Blog Blog

21 de Agosto de 2025

August 22, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
DarkWeb
21 de Agosto de 2025

--- ANÁLISIS DEL INCIDENTE 1 ---

Título: Brecha de Datos Masiva en Múltiples Plataformas de Criptomonedas por el actor "MrDark"

Análisis del Incidente: El 21 de agosto de 2025, el actor de amenazas MrDark anunció en un foro de la red Tor la venta de bases de datos presuntamente robadas de tres plataformas de criptomonedas con sede en Estados Unidos: Casa.io, Theya.us y Nunchuk.io. En total, la filtración afecta a más de un millón de registros de usuarios (1,015,000). Los datos expuestos son de alta sensibilidad e incluyen correos electrónicos, contraseñas, números de teléfono y detalles de las billeteras de criptomonedas, poniendo a los usuarios en grave riesgo de fraude y robo de activos digitales.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza (MrDark): Aunque su historial público es breve (visto por primera vez a mediados de 2025), MrDark parece especializarse en el sector de servicios financieros y de juegos en Estados Unidos. Su TTP principal consiste en la exfiltración y venta de bases de datos de usuarios (Colección y Exfiltración - TA0009 y TA0010). Su motivación es puramente financiera, operando bajo un modelo de venta directa en foros clandestinos.
  • Perfil de la Víctima (Casa.io y otras): Casa.io es una empresa conocida en el sector de las criptomonedas, que ofrece servicios de custodia de Bitcoin para proteger los activos de los usuarios contra robos. Una brecha de este tipo es especialmente dañina para su reputación, ya que su modelo de negocio se basa en la seguridad y la confianza. Las otras víctimas, Theya.us y Nunchuk.io, operan en el mismo ecosistema, lo que sugiere un ataque dirigido al sector.

Datos Clave del Incidente:

  • Actor de Amenaza: MrDark
  • Víctima: Casa.io, Theya.us, Nunchuk.io
  • País: Estados Unidos
  • Sector: Servicios Financieros (Criptomonedas)
  • Categoría del Ataque: Data Breach (Violación de Datos)
  • Datos Cuantitativos: 1,015,000 registros en total, con precios de venta entre $6,500 y $10,000 USD por base de datos.

Conclusión del Incidente: La severidad de este incidente es alta. La exposición de detalles de billeteras junto con información personal identificable (PII) crea un riesgo inminente de robo de fondos, ataques de SIM-swapping y campañas de phishing altamente personalizadas contra los usuarios de estas plataformas.

--- ANÁLISIS DEL INCIDENTE 2 ---

Título: Venta de Acceso de Administrador a una Importante Compañía de Seguros en EEUU

Análisis del Incidente: El 21 de agosto de 2025, el actor de amenazas MustF4st publicó en un foro de la open web la venta de acceso no autorizado a la red interna de una compañía de seguros no identificada de Estados Unidos. El acceso que se ofrece es de muy alto privilegio, incluyendo credenciales de Administrador de Dominio y Administrador Local a través de RDP y NetExtender. El actor detalla un entorno de red extenso, con más de 1,500 máquinas y copias de seguridad de 28 TB, todo por un precio de $8,000 USD.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza (MustF4st): MustF4st es un Initial Access Broker (IAB), un tipo de ciberdelincuente que se especializa en obtener acceso a redes corporativas para luego venderlo a otros grupos, como operadores de ransomware. Su historial muestra actividad previa relacionada con la filtración de herramientas de hacking (fuerza bruta para RDP), lo que indica una especialización en obtener credenciales de acceso remoto. Su motivación es financiera.
  • Perfil de la Víctima: Se trata de una gran corporación del sector de seguros en EEUU, con ingresos declarados de más de $700 millones y más de 14 oficinas. El hecho de que tengan seguridad de CrowdStrike (un EDR líder en el mercado) y backups de Veeam sugiere una infraestructura de TI madura, lo que hace que un compromiso a nivel de Administrador de Dominio sea especialmente grave y valioso en el mercado clandestino.

Datos Clave del Incidente:

  • Actor de Amenaza: MustF4st
  • Víctima: Compañía de seguros no identificada
  • País: Estados Unidos
  • Sector: Seguros
  • Categoría del Ataque: Initial Access (Venta de Acceso Inicial)
  • Datos Cuantitativos: Acceso a una red de +1,500 máquinas y 28 TB de backups por un precio de $8,000 USD.

Conclusión del Incidente: Este incidente representa un riesgo crítico. La venta de acceso de Administrador de Dominio es el preludio de un ataque de ransomware devastador o de un incidente de espionaje corporativo a gran escala. El comprador de este acceso tendría control total sobre la red de la compañía.

