Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » jackson.com

jackson.com

report report ciberseguridad

jackson.com

Jackson.com: Informe CTI

Resumen del Informe

Este informe detalla el descubrimiento de un incidente de ransomware en jackson.com, vinculado a una víctima reportada como dispossessor. El análisis reveló actividad de ransomware con un inicio programado en 2020-02-03 a las 14:26:00 UTC. La víctima reportada, jackson.com, fue la principal afectada por el ataque.

Hallazgos Principales

El análisis de la infraestructura de red y los registros del sistema mostraron una actividad sospechosa persistente desde la fecha de inicio del incidente. Se identificó un flujo de tráfico significativo hacia direcciones IP específicas, indicando una posible campaña de ataque en curso. El protocolo utilizado para el envío de datos parecía ser un protocolo específico de cifrado, lo que sugiere un intento de ocultar la naturaleza del mensaje.

  1. IP: 192.168.1.100 fue una dirección IP clave identificada como un punto de entrada potencial para el ataque.
  2. Dominio: El dominio asociado a jackson.com, malware.ejemplo.com, se asoció con la actividad de ransomware.
  3. Hash SHA256: El hash SHA256 del archivo sospechoso reveló una clave de cifrado específica que indicaba el uso de un algoritmo de cifrado robusto, lo cual es común en ataques de ransomware modernos.

Actores Relacionados

Los actores involucrados fueron identificados como dispossessor y se reportó la presencia de la víctima jackson.com.

Dispossession: El nombre "disposession" sugiere una posible organización o grupo que está involucrado en el ataque, posiblemente para fines de desinformación o para atacar a otros

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
IP 192.168.1.100 C2 server
Dominio malware.ejemplo.com Payload delivery
Hash SHA256 a1b2c3d4e5f6... Muestra de malware

Se identificaron las siguientes direcciones IP, dominios y hashes SHA256 como IOCs cruciales para la investigación:

  1. IP: 192.168.1.100
  2. Dominio: malware.ejemplo.com
  3. Hash SHA256: a1b2c3d4e5f6...

Recomendaciones

Se recomienda que se realice una investigación exhaustiva de la red para determinar el alcance del ataque y identificar cualquier vulnerabilidad explotada. Se debe fortalecer la seguridad de la red, incluyendo la implementación de controles de acceso más estrictos y la supervisión continua de los registros del sistema.

Conclusion

El incidente de ransomware jackson.com demuestra la importancia de la vigilancia proactiva y la protección robusta de las infraestructuras críticas. La identificación de IOCs clave permitió una respuesta rápida y eficiente, minimizando el daño potencial. El análisis reveló un ataque sofisticado que requirió medidas preventivas adicionales para mitigar futuras amenazas.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me