INC Ransom (GOLD IONIC) es un grupo de ransomware activo desde 2023 que evolucionó rápidamente a un modelo RaaS, con más de 450 organizaciones afectadas hasta finales de 2025. Tras vender su código fuente en 2024, surgieron variantes y afiliados que ampliaron su alcance y agresividad.

Opera principalmente mediante explotación de vulnerabilidades expuestas, phishing dirigido y uso de credenciales válidas, con fuerte énfasis en movimiento lateral y abuso de herramientas legítimas del sistema (LOLBins). Destaca su capacidad para atacar entornos virtualizados VMware ESXi, eliminando copias de seguridad y VMs para maximizar impacto.

El malware es multiplataforma (Windows, Linux, ESXi), emplea cifrado híbrido (AES + Curve25519) y permite modos de cifrado configurables. Utiliza doble extorsión (cifrado + filtración de datos) y exige rescates que van desde decenas de miles hasta varios millones de dólares, cobrados en criptomonedas.

Los sectores más afectados incluyen salud, educación, manufactura e industria, con fuerte concentración en EE. UU. y Europa. El grupo emplea infraestructura en Tor, servicios cloud para exfiltración y, recientemente, certificados digitales robados para evadir controles.

La mitigación efectiva requiere parcheo prioritario de perímetro, MFA, EDR/XDR con enfoque conductual, backups inmutables, segmentación de redes críticas y monitoreo específico de comandos y herramientas asociadas a ataques en ESXi.

Fuente: Lista de URL’s de donde se tomó la información.

https://app.any.run/tasks/dad7d9d5-1f2f-4496-8925-ffcb65a53b95/?utm_source=medium&utm_medium=article&utm_campaign=inc&utm_term=281125&utm_content=linktoservice

https://twitter.com/hashtag/incransom?f=live

https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/inc-ransom-group-detection-and-prevention/

https://cyble.com/threat-actor-profiles/inc-ransom/

https://attack.mitre.org/groups/G1032/

https://www.vectra.ai/modern-attack/threat-actors/inc-ransom

https://attack.mitre.org/software/S1139/

https://www.sentinelone.com/anthology/inc-ransom/

https://reliaquest.com/blog/inc-ransom-attack-analysis/

https://www.watchguard.com/wgrd-security-hub/ransomware-tracker/inc-ransom

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Temporada: Gobernanza de seguridad de la información

Capitulo 27 - Continuidad del negocio & recuperación ante desastres (BCP/DRP)

¿Sabes exactamente cuánto dinero pierde tu organización por cada hora que sus sistemas están caídos? En este episodio dejamos de lado la burocracia del BCP (Continuidad del Negocio) y el DRP (Recuperación ante Desastres) para centrarnos en lo único que importa cuando ocurre una crisis: la supervivencia financiera y operativa.

Aprendemos a transformar la continuidad en una estrategia auditable, pasando del "creo que estamos protegidos" al "puedo demostrar que nos recuperamos".

🎧 En este episodio aprenderás:

El BIA Financiero: Por qué sin números claros (Impacto $/h) no hay presupuesto para recuperación.

RTO vs. RPO: Cómo definir tiempos de recuperación realistas basados en tu presupuesto de pérdidas, no en deseos técnicos.

Simulacros: La diferencia vital entre un Tabletop (validar decisiones) y una Prueba Operativa (medir tiempos reales).

Gobernanza: Cómo gestionar proveedores y crear evidencia para que tu plan sea a prueba de auditorías.

🧮 Fórmulas mencionada en el episodio:

1. Impacto Financiero por Hora ($/h):

Impacto = Ingresos perdidos + Coste operativo alterno + Penalizaciones + Coste de remediación + Daño reputacional.

2. Cálculo de RTO Máximo (Tiempo de recuperación):

RTO Máx = Presupuesto tolerable para pérdidas / Impacto $/h.

📚 Glosario Rápido:

BIA: Análisis de Impacto al Negocio (la base financiera).

RTO: Tiempo máximo tolerable fuera de servicio.

RPO: Cantidad máxima de datos que aceptas perder.

Tabletop: Simulacro de escritorio para validar roles y comunicación.

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

En este episodio desmontamos la idea de que “tener un control” es suficiente. Hoy lo que importa es poder demostrar que un control funciona: la evidencia es el nuevo lenguaje del aseguramiento. Conversamos de forma práctica —sin jerga vacía— sobre cómo pasar de revisiones puntuales a un modelo de aseguramiento vivo, automatizado y reproducible.

