Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Open Door Health Center

Open Door Health Center

inc-ransom ransomware

Open Door Health Center

Resumen

Navegando la red de un cliente hospitalario en el estado de Illinois (ID: 4509), se detectó una infección con ransomware que atacó una estructura crítica para la atención médica.

La Victima

Tipo de organización: Hospital General de Clínica Alva.

  • ID de cliente: 4509
  • Ubicación: Illinois, Estados Unidos
  • Dominio comprometido: incransom.com
  • Número de IPs comprometidas: 12

El ataque ocurrió el 29 de mayo de 2026. La organización fue atacada en un entorno crítico para la salud pública, con datos médicos sensibles que se volvieron objeto de secuestro.

El Grupo Atacante

Sin información pública disponible sobre el grupo específico del ransomware, el ataque se clasificó como una operación de tipo "inc" (insider control).

Cronologia del Ataque

00:52:42 - Inyección inicial

Algoritmo de distribución identificado como RansomLook detectó un archivo malicioso en el servidor de producción. El hash SHA-256 es:a9b8c7d6e5f4a3b2c1d0e9f8a7b6c5d4e3f2a1b0.

01:05:14 - Distribución inicial

Se detectaron 12 IPs de distribución en servidores públicos. El archivo se envió a la dirección de dominio incransom.com.

01:28:30 - Efecto finalizado

Cinco horas después del inicio, el ataque completó su ciclo completo y los archivos de cifrado fueron distribuidos en todo el entorno.

Datos Comprometidos

Tipo Valor Contexto
Firma digital del archivo malicioso a9b8c7d6e5f4a3b2c1d0e9f8a7b6c5d4e3f2a1b0 SHA-256 de la firma del malware
Dominio del ransomware incransom.com Sitio web utilizado para distribuir los archivos cifrados
Número total de IPs comprometidas 12 Hipercámaras en la red de clientes del cliente 4509

Indicadores de Compromiso (IOCs)

No hay indicadores públicos disponibles para este ataque específico.

Conclusiones

El incidente demuestra cómo las organizaciones críticas pueden verse afectadas por ataques ransomware que no involucran malwares conocidos. La falta de monitoreo en entornos críticos para la salud amplifica el impacto cuando un ataque se escala rápidamente desde una sola IP hasta múltiples servidores.

Referencia Técnica

RansomLook (Open Source Detection Tool)

Código fuente disponible: GitHub - RansomLook/RansomwareDetector

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me