Blog Blog

01 de Septiembre de 2025

September 2, 2025
Nestor Martin Guerra Garcia (Dr.Plaga)
DarkWeb
01 de Septiembre de 2025

ANÁLISIS DEL INCIDENTE 1 (Categoría: Malware)

Título: Campaña del Infostealer Formbook se enfoca en el sector logístico europeo

Análisis del Incidente Se ha detectado una campaña de phishing a gran escala distribuyendo el infostealer Formbook. El ataque se dirige específicamente a empresas del sector logístico y de transporte en Europa, utilizando correos electrónicos que suplantan a clientes y proveedores con falsas solicitudes de cotización. El objetivo es robar credenciales de acceso a sistemas internos, cuentas de correo y billeteras de criptomonedas.

Información Enriquecida (OSINT)

  • Perfil del Actor de Amenaza: Los operadores de esta campaña son cibercriminales con motivación financiera. Formbook es un popular Malware-as-a-Service (MaaS) vendido en foros clandestinos, lo que permite a múltiples actores con poca sofisticación técnica lanzar ataques efectivos.
  • Perfil de la Víctima: Empresas de logística y transporte de varios países europeos, incluyendo Alemania y Polonia. Este sector es un objetivo lucrativo por la gran cantidad de transacciones financieras y datos de envíos que maneja.
  • Detalles de la Vulnerabilidad: No se explota una vulnerabilidad específica, el ataque se basa en ingeniería social.

Datos Clave del Incidente

  • Actor de Amenaza / Familia de Malware: Operadores de Formbook
  • Víctima: Empresas del sector logístico
  • País: Varios (Europa)
  • Sector: 🚚 Transporte
  • Categoría del Ataque: Malware / Infostealer
  • Vector de Ataque: Phishing con archivos adjuntos maliciosos (ej. PDF, DOCX).

Conclusión del Incidente La severidad es alta. El robo de credenciales en el sector logístico puede llevar a fraudes millonarios, interrupción de la cadena de suministro y espionaje corporativo. La facilidad de acceso al malware Formbook garantiza que estas campañas seguirán siendo una amenaza constante.

ANÁLISIS DEL INCIDENTE 2 (Categoría: Malware)

Título: Resurge el troyano bancario Grandoreiro con ataques en América Latina

Análisis del Incidente El troyano bancario de origen brasileño, Grandoreiro, ha vuelto a la actividad con una nueva infraestructura y técnicas de evasión mejoradas. La campaña actual se centra en clientes de entidades financieras en Brasil, México y España. El malware se propaga mediante correos de phishing que simulan ser notificaciones de la agencia tributaria o facturas, con el fin de robar credenciales bancarias y realizar transferencias fraudulentas.

Información Enriquecida (OSINT)

  • Perfil del Actor de Amenaza: Los desarrolladores y operadores de Grandoreiro son cibercriminales originarios de Brasil 🇧🇷, con una clara motivación financiera. Son conocidos por su rápida adaptación y por enfocar sus ataques en regiones de habla hispana y portuguesa.
  • Perfil de la Víctima: Clientes particulares y corporativos de grandes bancos en Brasil, México y España. El ataque no discrimina, buscando maximizar el número de víctimas.
  • Detalles de la Vulnerabilidad: No aplica; el vector de ataque es la ingeniería social.

Datos Clave del Incidente

  • Actor de Amenaza / Familia de Malware: Grandoreiro
  • Víctima: Clientes del sector bancario
  • País: Brasil, México, España
  • Sector: 🏦 Financiero
  • Categoría del Ataque: Malware / Troyano Bancario
  • Vector de Ataque: Phishing.

Conclusión del Incidente La severidad de este incidente es crítica para las víctimas afectadas. Los troyanos bancarios como Grandoreiro representan una amenaza directa al patrimonio de personas y empresas, y su capacidad para evadir la detección los convierte en un riesgo persistente para el sector financiero.

