Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Weckworth Manufacturing

Weckworth Manufacturing

the-gentlemen ransomware

Weckworth Manufacturing

Resumen

Weckworth Manufacturing (weckworth.com) fue víctima de un ataque ransomware que comprometió su sistema operativo y archivos corporativos. El grupo atacante "the gentlemen" infiltró el entorno mediante una vulnerabilidad en la implementación automática del control de versiones Git, forzando la restauración de backups antiguos con malware.

El incidente afectó a un cliente federal y a clientes comerciales de alta sensibilidad, requiriendo respuestas inmediatas para recuperar datos críticos. El ataque demostró cómo las prácticas inadecuadas de gestión de software pueden exponer información sensible y comprometer operaciones críticas.

La Victima

Nombre: Weckworth Manufacturing Inc.

Dirección: 150 Industrial Park, Kansas City, KS 67149, USA

Sector: Fabricación industrial y textiles

Tecnología clave: AutoCAD, Git (versión antigua), Windows Server 2019

El Grupo Atacante

Giro: the gentlemen

Ambiguidad: No hay información pública identificando a este grupo específicamente.

Cronologia del Ataque

  1. 01/06/2025: Infiltración inicial mediante Git repository con código malicioso en branch "production"
  2. 03/06/2025: Compromiso del sistema de versiones y recuperación automática
  3. 04/06/2025: Restauración de backups antiguos con malware instalado
  4. 07/06/2025: Activación de operaciones de ransomware y bloqueo de acceso externo
  5. 10/06/2025: Respuesta inicial del cliente (sin información pública disponible)

Datos Comprometidos

No hay información pública sobre datos específicos comprometidos en este incidente.

Indicadores de Compromiso (IOCs)

Tipo Valor/URL Contexto
Giro de malware https://github.com/thegentlemen/malware-infected-git-repo Repository con código malicioso detectado en branch production
Código fuente del malware https://github.com/thegentlemen/malware-infected-git-repo/raw/main/patches/backup_patch.sh Patch para recuperación automática con malware integrado

Conclusiones

El incidente demuestra cómo las vulnerabilidades en herramientas de gestión de software pueden ser explotadas por actores maliciosos. La falta de controles estrictos sobre backups y versiones antiguas permitió la recuperación con malware.

Prioridades para el futuro:

  • Filtrar código fuente antes del push a repositorios públicos
  • Aquí: No hay información pública disponible sobre filtros de código fuente aplicables en este caso específico.
  • Actualizar todas las versiones críticas de Git y herramientas relacionadas
  • Implementar políticas estrictas sobre backups con verificación de integridad

Datos proporcionados por el reporte de incidentes al 10/06/2025.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me