Blog NLT Secure
El modus operandi utilizado suele interrumpir los servicios de organizaciones, robando datos confidenciales y ejecutando el malware para cifrar sus archivos y amenazarlos con la divulgación de datos corporativos por “medios masivos” si el rescate no se paga a su debido tiempo.
A continuación, se comparten los Indicadores de Compromisos que fueron detectados durante la semana pasada por el Equipo del CSIRT. CSIRT recomienda a los administradores y usuarios bloquear los hashes publicados en este informe, y mantener un permanente monitoreo sobre el resto de los Indicadores de Compromiso.
Para conocimiento de la comunidad, compartimos los IoC (indicadores de compromiso) recopilados sobre el incidente:
HASH:
81DB87E45619188073E0CAC8E67B9C8DB4361297 FA33FD577F5EB4813BC69DCE891361871CDA860C 069EF8443DF750E9F72EBE4ED93C3E472A2396E2 ED5B60A640A19AFE8D1281BF691F40BAC34EBA8A 7BC6C2D714E88659B26B6B8ED6681B1F91EEF6AF F0215AAC7BE36A5FEDEEA51D34D8F8DA2E98BF1B
BD8C52BB1F5C034F11F3048E2ED89B7B8FF39261 07D4BCB5B969A01FB21DC28E5CB1B7CEB05F2912 03CDEC4A0A63A016D0767650CDAF1D4D24669795 E27725074F7BC55014885921B7EC8B5319B1EF8F AC634854448EB8FCD3ABF49C8F37CD21F4282DDE F73E31D11F462F522A883C8F8F06D44F8D3E2F01 D2D9484276A208641517A2273D96F34DE1394B8E E0CAAE0804957C5E31C53DD320CA83A5465169C9 D7CB471C1A6F400B04EF0CE19C3CE782F91F37C9
4c36c3533a283e1aa199f80e20d264b9
a654b3a37c27810db180822b72ad6d3e
6ad7b3e0873c9ff122c32006fdc3675706a03c4778287085a020d839b74cd780
c9d46c319ed01c183598f7b9a60b9bca34b2eea989f4659e9aa27c7a1bf8681c
830d274a1cbeebe34b0997d5c84c6028a0c72e74762f770f2240d12c1c4ba3a5
561092877e91f2741ed061cbe7a57d1af552b600c6654ccc588cb6bff7939152
072ab57f9db16d9fb92009c8e10b176bd4a2eff01c3bc6e190020cf5a0055505
9017c070ad6ac9ac52e361286b3ff24a315f721f488b53b7aaf6ac35de477f44
3aad14d200887119f316be71d71aec11735dd3698a4fcaa50902fce71bdccb07
9fffabede0ef679970666f04184340437cd70bc8fe870ee8174713ececf32398
311baa4d4229a8d6802d82a8d9935592bf9a7b6aaf0949f0fa0b094592f5e8a7
21960f49f296623f1ca6bc15ca8117f57774db97fd910855f75f15364879cfda
b027467332243c8186e59f68ff7c43c9e212d9e5074fedf003febcfedad4381a
f0adfd3f89c9268953f93bfdfefb84432532a1e30542fee7bddda14dcb69a76c
6ad7b3e0873c9ff122c32006fdc3675706a03c4778287085a020d839b74cd780
IP:
185.82.126.8
185.238.0.233
45.153.242.129
91.199.212.152
URL:
ozcsgqmpjwromp[.]com
wsjlbbqemr23[.]com
xjkwkzdyfcabhr[.]com
fvkmmwlzvsqdod[.]com
dmvbdfblevxvx[.]com
tczzzlwpss[.]com
txvzmlfzlklhtf[.]com
xtngmptkcqk[.]biz
ihvxmjmdvbn[.]biz
qukqkdcjriz[.]ws
mtafdrvjmif[.]com
kcijbcqvdfv[.]org
tnlttlmxuhc[.]com
txmxffytum[.]biz
vjzwvzjmoc[.]com
ktmjqztagkm[.]org
saalzvhzgkk[.]cc
bvhtxgzwob[.]cc
vrfgwwcesy[.]org
uozwtmgpogg[.]info
qammsjskgkm[.]cc
jfbmnpxgpi[.]ws
hvwvrxpinnv[.]cn
mshrgnslzmqobm[.]com
twcdkhmttfeipv[.]com
sekhmetleaks[.]top
sekhmet[.]top
egregoranrmzapcv[.]onion
wikiegregor[.]top
egregorwiki[.]top
egregor[.]top
http[:]//egregor4u5ipdzhv[.]onion/ https[:]//id-ransomware[.]malwarehunterteam[.]com/identify[.]php?
Direcciones Ip de servidor SMTP
donde es enviado el correo malicioso:
62.12.114.101
185.136.161.132
107.179.8.233
46.26.67.139
Correos electrónicos de donde son enviados los archivos adjunto con malware:
Gdk7b1EuiIwq5IzwsRwUHsvai@outbound5.angani.co
exinsts@gmail.com
lutfullah.ansary@aplombtechbd.com
cus-exp3@cargoworldconsol.com
golasage265@gmail.com
carlemau296@gmail.com
8QuE8nWIGXDqSrUHuMwJ6dM@mail.asiatradehub.biz
Recomendaciones que NLT Secure
sugiere implementar a la brevedad posible:
Recomendaciones que NLT Secure
sugiere implementar y verificar en paralelo:
En caso de identificar anomalías, NLT Secure tiene a su disposición a los teléfonos +56 2 23994310 / +56 9 88307912, disponible en modalidad 24x7. El objetivo de una rápida notificación es poder colaborar en contener, mitigar o analizar el incidente según la línea de tiempo en la que se encuentre.
NLT Secure
a CISO Global Company