¿Qué encontrarás?

Por qué un control sin evidencia deja de existir ante auditorías y juntas.

Cómo diseñar controles observables: traducir requisitos (ISO/NIST) a artefactos medibles (logs, tickets, snapshots).

Arquitectura práctica de evidencia: SIEM, EDR/XDR, SOAR, ATS/GRC y cómo integrarlos en un pipeline que capture, normalice y proteja la evidencia.

KPIs y KCI accionables (MTTD, MTTR, % controles con evidencia automática, % hallazgos cerrados en SLA).

Buenas prácticas para retención, integridad (hashes/WORM), sampling y pruebas end-to-end.

Cómo convertir datos técnicos en mensajes ejecutivos para el board: scorecards, 1-pagers y el “pack de evidencia” listo para auditoría.

Checklist operativo (accesos, registros, incidentes, backups, cumplimiento legal) con evidencia mínima y umbrales prácticos.

Valor práctico: saldrás con pasos inmediatos para reducir el esfuerzo manual en auditorías, mejorar tiempos de respuesta y presentar resultados claros al negocio —no solo métricas, sino evidencia recuperable y verificable.

Cierre: La evidencia no se fabrica al final: se construye día a día.

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Qué escucharás (resumen ejecutivo)

Por qué la cultura es la primera línea de defensa y cómo detectarla (señales, frenos y facilitadores).

Diferencia práctica entre concienciación, capacitación y cambio cultural sostenido; métricas para cada nivel.

Cómo mapear actividades formativas a controles y marcos (acciones rápidas Día 0–30).

Gestión del cambio aplicada a seguridad (Kotter + ADKAR): tácticas para pasar de resistencia a adopción.

Innovaciones pedagógicas (microlearning, gamificación, simulaciones, IA adaptativa) y cómo conectarlas con operaciones (SIEM/SOAR).

Plan operativo de 90 días: diagnóstico, piloto, escalamiento, KPIs y cálculo simple de ROI.

Riesgos operativos comunes y mitigaciones inmediatas; entregables y gobernanza para auditoría.

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Investigación Profunda de Grupos de Ransomware

Investigación 7 - Ransomware Qilin

Qilin es un RaaS detectado en 2022 (rebrand de “Agenda”). Migró de Go a Rust/C para aumentar portabilidad y resistencia. Opera mediante un panel de afiliados que compila muestras configurables, administra objetivos y facilita pagos y servicios auxiliares (negociación automatizada, apoyo legal y prensa).

Modelo y alcance

Afiliados reciben ~80–85% del rescate; actividad concentrada en objetivos grandes, con fuerte impacto en EE. UU. Sectores principales: servicios profesionales, manufactura, salud, ingeniería y retail.

TTPs clave

Acceso: servicios remotos expuestos, explotación de CVE (p. ej. Veeam), phishing y cuentas válidas. Ejecución: binarios con verificación de contraseña, scripts y persistencia en arranque. Escalada: volcado de credenciales, robo de tokens y abuso de drivers vulnerables. Movimiento lateral: PsExec/SMB/RDP, ajuste MaxMpxCt y propagación a vCenter/ESXi. Evasión: borrado de logs, parada de EDR, detección de sandboxes y técnicas anti-análisis.

Ataque a virtualización

Incorpora scripts PowerShell y módulos que deserializan credenciales de vCenter, enumeran hosts ESXi, cambian contraseñas root, habilitan SSH y despliegan cargas en hipervisores; además eliminan snapshots/backups, multiplicando el daño.

Mitigación recomendada

Defensa en capas: parcheo prioritario, endurecimiento de VPN/RDP y MFA; segmentación y Zero-Trust; backups inmutables y aisladas; EDR/MDR y SIEM con detección conductual (PowerShell anómalo, vssadmin/wbadmin, transferencias masivas). Control de uso de herramientas administrativas y políticas de drivers; playbooks IR y capacitación.

