14TCA23-00013-01 Ransomware en IFX
El siguiente informe detalla el análisis forense realizado sobre un binario detectado en el ataque informático a los servidores que hospedan ChileCompra, los cuales son administrados por la empresa IFX Networks.
En el informe, explicamos las funcionalidades observadas en el programa mrAgent, mediante el uso de técnicas de ingeniería reversa sobre el archivo. Esto nos permite entender en mayor profundidad las acciones realizadas por el mismo y sus posibles repercusiones en la infraestructura y datos de los sistemas afectados.
Dentro de las funcionalidades más destacadas que se encontraron, se observó que el ransomware se conecta con un servidor externo mediante una conexión TCP, el cual actúa como un servicio de Command and Control, recibiendo información interna del servidor afectado.
Al mismo tiempo, se observó el proceso de enumeración de máquinas virtuales, características y servicios del sistema infectado, además del proceso de eliminación de logs y archivos maliciosos para dificultar la trazabilidad de las acciones realizadas.
El documento finaliza con una serie de recomendaciones para los administradores de infraestructura, con el objetivo de evitar ser afectado por un ransomware como el detallado previamente.
Views: 0