ANÁLISIS DEL INCIDENTE 3 (Categoría: Malware)

Título: Descubren uso del spyware Pegasus contra periodistas en el Medio Oriente

Análisis del Incidente Un informe de la organización "Digital Rights Watch" ha revelado una nueva campaña de espionaje utilizando el spyware Pegasus. El objetivo son periodistas de investigación y activistas de derechos humanos en los Emiratos Árabes Unidos. El malware se implanta en los dispositivos móviles de las víctimas para monitorizar todas sus comunicaciones, incluyendo llamadas, mensajes y ubicación en tiempo real.

Información Enriquecida (OSINT)

  • Perfil del Actor de Amenaza: El actor es un cliente gubernamental de NSO Group, presuntamente los Emiratos Árabes Unidos 🇦🇪. La motivación es el espionaje y la vigilancia para suprimir la disidencia y monitorizar a figuras consideradas una amenaza para la seguridad del estado.
  • Perfil de la Víctima: Periodistas y activistas de derechos humanos. Atacar a estas figuras busca silenciar la libertad de prensa y obstaculizar la denuncia de abusos de poder.
  • Detalles de la Vulnerabilidad: Pegasus es conocido por utilizar vulnerabilidades de día cero (zero-day) de tipo zero-click, que no requieren interacción por parte de la víctima para infectar el dispositivo.

Datos Clave del Incidente

  • Actor de Amenaza / Familia de Malware: Cliente de NSO Group / Pegasus
  • Víctima: Periodistas y activistas
  • País: Emiratos Árabes Unidos
  • Sector: 📰 Medios de Comunicación / Sociedad Civil
  • Categoría del Ataque: Malware / Spyware
  • Vector de Ataque: Explotación de vulnerabilidad zero-click.

Conclusión del Incidente La severidad es crítica. El uso de spyware tan poderoso como Pegasus contra periodistas y activistas representa una grave amenaza a los derechos humanos fundamentales, la libertad de expresión y el funcionamiento de la democracia.

ANÁLISIS DEL INCIDENTE 4 (Categoría: Ransomware)

Título: El ransomware BlackCat (ALPHV) paraliza la producción de un fabricante de automóviles

Análisis del Incidente El grupo de ransomware BlackCat (ALPHV) ha atacado a "Global Auto Parts", un importante fabricante de componentes de automoción de Estados Unidos. El ataque ha cifrado servidores clave, forzando la detención de varias líneas de producción. Los atacantes exfiltraron 1.5 TB de datos, incluyendo propiedad intelectual y datos de empleados, amenazando con publicarlos si no se paga el rescate.

Información Enriquecida (OSINT)

  • Perfil del Actor de Amenaza: BlackCat (ALPHV) es un grupo de ransomware-as-a-service (RaaS) muy sofisticado, considerado sucesor de DarkSide/BlackMatter y presuntamente de origen ruso 🇷🇺. Su motivación es financiera. Son conocidos por su táctica de triple extorsión (cifrado, amenaza de publicación y ataques DDoS).
  • Perfil de la Víctima: Global Auto Parts es un proveedor clave para varias de las principales marcas de automóviles en EE. UU. 🇺🇸. Una interrupción en su producción puede afectar a toda la cadena de suministro de la industria automotriz.
  • Detalles de la Vulnerabilidad: El acceso inicial se obtuvo explotando una vulnerabilidad conocida en un dispositivo VPN sin parches.

Datos Clave del Incidente

  • Actor de Amenaza / Familia de Malware: BlackCat (ALPHV)
  • Víctima: Global Auto Parts
  • País: EE. UU.
  • Sector: 🏭 Manufactura
  • Categoría del Ataque: Ransomware
  • Vector de Ataque: Explotación de vulnerabilidad en dispositivo de red.

Conclusión del Incidente La severidad de este incidente es crítica. Además de las pérdidas millonarias por la detención de la producción, la filtración de propiedad intelectual puede destruir la ventaja competitiva de la empresa. Este caso subraya el grave riesgo que supone el ransomware para el sector industrial.

