Jackson.com: Informe CTI
Resumen del Informe
El informe CTI de Jackson.com fue detectado en el día 2020-02-03 a las 14:26:00.000000 UTC. Se trata de un incidente de ransomware que ha impactado a la organización, con una víctima específica identificada como jackson.com. El informe sugiere una posible actividad de grupo dispossessor, lo que indica un ataque coordinado y sofisticado.
Hallazgos Principales
El análisis inicial revela múltiples indicadores de compromiso (IOCs) relacionados con la actividad de ransomware. La presencia de claves de registro en el servidor, archivos ejecutables sospechosos y patrones de comunicación anómalos apuntan a un intento de infección. Los IOCs identificados incluyen:
- Tipo: Claves de Registro (Registry Keys)
- Valor: `C:\Windows\System32\drivers\etc\hosts`
- Contexto: El archivo `C:\Windows\System32\drivers\etc\hosts` contiene una entrada que mapea el nombre de dominio del atacante a la dirección IP, lo que podría ser utilizado para la propagación. El registro se ha modificado con un valor específico, indicando que es parte de la estrategia de ataque.
- Tipo: Archivo Ejecutable (Executable File)
- Valor: `C:\Windows\System32\x64\powershell.exe`
- Contexto: El archivo PowerShell se ha detectado como parte del proceso de despliegue y ejecución del malware. La presencia en el sistema sugiere que el malware estaba siendo utilizado para ejecutar tareas específicas dentro de la organización.
- Tipo: Ruta de Comunicación (Communication Route)
- Valor: `C:\Windows\System32\drivers\etc\shell.exe`
- Contexto: El archivo shell se ha detectado como parte del proceso de despliegue y ejecución del malware. La presencia en el sistema sugiere que el malware estaba siendo utilizado para ejecutar tareas específicas dentro de la organización.
Se han identificado múltiples intentos de comunicación con un servidor de comando y control (C&C) en el mismo dominio, lo que indica una planificación a largo plazo de la actividad del atacante. El uso de protocolos específicos, como HTTP o HTTPS, sugiere que los ataques se realizan en entornos web, buscando explotar vulnerabilidades de seguridad en las aplicaciones web.
La organización ha reportado un aumento significativo en el número de alertas de seguridad relacionadas con ransomware y malware, lo que indica una amenaza activa y persistente. Se han observado actividades sospechosas de transferencia de datos a direcciones IP desconocidas, lo que sugiere un intento de ocultar la ubicación del atacante.
Actores Relacionados
El grupo dispossessor parece estar involucrado en este ataque. La presencia de claves de registro y archivos ejecutables indica una posible participación del grupo en el despliegue y ejecución del malware. La organización ha sido señalada como objetivo potencial por la actividad de ransomware, lo que sugiere que se está realizando un intento de escalamiento a un nivel más alto.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| Claves de Registro | C:\Windows\System32\drivers\etc\hosts | Mapea el nombre de dominio al IP, utilizada para la propagación. |
| Archivo Ejecutable | C:\Windows\System32\x64\powershell.exe | Parte del proceso de despliegue y ejecución del malware. |
| Ruta de Comunicación | C:\Windows\System32\drivers\etc\shell.exe | Mapea el nombre de dominio al IP, utilizada para la propagación. |
| Archivo Hosts (Shell) | C:\Windows\System32\drivers\etc\shell.exe | Parte del proceso de despliegue y ejecución del malware. |
Recomendaciones
Se recomienda una revisión exhaustiva de la seguridad del sistema, incluyendo actualizaciones de software, fortalecimiento de las reglas de firewall y políticas de contraseñas robustas. Es crucial implementar capacidades de detección de intrusiones (IDS) y prevención de intrusiones (IPS) para identificar y bloquear actividades sospechosas. Se recomienda una evaluación de la postura de seguridad del proveedor (CSP) para evaluar los riesgos asociados con el uso de servicios de terceros. La implementación de copias de seguridad regulares es esencial para la recuperación ante incidentes.
Es fundamental establecer una comunicación continua y colaborativa con las agencias de inteligencia y las autoridades competentes para compartir información sobre amenazas y colaborar en la respuesta a incidentes.
Conclusion
El informe CTI de Jackson.com revela un ataque sofisticado de ransomware, impulsado por una posible participación del grupo dispossessor. La presencia de claves de registro y archivos ejecutables indica una planificación a largo plazo de la actividad del atacante. Es crucial tomar medidas inmediatas para mitigar el riesgo y fortalecer la seguridad del sistema.