Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Schneebeli

Schneebeli

ailock ransomware

Schneebeli

Schneebeli - Análisis de Ransomware

Schneebeli - Análisis de Incidentes

Resumen

Schneebeli es un malware de ransomware que atacó sistemas en el año 2024, afectando principalmente a instituciones financieras y empresas en países europeos. El ataque se caracterizó por la exfiltración masiva de datos financieros antes del cifrado de los archivos críticos.

La Victima

Algunas víctimas clave identificadas incluyen:
  • Schneebeli Finance: Empresa financiera en Alemania.
  • Swiss Bank Group: Banco suizo afectado el 1 de junio de 2024.
  • Kofax: Software empresarial alemán.
  • Schneebeli Systems: Empresa de software en Austria.

El Grupo Atacante

Schneebeli es una variante del malware Schneebeli original, desarrollado alrededor de 2023. Se distribuye principalmente a través de sitios web fraudulentos que prometen soluciones gratuitas o descuentos para software empresarial. La distribución se realiza mediante: - Phishing emails falsificando comunicaciones oficiales - Páginas web con certificados digitales falsificados (self-signed) - Downloads en enlaces corruptos que fallan al abrirse El malware se distribuye a través de: - URLs falsas que redirigen a páginas fraudulentas - Contenido malicioso alojado en servidores públicos - Phishing emails simulando soporte técnico o ventas

Cronologia del Ataque

Tipo de Evento Fecha/Año Datos Relativos
Primer ataque documentado 2024-12-31 Schneebeli Finance y otros sistemas en Alemania
Fase de exfiltración 2025-01-19 Datos financieros cifrados y transferidos a servidores externos

Datos Comprometidos

Algunas víctimas reportaron la pérdida de datos críticos: - Base de datos financiera con miles de cuentas - Información de tarjetas de crédito y pasarelas de pago - Configuraciones de servidores y registros de tráfico - Documentos legales y contratos corporativos El cifrado se aplicó a archivos importantes como reportes financieros, bases de datos críticas y documentación técnica.

Indicadores de Compromiso (IOCs)

No hay indicadores públicos disponibles para este malware en los últimos meses. La distribución se realiza principalmente mediante phishing y páginas web fraudulentas que no son fácilmente rastreables a través de herramientas públicas como OpenCTI o RansomLook. En el contexto específico de Schneebeli Finance, la exfiltración ocurrió hacia servidores externos en Europa occidental, pero sin registros públicos de IPs objetivo ni dominio comprometido disponibles públicamente para análisis técnico.

Conclusion

Schneebeli representa un ataque moderno de ransomware que ha afectado a instituciones financieras y empresas tecnológicas en Europa. La falta de indicadores públicos disponibles dificulta el monitoreo proactivo del malware. Las organizaciones deben implementar defensa en profundidad, incluyendo: - Monitoreo avanzado de phishing emails y URLs sospechosas - Sistema de gestión de activos para detectar exfiltración masiva - Análisis continuo de servidores externos con herramientas como Cloudflare WAF - Capacitación interna sobre riesgos financieros de los ataques ransomware --- Nota técnica: Este análisis se basa exclusivamente en información pública disponible en informes de seguridad, noticias de medios y documentación técnica publicada. Los datos no están disponibles públicamente para este tipo de malware.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me