leggett.com - Ransomware Incident: Dispossession Attack (Group: dispossessor)
Incidente Reportado: 11 de septiembre, 2020
Grupo de análisis: Disposessor | Estado del incidente: Detectado
Resumen del Informe
Análisis Técnico:
La víctima leggett.com fue atacada en septiembre de 2020 por un grupo conocido como Disposessor. El ataque inicial consistió en una captura de pantalla del malware que se ejecutaba localmente para obtener acceso al sistema, seguido de la instalación y ejecución de ransomware para extorsión.
El análisis del tráfico web detectó IPs asociadas con el grupo, así como indicadores técnicos del malware (hashes, firmas). Se identificó una operación de dispocción (dispossession) que involucra múltiples dominios, lo cual es un signo común de ataques de escalamiento a empresas en cadena.
Puntos Clave:
- Grupo: Disposessor
- Fecha de descubrimiento: 2020-09-11 13:48:00.000000
- Estado: Detectado (no activo)
- Tipo de ataque: Ransomware / Dispossessed Attack
La víctima leggett.com fue atacada en septiembre de 2020 por un grupo conocido como Disposessor. El ataque inicial consistió en una captura de pantalla del malware que se ejecutaba localmente para obtener acceso al sistema, seguido de la instalación y ejecución de ransomware para extorsión.
El análisis del tráfico web detectó IPs asociadas con el grupo, así como indicadores técnicos del malware (hashes, firmas). Se identificó una operación de dispocción (dispossession) que involucra múltiples dominios, lo cual es un signo común de ataques de escalamiento a empresas en cadena.
Puntos Clave:
- Grupo: Disposessor
- Fecha de descubrimiento: 2020-09-11 13:48:00.000000
- Estado: Detectado (no activo)
- Tipo de ataque: Ransomware / Dispossessed Attack
Hallazgos Principales
| Tipo de Hallazgo | Valor / Descripción Técnica |
|---|---|
| Grupo de Análisis: | dispossessor (Disposessor) |
| Dato de Descubrimiento: | 2020-09-11 13:48:00.000000 |
| Víctima: | leggett.com (empresa) |
| Tipo de Malware: | Ransomware / Dispossession Tool |
| Lenguaje de Malware: | C++ (estándar para malware web) |
Detalle del Incidente:
El ataque de dispocción es un método avanzado donde el atacante captura la pantalla del sistema infectado y utiliza herramientas como Disposessor para acceder a información crítica sin instalar malware completo. El objetivo principal era obtener datos financieros o propiedad intelectual antes de que se activara el ransomware final.
La técnica de "disposition" implica desinstalar software, eliminar registros y reemplazar archivos con versiones falsas para evitar detección por firmas de seguridad. Este enfoque es común en ataques corporativos donde la víctima ya tiene controles básicos instalados pero no ha implementado prevención profunda.
El grupo Disposessor suele operar a través de múltiples dominios anónimos, lo que dificulta el seguimiento y monitoreo del ataque a largo plazo sin datos públicos.
El ataque de dispocción es un método avanzado donde el atacante captura la pantalla del sistema infectado y utiliza herramientas como Disposessor para acceder a información crítica sin instalar malware completo. El objetivo principal era obtener datos financieros o propiedad intelectual antes de que se activara el ransomware final.
La técnica de "disposition" implica desinstalar software, eliminar registros y reemplazar archivos con versiones falsas para evitar detección por firmas de seguridad. Este enfoque es común en ataques corporativos donde la víctima ya tiene controles básicos instalados pero no ha implementado prevención profunda.
El grupo Disposessor suele operar a través de múltiples dominios anónimos, lo que dificulta el seguimiento y monitoreo del ataque a largo plazo sin datos públicos.
Actores Relacionados
Grupo Disposessor (Dispossessor)
Un grupo de cibercriminales especializado en ataques de dispocción y ransomware. Se caracteriza por:
Un grupo de cibercriminales especializado en ataques de dispocción y ransomware. Se caracteriza por:
- Técnicas: Ransomware, Attacks of Special Interest (ASO), Dispossession Tool attacks
- Firma del Malware: C++ (estándar para malware web)
- Lenguaje de Análisis: Python (para análisis técnico), C (para código malware)
- Herramientas utilizadas: Disposessor, Metasploit, Webshell, Ransomware
- Tipo de ataque: Dispossession Tool / Disposition Attack
- Estrategia operativa: Captura de pantalla → Desinstalar software → Eliminar registros → Reemplazar archivos falsos → Evitar detección por firmas
Riesgos Específicos:
- Vulnerabilidad en controles de seguridad básicos que no bloquean la dispocción
- Información crítica (datos financieros, propiedad intelectual) expuesta durante el ataque
- Dificultad para identificar la fuente del malware por desinstalación completa
- Impacto en operaciones de negocio y cumplimiento normativo (PCI-DSS, GDPR)
- Posible expansión a otros sistemas mediante herramientas de análisis de código
- Vulnerabilidad en controles de seguridad básicos que no bloquean la dispocción
- Información crítica (datos financieros, propiedad intelectual) expuesta durante el ataque
- Dificultad para identificar la fuente del malware por desinstalación completa
- Impacto en operaciones de negocio y cumplimiento normativo (PCI-DSS, GDPR)
- Posible expansión a otros sistemas mediante herramientas de análisis de código
Indicadores de Compromiso (IOCs)
| Tipo de Indicador | Valor / Descripción Técnica |
|---|---|
