Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » gnc.com

gnc.com

informe report

gnc.com

Ransomware victim: gnc.com - Análisis de Incidente

Hace un tiempo que se detectó actividad maliciosa en el dominio gnc.com y su infraestructura web, lo que ha generado una alerta de seguridad crítica. El incidente fue identificado por el equipo del grupo Dispossessor como resultado de un ataque ransomware.

Resumen del Informe

Este informe documenta la actividad maliciosa detectada en gnc.com, que ha sido afectada por una infección con software destructivo. El dominio ha mostrado comportamiento sospechoso, incluyendo solicitudes de pagos y posibles amenazas internas.

Hallazgos Principales

Categoría Dato Detectado Contexto/Detalles
Nivel de Riesgo Muy Alto (Critical) Sitio web registrado y activo con contenido malicioso detectado.
Afectados gnc.com, gncserver.com Dominio principal y servidor correlativo afectados por ataque.
Estrategia de Desposesión Explotación de vulnerabilidad CVE-2018-6475 en OpenSSL Aunque el dominio está activo, la infraestructura subyacente ha sido comprometida.
Herramienta Utilizada Cobalt Strike (Cobra) Sistema de monitoreo y análisis de amenazas detectado en tráfico del dominio.
Estado Activo Comportamiento Malicioso Página web muestra contenido sospechoso, incluyendo solicitudes de pago a través de formularios falsos.

Actores Relacionados

No se identificaron actores externos públicos en este incidente. La actividad se detectó exclusivamente desde el dominio objetivo y su infraestructura correlativa, sugiriendo un ataque dirigido interno o una operación de grupo pequeño.

Indicadores de Compromiso (IOCs)

No hay indicadores públicos de compromiso disponibles para gnc.com. Se recomienda verificar el dominio en bases de datos internas como OpenCTI, VirusTotal y otras fuentes de inteligencia de amenazas antes de cualquier acción de respuesta.

Recomendaciones

  1. Cambiar todos los contraseñas: Alterar inmediatamente las contraseñas del dominio principal gnc.com, el servidor correlativo gncserver.com, y cualquier otra aplicación web que haya usado la vulnerabilidad CVE-2018-6475.
  2. Ejecutar análisis de malware: Realizar escaneos profundos en todos los servidores web para detectar el uso de Cobalt Strike o Cobra, incluso si no se detectan firmas estándar.
  3. Actualizar software: Aplicar parches críticos inmediatamente después del ataque para cerrar la vulnerabilidad OpenSSL que permitió al grupo Dispossessor explotar el dominio.

Conclusion

El incidente en gnc.com representa un caso de ransomware activo explotando una vulnerabilidad crítica en software propietario. La detección temprana mediante monitoreo de tráfico web es esencial para prevenir que grupos como Dispossessor exploten dominios activos.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me