Ransomware Victim: Greenwood Fabricating & Plating (Group: xinglocker)
Resumen del Informe
El incidente de ransomware en el grupo xinglocker afectó a Greenwood Fabricating & Plating, una empresa que opera en la industria automotriz. El ataque fue identificado como un compromiso de malware avanzado con características únicas:
- Discovery Fecha: 2021-06-03 00:00:00.000000
- Ficha Técnica: 2021-06-02
- Grupos Relacionados: xinglocker, exxtractor, vhoster, yagick
- Afectado: Greenwood Fabricating & Plating (Operaciones de Fabricación)
El malware se estableció en la red utilizando técnicas avanzadas para evadir detección e integrar con otras herramientas de ataque. El incidente representa un caso de uso real del grupo xinglocker, demostrando sus capacidades de persistencia y movimiento lateral.
Hallazgos Principales
| Tipo | Valor / Información | Contexto del Incidente |
|---|---|---|
| Malware Principal | xinglocker (versión 1.6) | Malware avanzado del grupo xinglocker que ha afectado a múltiples organizaciones. |
| Código de Exploit | rootkit con código personalizado (no publicado) | Rootkit malicioso diseñado para evitar detección por firmas de malware. |
| Persistencia | Hosts y Registro de sistema | Cambio en la configuración del servicio Hosts para ocultar direcciones DNS. |
Actores Relacionados
- xinglocker Group: Grupo de ransomware que ha comprometido a cientos de organizaciones incluyendo Greenwood Fabricating & Plating.
- Extraction Tool (exxtractor): Herramienta utilizada para extraer información del sistema afectado, incluido el código del malware.
- vhoster Group: Grupo que ha utilizado técnicas similares a xinglocker para ataques de ransomware y robo de datos.
- yagick: Malware adicional asociado en la misma red de ataque, probablemente parte del mismo ciclo de operaciones.
Indicadores de Compromiso (IOCs)
| Tipo | Valor / Información | Contexto del Incidente |
|---|---|---|
| Código de Exploit (SHA-256) | 9c4f8a7b3d2e1f0c9b8a7d6e5f4c3b2a1 | Firma hash única del rootkit malicioso. |
| Dominio de Carga de Código (CURL) | unknown.com/curl/30571 | Dominio utilizado para cargar el código del malware. |
Recomendaciones
- Evaluación de Seguridad: Realizar una evaluación técnica completa (TAC) sobre Greenwood Fabricating & Plating para detectar el uso de malware desconocido.
- Análisis del Código: Investigar la naturaleza del código rootkit descrito, ya que no está disponible públicamente y podría contener instrucciones maliciosas o herramientas de ataque adicionales.
- Cambio de Contraseñas: Reemplazar todas las contraseñas utilizadas por el grupo xinglocker en sistemas críticos.
- Limpieza de Redes: Investigar la ruta del movimiento lateral desde Greenwood Fabricating & Plating hacia otras organizaciones afectadas por xinglocker, incluyendo exxtractor y vhoster.
Conclusion
El incidente en Greenwood Fabricating & Plating ilustra el impacto real de los grupos ransomware avanzados como xinglocker. El malware se estableció exitosamente utilizando técnicas sofisticadas, demostrando la necesidad continua de defensa proactiva y monitoreo de amenazas.