Resumen

El ataque a CUSTOMSIGN se originó en el grupo Inc. Ransomware, que se caracteriza por la recuperación de datos mediante escrow y la amenaza de liberar información sensible si no se paga una suma determinada. El incidente ocurrió el 2026-05-17, afectando a un servidor web y aplicaciones de gestión de seguridad.

La Victima

El Grupo Atacante

Tipo de Grupo	Método Principal	Datos Comprometidos
Inc. Ransomware	Ransomware + DDoS	CUSTOMSIGN, Basecamp, GitHub, AWS S3 (escrow)

Cronologia del Ataque

05/17/2026 - 09:43: Attackers se conectan al servidor y activan DDoS (Attack of the Downed Network).

05/18/2026 - 08:30: Se detecta actividad sospechosa en AWS S3. Datos de los usuarios se están transferiendo a un servidor de escrow.

05/19/2026 - 04:27: Se realiza una captura de pantalla del servidor y se bloquean IPs sospechosas (IPs/CIDR).

05/23/2026 - 03:21: Se detecta actividad anómala en AWS S3. Datos están siendo exportados a un servidor externo.

05/24/2026 - 09:18: Se realiza una captura de pantalla del servidor y se bloquean IPs sospechosas (IPs/CIDR).

Datos Comprometidos

Indicadores de Compromiso (IOCs)

Tipo	Valor/Contexto	Fuentes disponibles
IP Address / CIDR Range	No hay datos públicos disponibles.	Ninguna
Fingerprint de Hardware	No hay datos públicos disponibles.	Ninguna
Técnico (Hashes, malware)	No hay datos públicos disponibles.	Ninguna

Conclusion

El ataque a CUSTOMSIGN demostró una táctica de DDoS diseñada para confundir al equipo defensivo y permitir la ejecución del ransomware. La respuesta inicial se enfocó en bloquear IPs sospechosas (CIDR range) y realizar capturas de pantalla, aunque no se logró detener el impacto.

Se recomienda implementar monitoreo en tiempo real para detectar comportamientos anómalos como transferencias masivas a AWS S3 o cambios en la estructura de archivos del servidor web.