Blog Blog

08 de Octubre de 2025

October 9, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
DarkWeb
08 de Octubre de 2025

--- ANÁLISIS DEL INCIDENTE 1 (DDoS) ---

  • Título: HEZI RASH lanza una campaña de ataques DDoS contra múltiples objetivos en Azerbaiyán
  • Análisis del Incidente: El prolífico actor de amenazas HEZI RASH ha reivindicado una serie de ataques de denegación de servicio distribuido (DDoS) contra varias entidades en Azerbaiyán. Entre los objetivos confirmados se encuentran AZCD Group, una empresa de construcción, AzVirt LLC, y el partido político UMID. Los ataques, coordinados y anunciados a través de su canal de Telegram, buscaron interrumpir la disponibilidad de estos servicios web.
  • Información Enriquecida (OSINT):
    • Perfil del Actor de Amenaza: HEZI RASH es un actor o grupo muy activo en el panorama hacktivista, conocido por su alto volumen de ataques DDoS. Frecuentemente se le asocia con otros grupos como NoName057(16) y Server Killers, y forma parte de colectivos como la "Holy League". Sus motivaciones parecen ser una mezcla de ideología y notoriedad, a menudo sin declarar un propósito claro para cada ataque.
    • Perfil de la Víctima: AZCD Group es una empresa del sector de la construcción con sede en Bakú, Azerbaiyán. La selección de objetivos diversos (construcción, política) sugiere una campaña de disrupción amplia más que un ataque dirigido a un sector específico.
    • Detalles de la Vulnerabilidad: No aplica. Los ataques DDoS se basan en la saturación de la infraestructura de red de la víctima.
  • Datos Clave del Incidente:
    • Actor de Amenaza: HEZI RASH
    • Víctima: AZCD Group, AzVirt LLC, Azerbaijan Hope Party
    • País: Azerbaiyán
    • Sector: Construcción, Organización Política
    • Categoría del Ataque: DDoS Attack
    • Datos Cuantitativos: Múltiples sitios web afectados.
  • Conclusión del Incidente: La severidad es moderada. Aunque no implican una brecha de datos, estos ataques coordinados demuestran la capacidad de HEZI RASH para causar interrupciones a escala nacional, afectando a diversos sectores y buscando generar un impacto mediático y de desestabilización.

--- ANÁLISIS DEL INCIDENTE 2 (DDoS) ---

  • Título: Infinite Cyber Team ataca el sitio web del Ministerio de Asuntos Exteriores de Israel
  • Análisis del Incidente: El grupo hacktivista "Infinite Cyber Team" ha reivindicado un ataque de denegación de servicio distribuido (DDoS) contra el portal de embajadas del Ministerio de Asuntos Exteriores de Israel. El grupo publicó en su canal de Telegram una captura de pantalla que mostraba la inaccesibilidad del sitio, confirmando la interrupción del servicio.
  • Información Enriquecida (OSINT):
    • Perfil del Actor de Amenaza: Infinite Cyber Team es un grupo hacktivista cuyas operaciones a menudo se alinean con narrativas geopolíticas específicas, como se ha observado en el conflicto entre Irán e Israel. Sus tácticas se centran principalmente en ataques DDoS para lograr visibilidad y disrupción.
    • Perfil de la Víctima: El Ministerio de Asuntos Exteriores de Israel es una entidad gubernamental de alto perfil, responsable de la diplomacia y las relaciones internacionales del país. Su sitio web es una infraestructura crítica para la comunicación oficial.
    • Detalles de la Vulnerabilidad: No aplica.
  • Datos Clave del Incidente:
    • Actor de Amenaza: Infinite Cyber Team
    • Víctima: Ministry of Foreign Affairs of Israel
    • País: Israel
    • Sector: Administración Gubernamental
    • Categoría del Ataque: DDoS Attack
    • Datos Cuantitativos: Un sitio web gubernamental afectado.
  • Conclusión del Incidente: La severidad del incidente es alta. Atacar el Ministerio de Asuntos Exteriores de una nación es un acto con claras implicaciones políticas. Aunque temporal, la interrupción de un canal de comunicación diplomática oficial representa un significativo daño reputacional y una escalada en las tácticas de los grupos hacktivistas en la región.

