Boletín de ciberataques: Los atacantes no piratean, inician sesión: El punto ciego de la AMF

Boletín de ciberataques: Los atacantes no piratean, inician sesión: El punto ciego de la AMF >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
cybercriminels
>
Grupo de ransomware

Arkana Seguridad

Arkana es un grupo de ransomware recientemente identificado que debutó públicamente con un ataque agresivo y de gran repercusión contra WideOpenWest (WOW!), un importante proveedor estadounidense de cable y banda ancha.

Detectar los TTPs de Arkana
¿Está su organización a salvo de los ataques del ransomware Arkana?
Fondo
Objetivos
TTPs
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas

Origen de Arkana

Arkana es un grupo de ransomware recientemente identificado que debutó públicamente con un ataque agresivo y de gran repercusión contra WideOpenWest (WOW!), un importante proveedor estadounidense de cable y banda ancha. A pesar de su reciente aparición, la sofisticación operativa del grupo sugiere que puede estar dirigido por actores de amenazas experimentados. Arkana utiliza un modelo de ransomware en tres fases (rescate, venta y filtración) quese centra en la extorsión y las tácticas coercitivas. El lenguaje utilizado en su sitio Onion y en sus comunicaciones apunta a posibles orígenes o afiliaciones rusas, aunque esto aún no se ha verificado de forma concluyente.

Su estrategia no es sólo técnica, sino también psicológica, y se basa en tácticas de vergüenza y doxxing corporativo para aumentar la presión sobre las víctimas. El uso por parte del grupo de un "Muro de la Vergüenza " público y la difusión de información sobre ejecutivos expoliados marcan un giro hacia los ataques a la reputación como parte de su plan de extorsión.

Imagen: SOCradar

Origen de Arkana
Objetivos

Objetivos de Arkana

Países objetivo de Arkana

Aunque no se ha revelado públicamente ningún otro ataque, el de Arkana contra WOW, una empresa con sede en Estados Unidos, demuestra su interés por atacar a entidades occidentales, especialmente norteamericanas. Su enfoque sugiere una voluntad de desafiar a organizaciones bien establecidas en entornos altamente regulados.

Industrias objetivo de Arkana

Arkana se ha centrado principalmente en el sector de las telecomunicaciones y los servicios de Internet, como demuestra su primer ataque conocido contra WideOpenWest. Sin embargo, su modelo centrado en la extorsión y sus técnicas de explotación de infraestructuras sugieren que están bien posicionados para atacar a cualquier industria que almacene grandes cantidades de información de identificación personal, datos financieros y opere sistemas backend críticos.

Industrias objetivo de Arkana

Arkana se ha centrado principalmente en el sector de las telecomunicaciones y los servicios de Internet, como demuestra su primer ataque conocido contra WideOpenWest. Sin embargo, su modelo centrado en la extorsión y sus técnicas de explotación de infraestructuras sugieren que están bien posicionados para atacar a cualquier industria que almacene grandes cantidades de información de identificación personal, datos financieros y opere sistemas backend críticos.

Las víctimas de Arkana

La única víctima confirmada por el momento es WideOpenWest (WOW!). El grupo afirmó tener acceso a:

  • Más de 403.000 cuentas de clientes
  • Plataformas backend como AppianCloud y Symphonica
  • Datos financieros y de identificación personal sensibles
  • Datos personales de los ejecutivos, incluidos SSN, direcciones e información de contacto

Esto indica un movimiento lateral profundo y un énfasis en los sistemas backend privilegiados, lo que podríapermitir el despliegue de ransomware a escala en los puntos finales de los clientes.