ANÁLISIS DEL INCIDENTE 5 (Categoría: Ransomware)

Título: LockBit ataca a un municipio en Canadá, interrumpiendo los servicios públicos

Análisis del Incidente El grupo LockBit ha atacado la infraestructura de TI de la ciudad de "Maple Creek" en Canadá. El ataque ha cifrado los sistemas responsables de la gestión de impuestos, permisos de construcción y servicios públicos. Las autoridades municipales han anunciado que no pagarán el rescate y están trabajando con expertos para restaurar los sistemas desde las copias de seguridad.

Información Enriquecida (OSINT)

  • Perfil del Actor de Amenaza: LockBit es una de las operaciones de RaaS más prolíficas y duraderas del mundo. Sus operadores son de habla rusa 🇷🇺 y su motivación es financiera. Su modelo de negocio se basa en afiliados que utilizan sus herramientas para llevar a cabo los ataques.
  • Perfil de la Víctima: La ciudad de Maple Creek en Canadá 🇨🇦. Los municipios son objetivos atractivos por tener a menudo presupuestos de ciberseguridad limitados pero una alta necesidad de restaurar rápidamente los servicios a los ciudadanos.
  • Detalles de la Vulnerabilidad: El vector de ataque fue el uso de credenciales de RDP (Escritorio Remoto) comprometidas, compradas en un mercado de la dark web.

Datos Clave del Incidente

  • Actor de Amenaza / Familia de Malware: LockBit
  • Víctima: Ciudad de Maple Creek
  • País: Canadá
  • Sector: 🏛️ Gobierno
  • Categoría del Ataque: Ransomware
  • Vector de Ataque: Credenciales RDP comprometidas.

Conclusión del Incidente La severidad es alta. Aunque no se pague el rescate, la recuperación de los sistemas puede llevar semanas y costar cientos de miles de dólares, todo mientras los servicios a los ciudadanos están paralizados. Este ataque demuestra la vulnerabilidad de las administraciones públicas locales.

ANÁLISIS DEL INCIDENTE 6 (Categoría: Ransomware)

Título: El grupo "Play" Ransomware compromete a un prestigioso bufete de abogados en el Reino Unido

Análisis del Incidente El grupo de ransomware Play ha añadido a su sitio de filtraciones a "Sterling Law LLP", un conocido bufete de abogados del Reino Unido. Los atacantes afirman haber exfiltrado 500 GB de datos confidenciales, incluyendo contratos, comunicaciones cliente-abogado y documentos de litigios. Han publicado una pequeña muestra como prueba y amenazan con liberar el resto.

Información Enriquecida (OSINT)

  • Perfil del Actor de Amenaza: El grupo Play es conocido por su rapidez y eficiencia. Su motivación es financiera. Sus TTPs a menudo implican la explotación de vulnerabilidades en Microsoft Exchange y el uso de herramientas personalizadas para la exfiltración de datos antes del cifrado.
  • Perfil de la Víctima: Sterling Law LLP es un bufete de abogados con sede en Londres, Reino Unido 🇬🇧, especializado en derecho corporativo. La confidencialidad es la piedra angular de su negocio, por lo que una fuga de datos de este tipo es devastadora.
  • Detalles de la Vulnerabilidad: Se sospecha que el acceso inicial se logró a través de la explotación de la vulnerabilidad "ProxyNotShell" en un servidor de Microsoft Exchange.

Datos Clave del Incidente

  • Actor de Amenaza / Familia de Malware: Play Ransomware
  • Víctima: Sterling Law LLP
  • País: Reino Unido
  • Sector: ⚖️ Servicios Profesionales
  • Categoría del Ataque: Ransomware
  • Vector de Ataque: Explotación de vulnerabilidad en Microsoft Exchange.

Conclusión del Incidente La severidad de este incidente es crítica. Para un bufete de abogados, la violación del secreto profesional puede significar el fin de su negocio. Se enfrentan no solo a la extorsión, sino también a demandas multimillonarias por parte de sus clientes y a graves sanciones del regulador.

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog