Petya.A / NotPetya es un arma cibernética potenciada por IA, los TTPs indican al grupo APT Sandworm

Posted on by Andrii Bezverkhyi

Ha sido un verano caluroso para la industria de la seguridad: en menos de una semana desde que se sospechó inicialmente que el ransomware Petya.A resultó ser mucho más de lo que parece. Los investigadores de seguridad de todo el mundo lo han denominado con razón NotPetya y EternalPetya, ya que el malware nunca pretendió […]

No más WannaCry: IOC’s de gusano ransomware, Tor C2 y análisis técnico + reglas SIEM

Posted on by Andrii Bezverkhyi

¡Buenas noticias a todos! Después de un día, noche y mañana bastante largos de estudiar las noticias, investigar y rastrear el #WannaCry ransomwareworm, hay algunos descubrimientos que compartir… Esto incluye Host y Network IOCs, su análisis obtenido con la ayuda de colegas investigadores de seguridad y practicantes, revisión de la infraestructura C2 y sus interacciones […]

Conferencia internacional sobre ciberseguridad «Cyber For All»

Posted on by Eugene Tkachenko

El 24.11.2016 SOC Prime, Inc organizó la primera conferencia internacional sobre ciberseguridad «Cyber For All» en Kiev, Ucrania. El personal de SOC Prime y sus socios comerciales realizaron presentaciones y varios clientes compartieron sus historias de éxito reales de su uso de los productos de SOC Prime. La conferencia contó principalmente con la asistencia de […]

Resumen del botnet Mirai: descripción de la amenaza, análisis y mitigación

Posted on by Andrii Bezverkhyi

Una cita de un famoso profesor “¡Buenas noticias para todos!” sería la más adecuada para los acontecimientos recientes cuando la Internet de las cosas que hizo estallar el infierno en todo el mundo digital, siendo el botnet Mirai uno de sus infames secuaces. Antes de los detectores de sarcasmo rotos: la situación es realmente tensa, […]

Infiltración de infraestructura a través de RTF

Posted on by Aleksey Yasinskiy

Procedamos a estudiar una etapa del ataque llamada “Delivery” del Lockheed Martin Cyber Kill Chain.Se puede decir mucho sobre esta etapa, pero hoy solo compartiré el análisis de una muestra que he recibido recientemente para su análisis. La muestra atrajo mi atención por su simplicidad por un lado y su sofisticación por el otro. Definitivamente, […]

Ataque a la base de datos del controlador de dominio (NTDS.DIT)

Posted on by Aleksey Yasinskiy

Entonces, como he prometido, comenzamos el proceso de analizar las etapas separadas del Cyber Kill Chain del ataque descrito anteriormente. Hoy revisaremos uno de los vectores de ataque en la infraestructura de la Empresa, que podemos contar como dos etapas: «Acciones sobre los Objetivos» y «Reconocimiento». Nuestros objetivos son: