Resumen
Delobrook Capital Advisors fue víctima de ransomware el día 2025-11-29 mediante un ataque inicial basado en una vulnerabilidad crítica del sistema operativo Windows Server 2022. El incidente se identificó mediante análisis forense y comparación con bases de datos globales de indicadores de compromiso.
La Victima
Delobrook Capital Advisors:
- Tipo: Fondo alternativo de inversión (Alternative Investment Manager)
- Especialización: Sector global de materiales y recursos naturales
- Pais de origen: Reino Unido
- Vulnerabilidad crítica: Vulnerable a RCE en Windows Server 2022
El Grupo Atacante
Dragonforce:
- Tipo de ataque: Ransomware (Cryptomining)
- Nivel de riesgo: Alto (Grupo C14)
- Habilidad técnica: Alta (Experto en explotación de vulnerabilidades de software)
Cronología del Ataque
| Tipo de Evento | Fecha/Caso | Solución/Acción |
|---|---|---|
| Vulnerabilidad Exploitada | 2025-11-29 16:48 UTC | Desbloqueo de RCE en Windows Server 2022 |
| Inyección de Código Ransomware | 2025-11-29 16:48 UTC | Criptografía de todos los archivos del sistema |
Datos Comprometidos
| Tipo | Valor/URL | Contexto del Evento |
|---|---|---|
| Vulnerabilidad Exploitada | CVE-2023-46759 | Exploit para vulnerabilidad de RCE en Windows Server 2022 |
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles.
Conclusiones
Recomendaciones:
1. Actualizar inmediatamente Windows Server 2022 a versión final disponible para aplicar patch CVE-2023-46759.
2. Implementar control de versiones de archivos y monitoreo en tiempo real para detectar cambios no autorizados.
3. Realizar análisis forense completo antes de la recuperación para determinar el alcance del daño.
1. Actualizar inmediatamente Windows Server 2022 a versión final disponible para aplicar patch CVE-2023-46759.
2. Implementar control de versiones de archivos y monitoreo en tiempo real para detectar cambios no autorizados.
3. Realizar análisis forense completo antes de la recuperación para determinar el alcance del daño.
Evaluación de riesgo:Nivel Alto (C14) - Vulnerabilidad crítica expuesta en producción que podría exponer datos sensibles al acceso no autorizado mediante código malicioso implementado por el atacante.