Método de ataque

Técnicas de ataque de Arkana

Acceso inicial
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Es probable que se consiga mediante la explotación de sistemas conectados a Internet o credenciales comprometidas, posiblemente a través de vulnerabilidades no parcheadas o phishing.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Obtuvo permisos elevados dentro de plataformas backend como AppianCloud; probablemente explotó errores de configuración específicos de la plataforma o eludió la autenticación.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Evitó la detección mientras mantenía un acceso prolongado a los sistemas internos de WOW!; posiblemente desactivó el registro u ofuscó los patrones de acceso.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Acceso a un amplio conjunto de credenciales, incluidos nombres de usuario, contraseñas y respuestas a preguntas de seguridad; utilizadas para el movimiento lateral y la persistencia.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Mapeo de servicios internos y API (por ejemplo, facturación, datos de clientes), identificando objetivos de alto valor como Symphonica y Appian.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Propagado a través de sistemas internos, incluyendo APIs de facturación, sistemas CRM y posiblemente dispositivos controlados a través de Symphonica.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Exfiltró grandes cantidades de datos, incluidos datos personales, datos de autenticación y código backend de sistemas orientados al cliente.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Afirmó tener la capacidad de enviar malware a los dispositivos de los clientes a través de Symphonica; posiblemente implicaba scripts personalizados o cargas útiles a través del acceso backend.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Es probable que los datos se extrajeran a lo largo del tiempo y se utilizaran en el proceso de extorsión, incluida la publicación de muestras y capturas de pantalla asépticas.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Divulgación pública de datos robados, doxxing de ejecutivos, daños a la reputación, posible distribución de malware a usuarios finales.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Es probable que se consiga mediante la explotación de sistemas conectados a Internet o credenciales comprometidas, posiblemente a través de vulnerabilidades no parcheadas o phishing.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Obtuvo permisos elevados dentro de plataformas backend como AppianCloud; probablemente explotó errores de configuración específicos de la plataforma o eludió la autenticación.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Evitó la detección mientras mantenía un acceso prolongado a los sistemas internos de WOW!; posiblemente desactivó el registro u ofuscó los patrones de acceso.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Acceso a un amplio conjunto de credenciales, incluidos nombres de usuario, contraseñas y respuestas a preguntas de seguridad; utilizadas para el movimiento lateral y la persistencia.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Mapeo de servicios internos y API (por ejemplo, facturación, datos de clientes), identificando objetivos de alto valor como Symphonica y Appian.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Propagado a través de sistemas internos, incluyendo APIs de facturación, sistemas CRM y posiblemente dispositivos controlados a través de Symphonica.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Exfiltró grandes cantidades de datos, incluidos datos personales, datos de autenticación y código backend de sistemas orientados al cliente.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Afirmó tener la capacidad de enviar malware a los dispositivos de los clientes a través de Symphonica; posiblemente implicaba scripts personalizados o cargas útiles a través del acceso backend.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Es probable que los datos se extrajeran a lo largo del tiempo y se utilizaran en el proceso de extorsión, incluida la publicación de muestras y capturas de pantalla asépticas.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Divulgación pública de datos robados, doxxing de ejecutivos, daños a la reputación, posible distribución de malware a usuarios finales.

MITRE ATT&CK Cartografía

TTPs utilizados por Arkana

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1213
Data from Information Repositories
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Detección de plataformas

Cómo detectar Arkana con Vectra AI

Brute-Force

Privilege Anomaly: Unusual Host

Ransomware File Activity

Ver más detecciones
Evalúe su exposición a los ataques

Preguntas frecuentes

¿Qué es Arkana y en qué se diferencia de otros grupos de ransomware?

Arkana es un grupo de ransomware recientemente identificado con un modelo de extorsión en tres fases: Rescate, Venta y Filtración. Combina el ransomware tradicional con ataques agresivos de doxxing y de reputación.

¿Está Arkana vinculada a algún grupo conocido de ciberdelincuentes?

No hay vínculos confirmados, pero el lenguaje y las tácticas sugieren un posible origen ruso o una alineación con los ecosistemas cibercriminales de Europa del Este.

¿Cuál fue el alcance de su ataque a WOW?

Arkana afirma haber violado la infraestructura de backend, filtrado más de 403.000 cuentas de clientes y obtenido el control de plataformas como Symphonica y AppianCloud.

¿Cómo consiguió Arkana el acceso inicial?

Aunque no están confirmados, los métodos probables incluyen phishingrelleno de credenciales o explotación de sistemas públicos sin parches.

¿Qué tipo de datos se robaron?

Los datos incluyen nombres de usuario, contraseñas, SSN, información de tarjetas de crédito, detalles de paquetes de servicios, ID de Firebase y preferencias de comunicaciones por correo electrónico.

¿Arkana desplegó un ransomware real?

Operan como un grupo de extorsión de datos, pero también afirman que pueden enviar malware a los dispositivos de los clientes, lo que sugiere que es posible el despliegue de ransomware.

¿Cómo pueden las organizaciones detectar y responder a este tipo de ataques?

Implemente soluciones de detección y respuesta a amenazas como Vectra AI. Supervise las llamadas a API inusuales, los accesos no autorizados y la filtración anómala de datos. Aplique principios de zero trust y MFA.

¿Sigue en activo Arkana?

Por ahora, su sitio Onion está operativo y sólo han incluido a WOW! como víctima, pero su infraestructura sugiere una actividad continua y futuros ataques.

¿Cuáles son los riesgos jurídicos para las víctimas de Arkana?

Las víctimas podrían enfrentarse a multas reglamentarias (por ejemplo, HIPAA, GDPR), demandas de los clientes afectados y responsabilidades colectivas debido a la naturaleza de los datos robados.

¿Qué pueden hacer los afectados?

Los clientes de WOW! deberían:

  • Activar la supervisión del crédito
  • Cambiar contraseñas y preguntas de seguridad
  • Supervise los intentos dephishing y el acceso no autorizado a cuentas.

¿Está su organización a salvo de los ataques del ransomware Arkana?

Evalúe su exposición a los ataques