Links:

https://www.sans.org/blog/evolution-qilin-raas   

https://www.picussecurity.com/resource/blog/qilin-ransomware   

https://blackpointcyber.com/blog/qilin-ransomware-and-the-hidden-dangers-of-byovd/   

https://cybelangel.com/blog/qilin-ransomware-tactics-attack/   

https://www.kelacyber.com/blog/ransomware-threat-actor-profile-qilin/   

https://www.kelacyber.com/blog/qilin-ransomware-gang-adopts-ransom-payments-through-affiliates/   

https://www.cyfirma.com/research/tracking-ransomware-june-2025/   

https://www.secureblink.com/cyber-security-news/nissan-confirms-qilin-ransomware-attack-exposing-4-tb-of-design-data   

https://medium.com/@d3lt4labs/analysis-qilin-ransomware-group-1a4b9e28f4c7   

https://www.group-ib.com/blog/qilin-ransomware/   

https://www.aha.org/system/files/media/file/2024/06/tlp-clear-hc3-threat-profile-qilin-aka-agenda-ransomware-6-18-2024.pdf   

https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf   

https://www.darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator   

https://www.halcyon.ai/threat-group/scatteredspider   

https://www.cyfirma.com/research/tracking-ransomware-march-2025/   

https://www.cyfirma.com/news/weekly-intelligence-report-09-may-2025/   

https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/qilin-ransomware/   

https://www.halcyon.ai/threat-group/qilin   

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 24 - Como integrar seguridad de la información con la estrategia del negocio

Bienvenida y objetivos

Propósito: Presentar un modelo práctico de alineación inmediato.

Resultados: Esqueleto de roadmap de integración adaptable a cada organización.

Panorama actual

Tendencias: APTs, ransomware (5–10 % de facturación) y regulación creciente (GDPR, FinTech).

Retos: Proyectos aislados, KPIs técnicos sin vinculación al negocio y escaso patrocinio ejecutivo.

Comprender la estrategia

Mapeo de objetivos: Extraer metas de crecimiento (p.ej. +15 % LATAM, nuevo SaaS).

Priorización: Pesar cada iniciativa según impacto en ingresos, plazo y dependencia de sistemas.

Matriz impacto–valor

Puntuar 1–5 el Impacto de cada riesgo sobre la meta.

Puntuar 1–5 el Valor de los activos que la soportan.

Ubicar en cuatro zonas (roja, naranja, ámbar, verde) para guiar controles.

Gobierno de seguridad

Comités: CSI (CISO, TI, Legal, Finanzas, Operaciones) y Comité de Dirección (CEO, CFO, COO).

Políticas: Marco ISO 27001/22301 y estándares COBIT/ISO 27002, con ciclos anuales y “fast-track” urgente.

RACI: Claridad en Responsable, Aprobador, Consultado e Informado, con delegados en cada unidad.

Selección y priorización de proyectos

Inventario: Proyectos existentes vs. pipeline estratégico.

Criterios: Alineamiento con metas, exposición al riesgo y ROI/KPIs esperados.

Roadmap: Corto (0–6 m), medio (6–18 m) y largo (>18 m), vinculado a hitos corporativos.

Implementación (PDCA)

Plan: Gap analysis y diseño de controles.

Do: Despliegue de herramientas y formación.

Check: Auditorías, pentests MITRE ATT&CK y métricas (MTTD/MTTR).

Act: Acciones correctivas, feedback y actualización continua.

Frameworks y sinergias

Marcos: NIST CSF, ISO 27001, MITRE ATT&CK.

Áreas aliadas: DevSecOps en TI, DPIA con Legal y business cases con Finanzas.

Métricas y reporting

KPIs operativos: % sistemas auditados, MTTD/MTTR, cumplimiento de SLAs.

KRI estratégicos: Índice de madurez (COBIT/CMMI), ALE.

Dashboard & storytelling: Visuales alineados a “risk appetite” y reportes trimestrales al board.

Cultura y formación

Awareness: Mensajes ligados a beneficios de negocio, gamificación y micro-learning.

Ejecutivos: Table-top exercises y simulacros con evaluación de decisiones.

Comunicación: Comité trimestral, boletín mensual y portal de seguridad.

Mejora continua

Post-mortem: “What went well / What to improve” para capturar lecciones.

Revisión de roadmap: Talleres semestrales y triggers ante cambios de negocio o amenazas.

Innovación emergente

AI/ML: Detección de anomalías en tiempo real.

Cifrado post-cuántico: Pilotos graduales en datos sensibles.

Zero Trust: Validación continua de identidad y microsegmentación.

