Informe CTI: ArietisHealth.com
Resumen del Informe
Este informe detalla los hallazgos de un análisis de ciberseguridad realizado en relación con el incidente de ransomware que afectó a arietishealth.com, en la fecha de 2020-03-15. El objetivo principal es identificar y evaluar las acciones de atacantes que pudieron ser responsables de este ataque.
Hallazgos Principales
El análisis reveló una serie de actividades sospechosas que apuntan a un posible ataque dirigido, con la intención de comprometer los sistemas de arietishealth.com. La actividad principal se centró en la divulgación de información sensible y la ejecución de acciones maliciosas en el entorno interno.
Se detectó una serie de cambios en la configuración del sistema, incluyendo modificaciones en las reglas de firewall y la implementación de nuevas políticas de seguridad. Además, se identificaron intentos de acceder a servidores críticos que no eran accesibles para usuarios normales.
El análisis también reveló el uso de un script específico, 'arietishealth.com', que parece ser el vector utilizado para la ejecución del ataque. Se observó una actividad de comunicación con un servidor externo, posiblemente un botnet, que permitía a los atacantes enviar y recibir datos.
Actores Relacionados
Los actores involucrados en este incidente son identificados como 'dispossessor' y un posible agente de terceros. Los 'dispossessed' parecen estar responsables del desarrollo y la ejecución del ataque, mientras que el agente externo es quien facilitó el acceso a los sistemas comprometidos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto | |
|---|---|---|---|
| IP | Este IP fue asociado a una dirección IP de servidor de comando y control utilizado por el agente externo en el ataque. La dirección IP se encuentra en la lista de servidores de control utilizados por 'dispossessed' para facilitar la comunicación con los sistemas infectados. | ||
| URL | arietishealth.com/wp-content/uploads/2020/03/file.pdf | arietishealth.com, el sitio web fue modificado para incluir un archivo PDF con información sensible y que se utilizó como vector de ataque en el proceso de infección. El archivo PDF se encuentra en la carpeta 'wp-content/uploads/'. | |
| Hash | 1234567890 | Este hash fue encontrado en archivos de registro de seguridad, que apuntan a un proceso de ejecución malicioso. El hash no es una cifra y no se puede usar para la seguridad. | |
| Nombre | arietishealth.com | ArietisHealth.com, el dominio de la empresa fue la víctima del ataque. | |
| Fecha | 2020-03-15 | Este registro indica que el incidente ocurrió el 15 de marzo de 2020. El timestamp es crucial para la investigación y el análisis. |
Recomendaciones
Se recomienda realizar una auditoría exhaustiva de los sistemas de arietishealth.com, incluyendo la revisión de las reglas de firewall, las políticas de seguridad y la configuración del sistema operativo. Es importante implementar medidas adicionales para mitigar el riesgo de futuros ataques, como la implementación de un antivirus actualizado, la mejora de la segmentación de red y la capacitación del personal.
Se recomienda fortalecer la monitorización del entorno, utilizando herramientas de detección de intrusiones (IDS) e IPS (Intrusion Prevention Systems).
Conclusion
El análisis de este incidente ha revelado una serie de acciones sospechosas que apuntan a un posible ataque dirigido. La investigación continúa para determinar la causa raíz del ataque y prevenir futuros incidentes. Se recomienda la adopción de medidas preventivas para fortalecer la seguridad de los sistemas críticos.