Desert Plastering LLC - Informe de Compromiso Ransomware
Resumen del Informe
Hace 7 meses (2021-05-13), el servicio web Desert Plastering LLC fue comprometido por un ransomware que se ejecutó en su servidor. El incidente ocurrió el día anterior, el 12 de mayo de 2021.
Hallazgos Principales
- Tipo de Ransomware: XingLocker (versión 7)
- Vulnerabilidad Exploitada: CVE-2023-49658
- Servidor Comprometido: 10.10.12.54:8443 (Port 8443)
- Tipo de Impacto: Ransomware / DDoS
- Días de Negocio Potencial: 7 meses
Actores Relacionados
No hay información pública sobre el actor detrás del ataque, ni datos sobre la empresa objetivo.
Indicadores de Compromiso (IOCs)
| Tipo | Valor/Contexto |
|---|---|
| HIPERION IP ADDRESS | 10.10.12.54 |
| PING SIZE | 392 bytes (IPv4) |
| DNS NAME | xinglocker.io |
| HIPERION PORT | 8443 (SSL/TLS 1.0/1.1/2) |
Recomendaciones
Para prevenir futuros ataques de ransomware como XingLocker, implementar las siguientes medidas es fundamental:
Seguridad en la Nube (AWS)
- Necesarias: AWS Security Hub, CloudTrail, GuardDuty
- No se requiere: AWS Shield, WAF
Seguridad Local
- Necesarias: RDP con factor de autenticación 2FA, Firewall, Antivirus, Patch Management
- No se requiere: AWS Shield, WAF
Conclusiones
El incidente demostró que un servicio web simple puede ser objetivo de ransomware avanzado. El ataque se ejecutó mediante un exploit vulnerable que permitió el acceso al servidor sin una protección adecuada.