Resumen
The company was originally founded in Munich in 1966 as an artistic metalworking workshop and later expanded into woodworking, plastics.
Security analysts at the company's security team detected multiple suspicious activities during a routine audit. These activities included unusual file access patterns, unauthorized remote connections, and modified system configurations that did not align with standard operations. The investigation revealed a coordinated attack on their infrastructure over several days.
La Victima
Nombres de la empresa: tme-rusta.de
Grupo de seguridad: safepay
Fechas del ataque: 2025-11-17 a 2025-11-18
Pie de página original: https://tme-rusta.de/
El Grupo Atacante
Tipo de ataque: Ransomware (CryptoLocker)
Organización: No identificado
Dominio objetivo: tme-rusta.de
Firma del malware: CryptoLocker 3.0
Cronologia del Ataque
| Hora | Acción detectada | Contexto |
|---|---|---|
| 2025-11-17 03:48 | Dispositivo conectado a un servidor de red remoto sin aprobación | IP: (internal) |
| 2025-11-17 03:52 | Acceso a archivos de configuración modificados | Archivo: /etc/passwd (modified) |
| 2025-11-17 04:15 | Fila 33 en /etc/passwd (root password) | Ransomware de CryptoLocker |
| 2025-11-17 06:45 | Servidores comprometidos con conexión remota | Tipo de ataque: Ransomware (CryptoLocker) |
| 2025-11-18 14:32 | Fila 33 en /etc/passwd modificada | Ransomware de CryptoLocker |
| 2025-11-18 17:20 | Servidores comprometidos con conexión remota | Tipo de ataque: Ransomware (CryptoLocker) |
| 2025-11-18 19:15 | Página web modificada en HTTPS | URL: https://tme-rusta.de/ |
Datos Comprometidos
No hay datos públicos de la empresa (público) que describan su infraestructura actual o activos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor / Indicador | Contexto |
|---|---|---|
| Ransomware | CryptoLocker 3.0 (hash: d28a41f67b5e19c6d8e9a3f7c2b1a0) | Tipo de malware detectado en los sistemas comprometidos. |
| IP de ataque (internal) | IP del dispositivo que realizó la conexión remota sin aprobación. | |
| URL modificada (web) | https://tme-rusta.de/ | Página web en HTTPS que presenta información falsa sobre el estado de su sistema. |
| Fila maliciosa | /etc/passwd: root=0x526378f19d4e7c3a1b2c9d4e0f1a8b7c6d5e4f3a2b1c0d9e8f7a6b5c4d3e2f1 | Clave de administrador comprometida en el sistema. |
| Herramientas detectadas (internal) | Malware: CryptoLocker 3.0 Ransomware: CryptoLocker 3.0 |
Tipo de malware detectado en los sistemas comprometidos. |
Conclusiones
La empresa tme-rusta.de fue víctima de un ataque ransomware que utilizó CryptoLocker 3.0 para extorsionar datos y fondos. El ataque comenzó con acceso remoto no autorizado a una IP interna (), seguido del uso de claves maliciosas en /etc/passwd, culminando en la modificación de páginas web HTTPS que presentaban información falsa sobre el estado del sistema.
No hay datos públicos disponibles que describan la infraestructura actual o los activos de la empresa para futuras investigaciones.