--- ANÁLISIS DEL INCIDENTE 3 (Ciberataque General) ---

  • Título: El grupo "The Returnees" reivindica un ciberataque contra Contel Technologies en Israel
  • Análisis del Incidente: El grupo de amenazas "The Returnees" ha afirmado haber comprometido los sistemas de Contel Technologies, una empresa israelí líder en el campo de la automatización y la tecnología de la información. Afirman haber extraído 40 GB de bases de datos con información sensible sobre las operaciones y sistemas de la compañía, supuestamente a través de la explotación de sus sistemas SolarWinds.
  • Información Enriquecida (OSINT):
    • Perfil del Actor de Amenaza: "The Returnees" es un grupo de reciente aparición. La información pública sobre sus TTPs y motivaciones es limitada, pero este ataque sugiere una capacidad para realizar intrusiones complejas y exfiltrar grandes volúmenes de datos.
    • Perfil de la Víctima: Contel Technologies es un proveedor israelí de soluciones de control industrial y TI, con una trayectoria desde 1964. Un ataque contra una empresa de este tipo representa un riesgo para la cadena de suministro, ya que sus sistemas pueden estar integrados en infraestructuras críticas de sus clientes.
    • Detalles de la Vulnerabilidad: El actor alega haber explotado los sistemas SolarWinds, aunque no se especifica una CVE concreta.
  • Datos Clave del Incidente:
    • Actor de Amenaza: The Returnees
    • Víctima: CONTEL
    • País: Israel
    • Sector: Automatización Industrial
    • Categoría del Ataque: Ciberataque General / Fuga de Información
    • Datos Cuantitativos: 40 GB de bases de datos supuestamente exfiltrados.
  • Conclusión del Incidente: La severidad es crítica. La exfiltración de 40 GB de datos de un proveedor de tecnología industrial es extremadamente grave. Esta información podría contener propiedad intelectual, detalles de infraestructura de clientes y credenciales que podrían ser utilizadas para lanzar ataques posteriores contra infraestructuras críticas en Israel.

--- ANÁLISIS DEL INCIDENTE 4 (Ciberataque General) ---

  • Título: El grupo de ransomware Qilin se atribuye el ataque contra el gigante de bebidas japonés Asahi
  • Análisis del Incidente: El grupo de ransomware de habla rusa, Qilin, ha reivindicado la responsabilidad de un ciberataque que interrumpió las operaciones del gigante japonés de bebidas Asahi. El ataque forzó la detención de la producción y retrasó lanzamientos de productos. Los atacantes afirman haber robado registros financieros, datos de empleados, contratos y previsiones de desarrollo.
  • Información Enriquecida (OSINT):
    • Perfil del Actor de Amenaza: Qilin, activo desde 2022, opera un modelo de Ransomware-como-Servicio (RaaS). Son conocidos por su enfoque de doble extorsión y por atacar a grandes organizaciones a nivel mundial, incluyendo hospitales y agencias gubernamentales.
    • Perfil de la Víctima: Asahi Group Holdings, Ltd. es uno de los mayores productores de bebidas de Japón, famoso por su cerveza "Super Dry". Un ataque de ransomware que detiene su producción tiene un impacto económico directo y masivo.
    • Detalles de la Vulnerabilidad: El vector de acceso inicial no ha sido confirmado, pero Qilin suele utilizar campañas de phishing o la explotación de vulnerabilidades en software expuesto a Internet.
  • Datos Clave del Incidente:
    • Actor de Amenaza: Qilin
    • Víctima: Asahi Group Holdings, Ltd.
    • País: Japón
    • Sector: Agricultura y Alimentación
    • Categoría del Ataque: Ransomware / Doble Extorsión
    • Datos Cuantitativos: No especificado.
  • Conclusión del Incidente: Este es un incidente de severidad crítica. La interrupción de la producción de una de las mayores empresas de bebidas de Japón demuestra la capacidad de grupos como Qilin para causar un daño económico directo y significativo. La exfiltración de datos sensibles añade una capa de extorsión que agrava el impacto financiero y reputacional para Asahi.

