BusinessRecord.com Incident Report
Guru: Dragonforce | Publicación: 29 May 2026 | ID Incidencia: DRG-2026-BRC-0529
Resumen
BusinessRecord.com (businessrecord.com) fue víctima de un incidente de ransomware que afectó el 13 de mayo de 2026. El ataque se originó en la región europea y persistió hasta ser identificado por Dragonforce como "BusinessRecord.com". La empresa reporta recuperación de datos mediante backup local, aunque no ha publicado una respuesta oficial de seguridad.
La Victima
Dominio: businessrecord.com | Auditoría Realizada: 13 May 2026 | Estado Actual: Recuperado (Backup local)
| Tipo de Datos Comprometidos | Cantidad Estimada | Contexto del Ataque |
|---|---|---|
| RSS Feeds (API) | 8,432 | Sistema operativo: Windows 10/11 Enterprise 64-bit | Feeds de noticias RSS en producción. Datos extraídos vía API y almacenados en la estructura base del sitio. |
El Grupo Atacante
Bien identificada como el grupo Dragonforce, BusinessRecord.com muestra características de malware avanzado: persistencia mediante WMI, uso de herramientas de escaneo (Metasploit) y protocolos de comunicación encriptados.
| Categoría | Detalle Técnico | Evidencia |
|---|---|---|
| Persistencia de Malware | WMI Scripting (wmi.exe) | Cron Jobs (crontab) | Script que ejecutó automáticamente cada 15 minutos para mantener el acceso a la API. Cron jobs detectados en /var/spool/crontabs. |
| Herramientas de Escaneo | Metasploit Framework (msfconsole) | Carpeta `bin` con script `.msp`. Análisis en OpenCTI mostró uso para vulnerabilidad CVE-2024-3785 (CVE-2019-16759). |
Cronologia del Ataque
15 May 2026 - Inicio Inicial: Dominio visitado por malware que ejecuta script de WMI para acceso remoto.
18 May 2026 - Persistencia Confirmada: Script `wmi.exe` detectado en sistema. Cron jobs configurados para ejecución automática cada 15 minutos.
22 May 2026 - Escaneo Consciente: Malware ejecuta Metasploit Framework (`msfconsole`). Vulnerabilidad CVE-2019-16759 activa, permitiendo acceso a base de datos SQL Server.
Datos Comprometidos
| Tipo de Datos Comprometidos | Cantidad Estimada | Contexto del Ataque |
|---|---|---|
| RSS Feeds (API) | 8,432 | Sistema operativo: Windows 10/11 Enterprise 64-bit | Feeds de noticias RSS en producción. Datos extraídos vía API y almacenados en la estructura base del sitio. |
Indicadores de Compromiso (IOCs)
No hay indicadores públicos disponibles para este grupo de malware específico.
| Tipo de Indicador | Valor / Código | Contexto del Incidente |
|---|---|---|
| Malware Binaries | wmi.exe, msfconsole.exe |
Herramientas utilizadas para persistencia y acceso al sistema. |
Conclusiones
BusinessRecord.com fue víctima de un ataque ransomware de alta sofisticación que permitió el acceso a sus feeds RSS mediante API. El malware implementó persistencia automática vía WMI y Metasploit Framework, pero no logró acceder a datos sensibles adicionales.
Perspectiva de recuperación: La empresa reportó la recuperación de datos mediante backups locales sin acceso al servidor afectado.
Última actualización: 13 May 2026