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 23 - Gestión de datos y protección de la privacidad

1. Fase 0 – Preparación y Diagnóstico

Equipo y Gobernanza: Designación formal del DPO y de “Privacy Champions” en cada área, con perfil, funciones y canales de comunicación definidos. Se establece un RACI y reuniones quincenales para seguimiento.

Inventario y Clasificación: Mapeo exhaustivo de sistemas (CRM, ERP, bases de datos on-premise y en la nube, herramientas de marketing, etc.), registro de metadatos y catálogo de datos. Se clasifican datos personales, sensibles, anonimizados y seudonimizados, validando con el DPO y los Privacy Champions.

Evaluación de Brechas: Comparación entre prácticas actuales y requisitos regulatorios, identificación de gaps críticos y establecimiento de una línea base de seguridad basada en estándares ISO 27001/27701.

2. Fase 1 – Gobernanza y Políticas

Política de Privacidad: Redacción integral que cubre alcance, principios, derechos ARCO, roles, controles y procedimientos de notificación de brechas. Versión interna (intranet, webinars) y externa (sitio web, banner de cookies), con control de versiones y revisiones anuales.

Responsabilidades y SLA: Definición de plazos para reconocimiento (24 h), evaluación (2 días hábiles) y resolución de solicitudes ARCO (15–30 días naturales), con escalamiento automático y métricas de cumplimiento.

Consentimiento y DPIA: Revisión de formularios y banners, ejecución de Evaluaciones de Impacto de Protección de Datos (DPIA) en procesos de alto riesgo (perfilado, IA, transferencias).

3. Fase 2 – Implementación Técnica y Organizativa

Controles Técnicos: Cifrado en tránsito y reposo (TLS, AES-256), gestión de identidades (principio de privilegio mínimo, MFA), monitorización SIEM/IDS-IPS y respaldo seguro con pruebas periódicas.

Pseudonimización y Anonimización: Aplicación en entornos de prueba y analítica avanzada; definición de procesos de desidentificación.

Contratos y Terceros: Inclusión de cláusulas de protección de datos y subprocesadores, adopción de Standard Contractual Clauses (SCC) o Binding Corporate Rules (BCR) según destino.

Formación: Campaña obligatoria sobre GDPR, LGPD y CCPA, con simulacros de phishing y quizzes de refuerzo.

4. Fase 3 – Gestión de Incidentes y Respuesta

Playbook de Brechas: Procedimiento de detección, contención y notificación interna y regulatoria (≤ 72 h en UE), integrado con SOC y forense digital.

Simulacros Anuales: Dos ejercicios al año—técnico y comunicacional—para validar tiempos de respuesta y calidad de la comunicación con autoridades y titulares.

Lecciones Aprendidas: Ajuste continuo de procedimientos tras cada drill.

5. Fase 4 – Transferencias Internacionales

Mapeo de Flujos: Inventario de transferencias y diagrama de flujo por jurisdicción, categorización de datos y análisis de riesgo para países no adecuados.

Mecanismos de Cumplimiento: Implementación y mantenimiento de SCC, BCR y decisiones de adecuación; repositorio centralizado con control de versiones, auditorías y alertas de renovación anual.

6. Fase 5 – Auditoría y Mejora Continua

KPIs y Métricas: Solicitudes ARCO, incidentes, resultados de auditorías.

Auditorías Independientes: Cada 12–18 meses para ISO 27701 y GDPR.

Actualización de Políticas: Revisiones semestrales o tras cambios regulatorios, incorporación de IA y big data

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 22 - Entrevista - Gobernanza 360° Seguridad más allá del perímetro

Antecedentes y trayectoria

Inicios en seguridad de la información a mediados de los 90 como practicante, configurando y atacando de forma “prueba y error” los primeros firewalls en Linux.

Paso por banca y telecomunicaciones, especializándose primero en aspectos técnicos (arquitectura, dimensionamiento) y luego en gobernanza, procesos y estándares (ISO 27001, COBIT 5, etc.).

Docencia activa en el Tecnológico de Monterrey y cofundador de iniciativas formativas en ciberseguridad.

Principales desafíos

Cultural: resistencia de TI y áreas operativas a incorporar buenas prácticas de seguridad (“¿quién eres tú para decirme cómo hacer mi trabajo?”).

Concienciación: romper el paradigma de que la seguridad “es cosa solo de TI” y fomentar la responsabilidad compartida en toda la organización.

