Informe y analisis de malware

Proyecto Final Primera entrega

Dato fuente de la información

Para la elaboración del presente informe, han sido analizadas las siguientes fuentes de información:

• Informe de estatus de situación actual
• Muestra de malware entregado por el equipo de soporte técnico de LexCorp.

Análisis de Malware

El presente informe responde a la necesidad de conocer el alcance del incidente de seguridad provocada por el cifrado masivo de archivos (ransomware) en la infraestructura de LexCorp, identificado del 20 al 23 de junio de 2021. Con base en las actuaciones de respuesta, los técnicos de LexCorp tomaron las

medidas de contención que consideraron necesarias y llevaron a cabo la restauración de los sistemas afectados por el ataque. Como resultado del análisis de malware, se ha identificado lo siguiente:

Adicionales:

• No se ha podido determinar inequívocamente la vía de entrada del ataque debido a la ausencia de fuentes de datos clave que permitan conocer el alcance completo del incidente.
• No obstante, planteo las siguientes hipótesis en base a las fuentes de información analizada:

• ◆ Un usuario abrió un correo e hizo click a un mail con link malicioso que descargo la muestra del malware (En este caso un ransomware)
• ◆ Descargado el archivo, ejecutó el .zip explotando el archivo que de inmediato inició el proceso de encriptación.
• ◆ Realizó posible movimiento lateral a otros servidores (Servidor de archivos compartidos) ya que se comparte carpetas de toda la red.

Muestra analizada con Any.run

Comportamiento

[pic 1][pic 2]

Información estática

EXE

MachineType: , Intel 386 or later, and compatibles / TimeStamp: , 2018:02:14 20:19:14+01:00 PEType: , PE32 / LinkerVersion: , 14.11 / CodeSize: , 211968 / InitializedDataSize: , 137728 UninitializedDataSize: , 0 / EntryPoint: , 0x151bc / OSVersion: , 6 / ImageVersion: , 0 SubsystemVersion: , 6 / Subsystem: , Windows GUI

...