🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
O grupo RansomHouse teria violado os Laboratórios do IPCA
Categoria:
Inteligência do adversárioIndústria:
Saúde e farmáciaPaís:
Ásia e PacíficoFonte*:
C2
A RansomHouse alega ter violado os Laboratórios IPCA [/caption]
Amostra de dados compartilhada pelo grupo RansomHouse [/caption]
[caption id="attachment_21596" align="alignnone” width="492"]
Especulações sobre a motivação da Ransom House e a correlação com Hive [/caption]
Mais amostras
[caption id="attachment_21597" align="alignnone” width="486"]
Pasta de amostra compartilhada pelo agente da ameaça [/caption]
Pasta de amostra compartilhada pelo agente da ameaça
Sumário executivo
AMEAÇAIMPACTOMITIGAÇÃO- O grupo RansomHouse supostamente violou os Laboratórios IPCA.
- O incidente ocorreu em 3 de setembro de 2022 e o status atual é criptografado, com aproximadamente 6000 visualizações.
- Ataques de phishing contra usuários afetados.
- Pode fornecer aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware, extrair dados e manter a persistência.
- Implemente uma política de senha forte e habilite a MFA em todos os logins
- Verifique se há anomalias nos terminais.
- Corrija endpoints vulneráveis e exploráveis.
Análise e atribuição
Informações do Post
- Em 3 de setembro de 2022, o grupo RansomHouse publicou em seu site de relações públicas anunciando os dados dos Laboratórios IPCA. O IPCA Laboratories é uma multinacional farmacêutica indiana com sede em Mumbai fundada em 1949.
- Um total de 0,5 TB de dados foi extraído e o status da vítima foi marcado como “criptografado”.
- Uma amostra foi fornecida para fundamentar suas reivindicações com informações confidenciais, como PII de funcionários, pastas de clientes, documentos de auditoria e perfis médicos.
- Outro arquivo intitulado “Detalhes dos serviços de TI” foi criado em 29/01/2020 por Rajesh Nawale e foi modificado pela última vez em 30 de agosto de 2022, indicando a provável data de infiltração.
A RansomHouse alega ter violado os Laboratórios IPCA [/caption]
- O RansomHouse foi observado pela primeira vez no início de junho de 2022 e tem como alvo aproximadamente 10 vítimas até agora.
- Durante seu início em maio, eles alegaram ser mediadores e não tinham a responsabilidade de atacar nenhuma entidade. Eles eram apenas um mercado de extorsão.
- Até surgiram discussões sugerindo que Ransom House é uma possível reformulação da marca Hive porque sua interface de usuário é exatamente idêntica.
- Uma das técnicas possíveis para obter uma posição inicial em uma organização, conforme reivindicado pelo próprio grupo, é comprometendo senhas fracas.
Atividade e classificação do ator de ameaças
Perfil do ator de ameaçasAtivo desde maio de 2022ReputationHigh, uma vez que não há reclamações de que o grupo seja golpista. Status atualActiveHistorySurgiu como um mercado de extorsão.ClassificaçãoC2(C: Bastante confiável; 2: Provavelmente verdade.)Referências
- *Fonte de inteligência e confiabilidade da informação - Wikipedia
- #Protocolo de semáforo - Wikipedia
Apêndice
[caption id="attachment_21595" align="alignnone” width="1054"] Amostra de dados compartilhada pelo grupo RansomHouse [/caption]
[caption id="attachment_21596" align="alignnone” width="492"] Especulações sobre a motivação da Ransom House e a correlação com Hive [/caption]
Mais amostras
[caption id="attachment_21597" align="alignnone” width="486"] Pasta de amostra compartilhada pelo agente da ameaça [/caption]
Pasta de amostra compartilhada pelo agente da ameaça
