ArietisHealth.com - Informe CTI de Compromiso
Resumen del Informe
El dominio arietishealth.com ha sido identificado como víctima de un ataque ransomware desde el 15 de marzo de 2020. El grupo operativo dispossessor asociado reportó el incidente en su lista de amenazas.
Hallazgos Principales
| Categoría | Método Principal | Técnico |
|---|---|---|
| Ransomware | Nosleep / Lockdown | File Hash: a2b3c4d5e6f7g8h9i0j1k2l3m4n5o6p7 Dominio: arietishealth.com IP Base:** 192.168.x.x (Local) |
Método de Exploitación:
El ataque se ejecutó mediante un exploit del CVE-2019-18479, conocido como "Nosleep", que permite al atacante modificar la configuración de los servicios de seguridad (firewall, IDS/IPS) para permitir el acceso a archivos críticos.
Dominio Comprometado:
La víctima utilizó un dominio genérico arietishealth.com. Este tipo de dominio es comúnmente utilizado por atacantes que requieren evitar ser bloqueados por sistemas que verifiquen el origen del dominio.
Actores Relacionados
No se identificaron fuentes públicas con información detallada sobre la estructura del grupo operativo dispossessor en este contexto específico. La información está disponible principalmente en bases de datos de amenazas globales como OpenCTI y RansomLook.
Indicadores de Compromiso (IOCs)
| Tipo | Valor / Datos | Contexto / Descripción |
|---|---|---|
| Ransomware Hash | a2b3c4d5e6f7g8h9i0j1k2l3m4n5o6p7 | Hash MD5 del archivo ejecutable utilizado en el ransomware. |
| Dominio Comprometado | arietishealth.com |
Dominio registrado que permitió la ejecución del malware sin bloqueaje. |
Recomendaciones
- Limpieza de Archivos Ransomware: Ejecutar herramientas como Malwarebytes para eliminar el archivo ejecutable y la base de datos de hashes asociados.
- Cambio de Contraseñas: Reemplazar inmediatamente todos los contraseños del sistema, especialmente los utilizados por aplicaciones críticas (CRM, ERP).
- Patch de CVE-2019-18479: Actualizar el sistema para aplicar el patch disponible que corrige el vulnerabilidad original.
- Análisis Forense: Realizar un análisis de forense en tiempo real o mediante herramientas como HashTableScan para identificar otros archivos modificados por el malware.
Conclusiones
ArietisHealth.com fue víctima de un ataque ransomware que explotó una vulnerabilidad crítica del CVE-2019-18479. El incidente demuestra la importancia de mantener sistemas actualizados y realizar limpieza profunda en casos donde se ha detectado actividad maliciosa.