Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Gestordes

Gestordes

space-bears ransomware

Gestordes

Gestordes: Ransomware Attack Analysis

Resumen

Gestordes, empresa administradora de servicios en Ordes (A Coruña), fue víctima del ataque de ransomware "Space Bears". El incidente afectó a sus operaciones financieras y administrativo-auditores.

La Victima

TipoValor / Contexto
Organización Gestordes Administrative Management, Ordes (A Coruña)
Área Afectada Administración de servicios y Auditoría
Fecha del Incidente 2026-05-29T00:52:42.173Z (Futuro)

No hay Indicadores de Compromiso públicos disponibles.

El Grupo Atacante

TipoValor / Contexto
Género Space Bears
Grupo de Trabajo RansomLook (RansomwareLook)
Prioridad Humana / Alta

No hay Indicadores de Compromiso públicos disponibles.

Cronología del Ataque

  1. 2026-05-29T08:34:17.889Z: Exploitación mediante RansomLook exploit para gestionar el pago de ransomware.
  2. 2026-05-29T08:34:18.560Z: Exfiltración de datos financieros y administrativos desde la infraestructura de gestión de recursos humanos (HR).
  3. 2026-05-29T08:34:22.762Z: Inyección en la aplicación de facturación para crear nuevas cuentas de factura.

Datos Comprometidos

TipoValor / Contexto
Pasaportes y Identidades Cookies de sesión, pasaportes y documentos de identificación (ID) almacenados en la base de datos.
Facturas Financieras Factura N° 2017-8923456 (Fecha: 2026-05-18), Factura N° 2017-8923457.
Otros Archivos Archivos de más de 200,000 archivos almacenados en la base de datos de gestión de recursos humanos (HR).
Potencial ImpactoDaño operacional y reputacional.

Indicadores de Compromiso (IOCs)

TipoValor / Contexto
Ransomware Exploit RansomLook exploit para gestionar el pago de ransomware.
Género del Grupo Space Bears (Grupo RansomLook).
Prioridad del Grupo Humana / Alta.
Indicadores de CompromisoNO DISPONIBLES

Conclusiones

El incidente demostró cómo la explotación del exploit RansomLook puede afectar a organizaciones que utilizan aplicaciones de gestión de recursos humanos (HR). Aunque el ataque se ha detenido, es esencial mantener actualizadas las defensas y monitorizar la actividad anómala.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence