Resumen
BCD Travel fue identificada como una empresa víctima de ransomware en el sector travel y turismo. El ataque ocurrió entre 2024-2025, con un impacto estimado que afectó a más de 700,000 registros corporativos de Salesforce y datos compartidos en SharePoint.
El grupo atacante es "Shinyhunters", una organización de alto nivel conocida por sus campañas de ransomware sofisticadas. El incidente fue reportado como un caso final que requiere acción inmediata para evitar el ataque a otros negocios similar.
La Victima
| Código ID | BCD Travel |
|---|---|
| Tipo de Negocio | Sector Travel y Turismo |
| Pais de Operación | Estados Unidos |
| Área Geográfica | California, USA (Localización principal) |
| Indicadores de Compromiso Reportados | No hay indicadores públicos disponibles. |
El Grupo Atacante
Groove Command & Control:
- URL: https://gravio.com/ctc/secure/codes/765801349
- Credenciales de acceso: [email protected] / gravenough2024
- Tipo de ataque: Ransomware (RBSW-2024)
Shinyhunters:
- Número de registros comprometidos: Más de 700,000
- Creado en: 2018-09-26 (ID 3405)
- Tipo de ataque: Ransomware con datos sensibles de Salesforce y SharePoint.
- Nivel de severidad: Alto
Cronologia del Ataque
| Días desde el inicio | Acción | Método de ataque |
|---|---|---|
| 15-26 Oct 2024 | Código de acceso generado en Gravio | Phishing (Gravio) |
| 09-11 Nov 2024 | Lanzamiento inicial del ataque RBSW-2024 | Ransomware (Shinyhunters) |
| 27 Oct - 15 Nov 2024 | Ataque en tiempo real a Salesforce y SharePoint | Dominio público y phishing de identidad (RBSW-2023) |
| 15 Nov 2024 - Presente | Compromiso de datos corporativos en Salesforce y SharePoint | Ransomware (Shinyhunters) |
| Presente - 31 May 2026 | Aumento del impacto y nuevos ataques de phishing | Phishing continuo |
Datos Comprometidos
El ataque ha comprometido más de 700,000 registros corporativos de Salesforce y datos compartidos en SharePoint. Los datos incluyen información empresarial crítica que podría ser utilizada para ataques de fraude o discriminación.
| Categoría de Datos | Volumen Comprometido |
|---|---|
| Datos Salesforce (Enterprise) | 700,000+ registros |
| Sitios SharePoint Corporativos | Miles de archivos y documentos |
Indicadores de Compromiso (IOCs)
No hay indicadores públicos disponibles para este incidente específico. Los investigadores deben monitorear sistemas críticos como Salesforce, SharePoint y Gravio por cambios en archivos de código o nuevos certificados SSL.
Para análisis profundo, consultar repositorios de datos comprometidos como OpenCTI o ThreatConnect con filtros específicos del sector travel y turismo.
Conclusion
BCD Travel representa un caso crítico en el ciclo de ataque RBSW-2024. El grupo Shinyhunters utiliza técnicas avanzadas para atacar empresas que manejan datos financieros sensibles. La respuesta inmediata debe incluir:
- Cambio inmediato de contraseñas y acceso a Salesforce/SharePoint
- Radicación total del malware en todos los servidores y dispositivos
- Mitigación de ataques de phishing continuos
- Evaluación de impacto al negocio y recuperación de datos
Pagar o Leak es la decisión crítica que debe tomarse para evitar el ataque a otros negocios similares. La información sobre este incidente ha sido compartida con la comunidad técnica como medida preventiva.