--- ANÁLISIS DEL INCIDENTE 5 (Fuga de Información) ---

  • Título: Aiqianjin reivindica la filtración de la base de datos de clientes de OLX Kazajistán
  • Análisis del Incidente: El actor de amenazas "Aiqianjin" ha afirmado haber filtrado una base de datos de clientes de OLX Kazajistán. Según la reivindicación, el conjunto de datos expuesto incluye información personal como nombres, números de teléfono y direcciones de contacto. La autenticidad de esta filtración aún está por verificarse.
  • Información Enriquecida (OSINT):
    • Perfil del Actor de Amenaza: No se ha encontrado información pública sobre un grupo o actor conocido como "Aiqianjin", lo que dificulta la atribución y la comprensión de sus motivaciones.
    • Perfil de la Víctima: OLX es una plataforma global de anuncios clasificados en línea, muy popular en Kazajistán para la compraventa de bienes y servicios entre particulares. Una brecha de su base de datos de usuarios expondría a un gran número de personas.
    • Detalles de la Vulnerabilidad: Desconocida.
  • Datos Clave del Incidente:
    • Actor de Amenaza: Aiqianjin
    • Víctima: OLX Kazakhstan
    • País: Kazajistán
    • Sector: Servicios al Consumidor
    • Categoría del Ataque: Fuga de Información
    • Datos Cuantitativos: Base de datos de clientes de tamaño no especificado.
  • Conclusión del Incidente: La severidad potencial de este incidente es alta. Si se confirma, la filtración de datos personales de una plataforma tan utilizada como OLX podría dar lugar a una oleada de estafas, phishing y fraudes dirigidos a los usuarios afectados, además de un grave daño reputacional para la compañía.

--- ANÁLISIS DEL INCIDENTE 6 (Fuga de Información) ---

  • Título: Ponen a la venta una base de datos de 88.5 millones de registros de la empresa de seguridad pública FirstTwo
  • Análisis del Incidente: Un actor de amenazas bajo el alias "Neur0n" ha puesto a la venta una base de datos que supuestamente contiene 88.5 millones de registros de la empresa estadounidense FirstTwo. Los datos comprometidos incluirían nombres, números de teléfono, direcciones y fechas de nacimiento.
  • Información Enriquecida (OSINT):
    • Perfil del Actor de Amenaza: No se encontró información pública que permita perfilar al actor "Neur0n".
    • Perfil de la Víctima: FirstTwo es una empresa de tecnología de seguridad pública que proporciona una aplicación de conocimiento situacional y detección de delitos para las fuerzas del orden. Su plataforma agrega datos de redes sociales e información pública para perfilar ubicaciones e individuos.
    • Detalles de la Vulnerabilidad: No revelada.
  • Datos Clave del Incidente:
    • Actor de Amenaza: Neur0n
    • Víctima: FirstTwo
    • País: USA
    • Sector: Seguridad Pública
    • Categoría del Ataque: Fuga de Información / Venta de Datos
    • Datos Cuantitativos: 88.5 millones de registros.
  • Conclusión del Incidente: La severidad es crítica. La venta de una base de datos tan masiva, proveniente de una empresa que sirve a agencias de seguridad, es extremadamente peligrosa. La información podría ser utilizada para el robo de identidad, la suplantación y el acoso a gran escala. La naturaleza de la víctima también plantea la posibilidad de que se hayan comprometido datos sensibles relacionados con operaciones policiales.
Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog