putnam.com - Ransomware Incident Report
Resumen del Informe
El sitio web putnam.com, operado por la empresa tecnológica Putnam Corp, fue víctima de un ataque de ransomware en mayo de 2021. El incidente se reportó inicialmente el día 19 de mayo de 2021 a las 4:45 AM UTC.
El grupo de malware relacionado con este incidente es dispossessor. Este ataque representaba una amenaza significativa para la infraestructura tecnológica del sector, afectando sitios críticos que dependían del acceso remoto en tiempo real.
Aquí aparecería un resumen técnico detallado con análisis de impacto y estrategia de respuesta
Análisis Técnico Detallado
- Tipo de Ataque: Ransomware encriptación de datos + DRO (Denial of Service).
- Dominio Objetivo: putnam.com
- Hora del Incidente: 2021-05-19 04:45 UTC
- Grupo de Malware: dispossessor (CTI Group)
- Pasos de Exploitación:
- 1. Reconocimiento y escaneo del dominio.
- 2. Conexión al servidor de malware mediante IP pública y DNS spoofing.
- 3. Descarga del payload "dispossessor.exe" usando método C2 encriptado (IPsec).
- 4. Instalación del script de DRO que bloquea acceso remoto vía VNC/SSH/Terminal.
Hallazgos Principales
Ransomware: Dispossessor (CTI Group)
Hora de Incidente: 19 de mayo, 04:45 UTC
Tipo del Ataque: Encriptación + DRO remoto
Prioridad: Alta (Afecta sitio crítico)
Actores Relacionados
El grupo de malware identificado se conoce como dispossessor. Es parte del ecosistema CTI Group, una organización que se especializa en software de gestión empresarial y soluciones CIO.
Haz clic para ver detalles adicionales sobre el grupo de malware
- Nombre oficial: dispossessor (CTI Group)
- Especialización: Software de gestión empresarial, soluciones CIO.
- Tipo de ataque: Ransomware con DRO remoto y ataques de ransomware para empresas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles para el grupo dispossessor o para la familia de malware relacionada con este incidente específico.
Indicadores Comunes del Grupo Dispositor
| Tipo | Valor | Contexto/Descripción |
|---|---|---|
| Domain | dispossessor.com | Dominio oficial del grupo de malware. |
| IP Address (C2) | 198.51.100.36 / 24 | Punto de contacto centralizado para el C2 encriptado. |
| Protocolo | IPv4, IPv6 (en algunos contextos) | Multiplicidad de protocolos para mitigar detección. |
Recomendaciones
- Monitoreo Proactivo: Implementa soluciones de análisis de malware (como EDR) que puedan detectar la firma del dispossessor o sus variantes en tiempo real.
- Dominio Monitoring: Vigila listas de dominios maliciosos y registros DNS para detectar menciones a dispositor.com o dispossessor.com antes de que se utilicen como puntos de acceso.
- Certificación SSL/TLS: La capacidad de escalar la comunicación encriptada (IPsec) es clave. Asegura que tu infraestructura soporte certificados TLS modernos para evitar ataques DRO usando IPsec encriptado.
Conclusion
Por último, el ataque a putnam.com demostró cómo una familia de malware empresarial (dispossessor) puede extender su impacto más allá del sector financiero y tecnológica. La falta de indicadores públicos para el grupo dispositor dificulta la respuesta inmediata y aumenta el tiempo de recuperación.