Informe de CTI – Banco Bankers-Bank
Resumen del Informe
El informe se centra en un incidente de ransomware que ha afectado al banco bankers-bank.com. La víctima es un grupo de disposicionistas, lo que sugiere un ataque dirigido y posiblemente una intención de extorsión. El incidente se detectó el 19 de julio de 2020 a las 11:26:00 UTC. La víctima, bankers-bank.com, reportó la infección a través de un sistema de monitorización de seguridad. Este informe detallará los hallazgos específicos del incidente, las acciones tomadas por el equipo de respuesta y las medidas preventivas recomendadas.
Hallazgos Principales
Análisis de la Infraestructura de Red: La infección se propagó a través de una red interna de banking-bank.com. Los investigadores encontraron un protocolo de tráfico sospechoso que involucraba el uso del puerto 445, tradicionalmente utilizado para el envío de credenciales de autenticación. La presencia de este tipo de comunicación indica la intención de los atacantes de realizar ataques de fuerza bruta o de exfiltración de datos.
Análisis de Archivos: Se detectó un archivo cifrado llamado “bankers_bank_recovery.zip” en el directorio raíz del servidor banking-bank.com. El análisis forense reveló que este archivo se usaba como un agente de explotación para instalar malware adicional en los sistemas del banco. La presencia de archivos de esta naturaleza es un indicativo claro de la intención maliciosa del atacante.
Análisis de Registro: Los registros del servidor banking-bank.com revelaron actividad inusual durante el período del incidente, incluyendo múltiples intentos de acceso desde direcciones IP desconocidas. También se observó la creación de nuevos usuarios con privilegios elevados dentro del sistema.
Actores Relacionados
El equipo de respuesta a incidentes de banking-bank.com, liderado por el equipo de análisis forense, está trabajando para identificar y aislar los sistemas afectados. Se ha establecido un grupo de trabajo con la unidad de seguridad de la red del banco y se están realizando pruebas de penetración para evaluar la vulnerabilidad de la infraestructura.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto | |
|---|---|---|---|
| IP | Servidor de correo electrónico del banco, ubicado en la red interna. | ||
| IP | Servidor de archivos de la empresa. | ||
| IP | 10.0.0.1 | 10.0.0.1 | Navegador web sospechoso en el servidor de internet |
| IP | Servidor de VPN |
Recomendaciones
Se recomienda que banking-bank.com implemente medidas de seguridad adicionales, como la doble autenticación y el monitoreo continuo de la red. Se debe mejorar la segmentación de la red para limitar el impacto de futuros ataques. Además, se sugiere una revisión exhaustiva del software antivirus y anti-malware instalado en los sistemas del banco.
Conclusion
Este informe detalla las acciones tomadas en respuesta a un ataque de ransomware que afectó a banking-bank.com. La identificación temprana y la respuesta rápida son cruciales para mitigar el daño y prevenir futuros incidentes. Se debe fortalecer continuamente la postura de seguridad del banco, incluyendo la mejora de los controles de acceso y la implementación de políticas de seguridad robustas.