el momento es WideOpenWest (WOW!). El grupo afirmó tener acceso a:
- Más de 403.000 cuentas de clientes
- Plataformas backend como AppianCloud y Symphonica
- Datos financieros y de identificación personal sensibles
- Datos personales de los ejecutivos, incluidos SSN, direcciones e información de contacto
Esto indica un movimiento lateral profundo y un énfasis en los sistemas backend privilegiados, lo que podríapermitir el despliegue de ransomware a escala en los puntos finales de los clientes.
Técnicas de ataque de Arkana
Es probable que se consiga mediante la explotación de sistemas conectados a Internet o credenciales comprometidas, posiblemente a través de vulnerabilidades no parcheadas o phishing.
Obtuvo permisos elevados dentro de plataformas backend como AppianCloud; probablemente explotó errores de configuración específicos de la plataforma o eludió la autenticación.
Evitó la detección mientras mantenía un acceso prolongado a los sistemas internos de WOW!; posiblemente desactivó el registro u ofuscó los patrones de acceso.
Acceso a un amplio conjunto de credenciales, incluidos nombres de usuario, contraseñas y respuestas a preguntas de seguridad; utilizadas para el movimiento lateral y la persistencia.
Mapeo de servicios internos y API (por ejemplo, facturación, datos de clientes), identificando objetivos de alto valor como Symphonica y Appian.
Propagado a través de sistemas internos, incluyendo APIs de facturación, sistemas CRM y posiblemente dispositivos controlados a través de Symphonica.
Exfiltró grandes cantidades de datos, incluidos datos personales, datos de autenticación y código backend de sistemas orientados al cliente.
Afirmó tener la capacidad de enviar malware a los dispositivos de los clientes a través de Symphonica; posiblemente implicaba scripts personalizados o cargas útiles a través del acceso backend.
Es probable que los datos se extrajeran a lo largo del tiempo y se utilizaran en el proceso de extorsión, incluida la publicación de muestras y capturas de pantalla asépticas.
Divulgación pública de datos robados, doxxing de ejecutivos, daños a la reputación, posible distribución de malware a usuarios finales.
Es probable que se consiga mediante la explotación de sistemas conectados a Internet o credenciales comprometidas, posiblemente a través de vulnerabilidades no parcheadas o phishing.
Obtuvo permisos elevados dentro de plataformas backend como AppianCloud; probablemente explotó errores de configuración específicos de la plataforma o eludió la autenticación.
Evitó la detección mientras mantenía un acceso prolongado a los sistemas internos de WOW!; posiblemente desactivó el registro u ofuscó los patrones de acceso.
Acceso a un amplio conjunto de credenciales, incluidos nombres de usuario, contraseñas y respuestas a preguntas de seguridad; utilizadas para el movimiento lateral y la persistencia.
Mapeo de servicios internos y API (por ejemplo, facturación, datos de clientes), identificando objetivos de alto valor como Symphonica y Appian.
Propagado a través de sistemas internos, incluyendo APIs de facturación, sistemas CRM y posiblemente dispositivos controlados a través de Symphonica.
Exfiltró grandes cantidades de datos, incluidos datos personales, datos de autenticación y código backend de sistemas orientados al cliente.
Afirmó tener la capacidad de enviar malware a los dispositivos de los clientes a través de Symphonica; posiblemente implicaba scripts personalizados o cargas útiles a través del acceso backend.
Es probable que los datos se extrajeran a lo largo del tiempo y se utilizaran en el proceso de extorsión, incluida la publicación de muestras y capturas de pantalla asépticas.
Divulgación pública de datos robados, doxxing de ejecutivos, daños a la reputación, posible distribución de malware a usuarios finales.
TTPs utilizados por Arkana
Cómo detectar Arkana con Vectra AI
Preguntas frecuentes
¿Qué es Arkana y en qué se diferencia de otros grupos de ransomware?
Arkana es un grupo de ransomware recientemente identificado con un modelo de extorsión en tres fases: Rescate, Venta y Filtración. Combina el ransomware tradicional con ataques agresivos de doxxing y de reputación.
¿Está Arkana vinculada a algún grupo conocido de ciberdelincuentes?
No hay vínculos confirmados, pero el lenguaje y las tácticas sugieren un posible origen ruso o una alineación con los ecosistemas cibercriminales de Europa del Este.
¿Cuál fue el alcance de su ataque a WOW?
Arkana afirma haber violado la infraestructura de backend, filtrado más de 403.000 cuentas de clientes y obtenido el control de plataformas como Symphonica y AppianCloud.
¿Cómo consiguió Arkana el acceso inicial?
Aunque no están confirmados, los métodos probables incluyen phishingrelleno de credenciales o explotación de sistemas públicos sin parches.
¿Qué tipo de datos se robaron?
Los datos incluyen nombres de usuario, contraseñas, SSN, información de tarjetas de crédito, detalles de paquetes de servicios, ID de Firebase y preferencias de comunicaciones por correo electrónico.
¿Arkana desplegó un ransomware real?
Operan como un grupo de extorsión de datos, pero también afirman que pueden enviar malware a los dispositivos de los clientes, lo que sugiere que es posible el despliegue de ransomware.
¿Cómo pueden las organizaciones detectar y responder a este tipo de ataques?
Implemente soluciones de detección y respuesta a amenazas como Vectra AI. Supervise las llamadas a API inusuales, los accesos no autorizados y la filtración anómala de datos. Aplique principios de zero trust y MFA.
¿Sigue en activo Arkana?
Por ahora, su sitio Onion está operativo y sólo han incluido a WOW! como víctima, pero su infraestructura sugiere una actividad continua y futuros ataques.
¿Cuáles son los riesgos jurídicos para las víctimas de Arkana?
Las víctimas podrían enfrentarse a multas reglamentarias (por ejemplo, HIPAA, GDPR), demandas de los clientes afectados y responsabilidades colectivas debido a la naturaleza de los datos robados.
¿Qué pueden hacer los afectados?
Los clientes de WOW! deberían:
- Activar la supervisión del crédito
- Cambiar contraseñas y preguntas de seguridad
- Supervise los intentos dephishing y el acceso no autorizado a cuentas.