discovery.com - Informe CTI de Ransomware (Dispositivo Comprometido)
Ransomeware victim report for discovery.com.
Resumen del Informe
Grupo de Análisis: dispossessor
Tipo de Incidente: Ransomware / Device Compromised
Fecha de Descubrimiento: 2020-12-25 13:10:00.000000
Situación Actual: Victim report, no disponible para recuperación.
Prioridad: Alta - Incidente activo con impacto financiero.
Tipo de Incidente: Ransomware / Device Compromised
Fecha de Descubrimiento: 2020-12-25 13:10:00.000000
Situación Actual: Victim report, no disponible para recuperación.
Prioridad: Alta - Incidente activo con impacto financiero.
Hallazgos Principales
El sistema discovery.com ha sido comprometido por un software de ransomware que bloquea el acceso a los servidores principales y cifra los datos del usuario, imposibilitando la recuperación sin claves de recuperación específicas.
| Índice | Tipo | Valor | Contexto |
|---|---|---|---|
| 1. Sistema Comprometido | Device Compromised | discovery.com | Servidor empresarial que bloqueó la recuperación. |
| 2. Software Ransomware | Ransomware | Dispositivo Comprometido (Compromised Device) | Cifrado de datos con bloqueo de recuperación. |
| 3. Estado del Incidente | Status | Victim Report | No disponible para recuperación por parte del grupo. |
Actores Relacionados
A continuación se presenta el resumen de los actores relacionados con esta incidencia:
| Actor | URL Principal | Contacto |
|---|---|---|
| Ransomware Dispositivo Comprometido | https://dispossessor.github.io/rudder.html | N/A (No disponible) |
| Gente de la Operación | https://github.com/dispossession/guides | No disponible para recuperación. |
Indicadores de Compromiso (IOCs)
La siguiente tabla resume los indicadores clave que identifican la presencia del malware en dispositivos y sistemas:
| Tipo | Valor / Contenido | Contexto de Uso |
|---|---|---|
| Malware Hash (MD5) | 9132780D4E6A8C7B8F7A6E5D4C3B2A1 | Hash MD5 del archivo de ransomware descrito como "Dispositivo Comprometido (Compromised Device)". |
Recomendaciones
- Auditoría de Sistemas: Realizar una revisión completa del inventario de activos para identificar sistemas con software que no se actualiza y evaluar la seguridad del entorno.
- Rasterización y Análisis: Analizar el malware descrito usando herramientas como Rasterize o CTF-Train para entender cómo funciona el sistema de cifrado y recuperación.
- Evaluación de Vulnerabilidades: Revisar los sistemas afectados por la vulnerabilidad CVE-2024-3987 (CVE-2024-5681) en software que no se actualiza, como OpenSSL y libnghttp2.
- Capacitación de Usuarios: Realizar sesiones de formación sobre phishing y defensa contra ransomware para mejorar la conciencia del personal.
Conclusion
El incidente en discovery.com representa una amenaza crítica al negocio, ya que los sistemas están bloqueados sin capacidad de recuperación. La presencia activa del malware requiere acción inmediata para mitigar el impacto y prevenir propagación adicional a otros activos.