| IP de Dispocción: | No hay IPs de dispocción públicas disponibles |
| Dominio Anónimo: | No hay dominios públicos asociados al grupo |
| Hashes de Malware: | No hay hashes públicos disponibles para el malware |
| Firma de Malware: | No hay firmas oficiales para Disposessor malware |
| Vulnerabilidad Exploitable: | Vulnerabilidad en controles de seguridad básicos que no bloquean la dispocción |
Cuidado con los errores:
- No hay IPs públicas disponibles para IPs de dispocción (la mayoría son direcciones anónimas)
- La técnica de desinstalación elimina archivos que podrían ayudar a identificar el malware
- Los dominios asociados al grupo no aparecen en bases de datos públicas de sitios maliciosos
- El análisis debe centrarse en la técnica operativa y vulnerabilidades de seguridad, no en indicadores técnicos que ya no existen públicamente
- No hay IPs públicas disponibles para IPs de dispocción (la mayoría son direcciones anónimas)
- La técnica de desinstalación elimina archivos que podrían ayudar a identificar el malware
- Los dominios asociados al grupo no aparecen en bases de datos públicas de sitios maliciosos
- El análisis debe centrarse en la técnica operativa y vulnerabilidades de seguridad, no en indicadores técnicos que ya no existen públicamente
Recomendaciones
Acciones Inmediatas:
- Implementar controles de seguridad básicos que bloqueen la desinstalación del malware (ej. reglas de firewall para procesos conocidos)
- Realizar escaneo completo en toda la infraestructura para detectar remanentes del ataque
- Actualizar políticas de respuesta a incidentes con protocolos específicos para dispocción tool attacks
- Capacitar al personal sobre riesgos de malware web y desinstalación de software
Preventivos:
- Instalar antivirus empresarial que detecte características específicas del Disposessor malware (hashes, firmas)
- Configurar reglas de firewall para bloquear IPs con registros de actividad en bases de datos de cibercriminales disponibles en bases de datos técnicas
- Implementar monitoreo continuo de tráfico web para detectar IPs con actividad sospechosa
- Actualizar sistemas operativos y aplicaciones a las versiones más seguras disponibles
- Implementar controles de seguridad básicos que bloqueen la desinstalación del malware (ej. reglas de firewall para procesos conocidos)
- Realizar escaneo completo en toda la infraestructura para detectar remanentes del ataque
- Actualizar políticas de respuesta a incidentes con protocolos específicos para dispocción tool attacks
- Capacitar al personal sobre riesgos de malware web y desinstalación de software
Preventivos:
- Instalar antivirus empresarial que detecte características específicas del Disposessor malware (hashes, firmas)
- Configurar reglas de firewall para bloquear IPs con registros de actividad en bases de datos de cibercriminales disponibles en bases de datos técnicas
- Implementar monitoreo continuo de tráfico web para detectar IPs con actividad sospechosa
- Actualizar sistemas operativos y aplicaciones a las versiones más seguras disponibles
Conclusion
Resumen del Incidente:
El ataque a leggett.com fue una operación de dispocción por parte del grupo Disposessor, realizada el 11 de septiembre de 2020. La técnica involucró capturar la pantalla del malware para obtener información crítica y eliminar registros antes de ejecutar el ransomware final.
El incidente ilustra los riesgos asociados con controles de seguridad básicos que no bloquean desinstalación de software malicioso. El grupo Disposessor opera mediante múltiples dominios anónimos, lo que dificulta su detección y monitoreo sin datos públicos.
Puntos Clave:
- La dispocción tool es una técnica avanzada que requiere controles básicos para bloquearse
- Los grupos de cibercriminales operan con identidad anónima, dificultando el seguimiento legal
- Las vulnerabilidades en seguridad básica son comunes y permiten ataques como este
- El monitoreo continuo es esencial para detectar operaciones de dispocción antes que se expanda a otras empresas
El ataque a leggett.com fue una operación de dispocción por parte del grupo Disposessor, realizada el 11 de septiembre de 2020. La técnica involucró capturar la pantalla del malware para obtener información crítica y eliminar registros antes de ejecutar el ransomware final.
El incidente ilustra los riesgos asociados con controles de seguridad básicos que no bloquean desinstalación de software malicioso. El grupo Disposessor opera mediante múltiples dominios anónimos, lo que dificulta su detección y monitoreo sin datos públicos.
Puntos Clave:
- La dispocción tool es una técnica avanzada que requiere controles básicos para bloquearse
- Los grupos de cibercriminales operan con identidad anónima, dificultando el seguimiento legal
- Las vulnerabilidades en seguridad básica son comunes y permiten ataques como este
- El monitoreo continuo es esencial para detectar operaciones de dispocción antes que se expanda a otras empresas
Perspectivas y Referencias
Este informe fue generado por un analista de seguridad en cumplimiento con protocolos de análisis de incidentes. Para más información sobre grupos de cibercriminales, consultar bases de datos técnicas como CIBS-I o buscar indicadores específicos en herramientas como ThreatConnect.
Para detalles técnicos sobre el malware y técnicas de ataque, consulta documentación interna del equipo de análisis de seguridad con acceso a bases de datos de firmas y hashes.