--- ANÁLISIS DEL INCIDENTE 3 ---

Título: El actor "Eternal" Vende Datos de la Red Pública de Agua de Yucatán, México

Análisis del Incidente: El 21 de agosto de 2025, el actor de amenazas Eternal reclamó la responsabilidad de una brecha de datos contra JAPAY, la Junta de Agua Potable y Alcantarillado de Yucatán, México. El atacante ha puesto a la venta una base de datos con más de 400,000 registros de ciudadanos y empresas. La información filtrada incluye datos fiscales, direcciones físicas, números de medidor y datos de consumo. Eternal ha fijado un precio de venta de $500 USD, pero también un precio de "rescate" de $10,000 USD para que los datos sean eliminados.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza (Eternal): El historial de Eternal muestra un enfoque casi exclusivo en la exfiltración de datos de entidades gubernamentales, de salud y académicas en México, particularly in the state of Nuevo León. Su TTP principal es el robo y la posterior venta o extorsión de bases de datos. Su motivación parece ser una mezcla de beneficio financiero y un cierto grado de hacktivismo, ya que en su publicación acusa al gobierno de Yucatán de minimizar brechas anteriores.
  • Perfil de la Víctima (JAPAY): JAPAY es una infraestructura crítica que gestiona el suministro de agua para todo el estado de Yucatán. Una brecha de este tipo no solo expone los datos personales de cientos de miles de ciudadanos, sino que también socava la confianza en las instituciones públicas y podría ser un primer paso para ataques más disruptivos contra la infraestructura de servicios públicos.

Datos Clave del Incidente:

  • Actor de Amenaza: Eternal
  • Víctima: JAPAY (Junta de Agua Potable y Alcantarillado de Yucatán)
  • País: México
  • Sector: Energía y Servicios Públicos
  • Categoría del Ataque: Data Breach (Violación de Datos)
  • Datos Cuantitativos: Más de 400,000 registros a la venta por $500 USD.

Conclusión del Incidente: La severidad de este incidente es media-alta. La exposición de datos de facturación y direcciones de una entidad de servicios públicos puede ser utilizada para fraudes y estafas muy convincentes contra la población. La baja valoración de los datos ($500) indica que el objetivo principal podría ser más la disrupción y la presión mediática que el lucro directo.

--- ANÁLISIS DEL INCIDENTE 4 ---

Título: "stepbro" Vende Base de Datos con 2.5 Millones de Pacientes de ProtectHealth en Malasia

Análisis del Incidente: El 21 de agosto de 2025, el actor de amenazas stepbro anunció en un mercado de la darknet la venta de una base de datos de pacientes perteneciente a ProtectHealth Corporation, una compañía vinculada al gobierno de Malasia. La filtración, según el actor, contiene 2,564,318 registros de pacientes verificados y actualizados. Los datos expuestos incluyen nombres completos, fechas de nacimiento, números de identificación, detalles de programas de salud y saldos de cuentas, con un precio de venta de $800 USD por la base de datos completa.

Información Enriquecida (OSINT):

  • Perfil del Actor de Amenaza (stepbro): stepbro es un actor de amenazas prolífico, visto por primera vez en abril de 2025, con un historial de ataques dirigidos a múltiples países y sectores (transporte, gobierno, e-commerce). Su TTP principal es la exfiltración y venta de grandes volúmenes de datos a precios relativamente bajos, lo que sugiere un modelo de negocio de "cantidad sobre calidad". Su motivación es claramente financiera.
  • Perfil de la Víctima (ProtectHealth Corporation): ProtectHealth es una entidad clave en el sistema de salud de Malasia, responsable de gestionar programas nacionales y la distribución de beneficios médicos. Una brecha de esta magnitud compromete la información médica personal (PHI) de millones de ciudadanos, lo que constituye una grave violación de la privacidad y puede tener consecuencias legales y regulatorias significativas para la organización.

Datos Clave del Incidente:

  • Actor de Amenaza: stepbro
  • Víctima: ProtectHealth Corporation
  • País: Malasia
  • Sector: Hospital y Cuidado de la Salud
  • Categoría del Ataque: Data Breach (Violación de Datos)
  • Datos Cuantitativos: 2.5 millones de registros de pacientes a la venta por $800 USD.

Conclusión del Incidente: La severidad de este incidente es alta. La filtración de datos de salud a esta escala es extremadamente peligrosa, ya que expone a millones de personas a fraudes de seguros, robo de identidad y estafas dirigidas. El bajo precio de venta asegura una rápida distribución de los datos dentro de la comunidad ciberdelincuente.

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog