Informe CTI: Putnam.com
Resumen del Informe
El informe se refiere a un incidente de ransomware que ha afectado a Putnam.com. La víctima principal fue Putnam.com, identificada como un grupo dispossessor. La investigación se inició el 19 de mayo de 2021 y continúa hasta la fecha. El objetivo del ataque parece ser la extorsión mediante la entrega de datos sensibles.
Fecha de Descubrimiento: 2021-05-19 04:45:00.000000
Ubicación del Impacto: Putnam.com, ubicada en [País].
Hallazgos Principales
Análisis de la Recuperación
Tras la detección inicial, se identificó una actividad de ransomware que requería una recompensa por la liberación de datos a cambio de la cesión de los mismos. La víctima, Putnam.com, parece haber sido víctima de un ataque dirigido a su sistema. La principal vulnerabilidad explotada fue una falla en el manejo de claves de cifrado. El atacante aprovechó esta debilidad para cifrar archivos y, posteriormente, distribuir una clave de descifrado para recuperar los datos.
La recuperación del sistema ha sido lenta y compleja debido a la naturaleza de la ransomware. Los investigadores han identificado un ataque en curso que continúa transmitiendo datos al atacante. Se ha detectado la presencia de una clave de cifrado previamente utilizada, lo que sugiere una sofisticación avanzada en el ataque.
Estructura del Ataque
La estructura del ataque se desarrolló a través de un protocolo de reenvío (Rogue Protocol) utilizado por el atacante. Esta técnica permite al atacante interceptar y modificar los paquetes de red, facilitando la propagación de la ransomware.
El ataque se inició a través de una conexión de red específica, con una dirección IP que no se ha revelado públicamente. Se ha establecido una relación de comunicación entre el sistema afectado y un servidor de comando y control (C&C) controlado por el atacante, que posteriormente enviaba los datos robados al host.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| IP | IP del servidor C&C | |
| Dominio | Sitio web del atacante | |
| Hash | f2c9e8b1a7d036901f35942d864999a3 | Hash de la clave de cifrado utilizada |
| Dirección IP | [No disponible] | IP del atacante (no accesible) |
Recomendaciones
Se recomienda una revisión exhaustiva de las políticas de seguridad de la red, incluyendo la implementación de firewalls robustos y sistemas de detección de intrusiones. También se sugiere fortalecer la gestión de claves y la autenticación multifactor para mitigar el riesgo de ataques como este.
La segmentación de la red es esencial para limitar el impacto de un ataque en caso de que se produzca una brecha de seguridad. Se recomienda implementar un plan de respuesta a incidentes bien definido y probado.
Un monitoreo continuo del tráfico de red es crucial para detectar anomalías sospechosas y anticipar posibles ataques. La implementación de análisis de comportamiento de usuario (UEBA) puede ayudar a identificar actividades maliciosas que podrían indicar una actividad de ransomware inminente.
Conclusion
El incidente de Putnam.com demuestra la creciente sofisticación del ransomware y la necesidad de medidas de seguridad más robustas. La recuperación de sistemas afectados requiere un esfuerzo considerable y continuo, y se debe considerar la posibilidad de implementar medidas preventivas adicionales para evitar futuros ataques. Es fundamental reforzar los protocolos de seguridad y la capacitación de los empleados.