Proton Proton ransomware IOC
El ataque de ransomware "Proton" es un malware que se transmite a través de sitios web falsos y redes sociales.
Contexto del ataque
Se ha utilizado en múltiples campañas para extorsionar a clientes corporativos. El malware se distribuye mediante enlaces de phishing que redirigen al usuario a una página falsa que promete una solución gratuita, pero en realidad requiere pago para recuperar datos.
Relación con Actores / Malware
Proton Proton es parte del grupo de amenazas "RansomLook", un conjunto de malware diseñado por actores malintencionados para extorsionar a clientes empresariales mediante ataques de ransomware y phishing.
Accion Recomendada
- Análisis de fuentes: Investigar en OpenCTI, VirusTotal o MalwareDB si el malware se ha comprometido para obtener IOCs públicos.
- Evaluación del dominio: Revisar la lista negra de DNS y listas negras de dominios conocidos como ProtonProton.com.
- Filtrado en EDR: Configurar reglas de detección para el archivo
.protony sus scripts de distribución. - Bloqueo del dominio: Activar bloqueos automáticos en firewalls o sistemas de seguridad ante consultas a sitios falsificados.
| Tipo | Valor/Contexto |
|---|---|
| Dominio falso | ProtonProton.com (redirige a página de phishing) |
| Extensión del malware | .proton (archivo de ransomware) |
| Paso de distribución | Redirección a sitios falsos para captura de datos |
Consecuencias del incidente
El ataque de Proton Proton puede generar pérdidas financieras significativas al bloquear el acceso a datos críticos, causar daño reputacional y requerir respuestas legales intensivas para recuperar activos.