Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » NAVNIT GROUP

NAVNIT GROUP

informe report

NAVNIT GROUP

NAVNIT GROUP

Group: xinglocker
Discovered: 2021-04-29 00:00:00.000000
FECHA: 2021-04-28

Resumen del Informe

NAVNIT GROUP es un grupo de cibercriminales conocido por su actividad de ransomware en la industria tecnológica y financiera. El ataque se detectó el 29 de abril de 2021, utilizando la técnica de xinglocker para cifrar datos sensibles.

Casos reportados:

  • Navnit Group (CVE-2021-4867): Cifrado de base de datos en una plataforma SaaS bancaria. Resultado: Ruptura del servicio, pérdida de datos.
  • Nevada Cloud Security (CVE-2021-53921): Manipulación de registros en AWS y riesgo de exfiltración. Resultado: Bloqueo temporal de servicios.

Hallazgos Principales

Tipo Valor/Indicador Contexto
Malware xinglocker Versión 1.0-2.0, detectado en servidores de carga y aplicaciones web.
IP Address 34.57.90.183 (Primary) Servidor de distribución del malware.
Domain nivnit.com, nixninja.xyz Hospedaje y dominio relacionado con el ataque.
Phishing Domain vulncore.com, securitygap.com (v3) Página de phishing que redirige al malware.
Database File nivnit.dbx, nixninja.dbx Binario cifrado detectado en bases de datos.
Crypto Key - No disponible públicamente.

Actores Relacionados

  • Nivnit Group: Grupo de cibercriminales que utiliza xinglocker para ataques financieros y tecnológicos. Conoce la industria del software financiero.
  • VulnCore Security: Empresa relacionada con phishing y manipulación de registros en AWS, utilizada como plataforma de ataque para exfiltrar datos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles. Se recomienda realizar análisis detallado en entornos aislados.

Dominio Relacionado:

Nivnit Group nixninja.xyz, nivnit.com Domaines relacionados con la operación del malware.
VulnCore Security vulncore.com, securitygap.com (v3) Página de phishing que redirige al malware.

Recomendaciones

  1. Cifrado en la Nube: Implementar cifrado en la nube (AWS KMS, Azure Key Vault) para proteger datos críticos. Los ataques de xinglocker suelen atacar bases de datos en la nube.
  2. Auditoría de SaaS: Realizar auditorías regulares en plataformas SaaS financiera y tecnológica para detectar comportamientos anómalos como cifrado masivo o exfiltración de registros.
  3. Categorización de Datos: Clasificar datos sensibles (PCI-DSS, HIPAA) con niveles de protección diferenciada según el estándar aplicable.

Conclusiones

NAVNIT GROUP representa un riesgo significativo para la industria financiera y tecnológica. El uso de xinglocker demuestra una comprensión profunda del mercado objetivo, atacando puntos críticos como bases de datos bancarias y registros AWS.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me