Evolución del rol de líder y mentor

De “operador técnico” a impulsor de comités de seguridad y patrocinio ejecutivo.

Recomendación de vincular universidades y empresas, reclutar y formar recién egresados, y promover certificaciones especializadas.

De la teoría a la práctica

Ejemplo de gestión de incidentes: definir claramente qué se considera “incidente de seguridad”, catalogarlo en un “catálogo de incidentes” y establecer flujos de atención (detección, categorización, manejo y resolución).

Importancia de políticas aprobadas por alta dirección, procesos transversales y procedimientos detallados de “primeros auxilios” para mitigación rápida.

Definición y comunicación del apetito de riesgo

Involucrar a finanzas, legal, marketing y demás áreas para cuantificar impactos (económico, regulatorio, reputacional).

Realizar ejercicios piloto de evaluación de riesgos multidisciplinarios y consensuar con la dirección general una “banda” o nivel máximo de riesgo tolerable, revisable anualmente.

Gobernanza de terceros y cadena de suministro

Extender requisitos de seguridad a proveedores mediante contratos y cuestionarios de evaluación de controles (ISO 27001, NIST, etc.).

Implementar áreas y herramientas dedicadas a monitorear cumplimiento de estándares en entornos con múltiples terceros.

Errores comunes al iniciar un programa de gobernanza

Falta de patrocinio de alta dirección y de un comité rector.

No definir un alcance y fases claras; intentar “cubrirlo todo” de una vez.

Insuficiencia de recursos: tanto presupuesto como talento dedicado.

Recomendaciones para un programa sostenible

Basarse en ISO 27001 y su ciclo de mejora continua (Plan‑Do‑Check‑Act).

Establecer “quick wins” con resultados palpables a corto plazo para mantener el impulso.

Alimentar el programa constantemente (como a un “niño” o “vino tinto” que requiere tiempo y cuidados).

Fomentar la formación y certificación continua del personal, alinear sus especializaciones con las necesidades del negocio.

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Investigación Profunda de Grupos de Ransomware

Investigación 6 - Ransomware Play

Identificación

Desde junio de 2022, el grupo Play (alias Balloonfly, PlayCrypt) ha afectado a más de 950 organizaciones. Su método: robar datos antes de cifrarlos (extensión .PLAY), dejar nota de rescate y amenazar con filtrar la lista de víctimas en la red TOR.

Origen y Perfil

Se sospecha conexión con operadores rusos (Hive, Nokoyawa) por similitudes en cifrado e infraestructura, aunque sin atribución oficial. Emplean una única recompilación de binarios en cada ataque y comparten balizas de Cobalt Strike (watermark 206546002) para evadir detecciones.

TTPs (MITRE ATT&CK)

Acceso inicial: credenciales válidas (T1078), vulnerabilidades públicas (T1190) y RDP/VPN (T1133).

Descubrimiento: escaneo de red (T1016) y detección de software de seguridad (T1518.001).

Evasión: desactivación de herramientas (T1562.001) y borrado de logs (T1070.001).

Credenciales: volcado de credenciales (T1003) y búsqueda en almacenamientos inseguros (T1552).

Movimiento lateral: transferencia de herramientas (T1570) y PsExec.

Comando y Control: modificación de políticas de dominio (T1484.001).

Exfiltración: protocolos alternativos (T1048) via WinSCP/túneles C2.

Impacto: cifrado AES-RSA (T1486) y doble extorsión (T1657).

Flujo de Ataque

Ingreso: cuentas legítimas o fallos en FortiOS, Exchange, SimpleHelp.

Descubrimiento/Evasión: mapeo de red, desactivación de antivirus, borrado de logs.

Escalada: despliegue de beacons C2, PsExec, Mimikatz, WinPEAS.

Exfiltración & Cifrado: compresión/exfiltración (WinRAR/WinSCP), cifrado híbrido y renombrado a .PLAY.

Extorsión: nota de rescate y amenaza de publicación en TOR.

Modelo de Negocio

Rescates de US$ 250 000–2 000 000 (pueden llegar a 7–12 M en grandes víctimas), negociados luego hasta 50 000–100 000. Cobran en Bitcoin o Ethereum, cada víctima recibe cartera única tras contacto por correo o llamada.

Victimología

Afectados principalmente en servicios empresariales, manufactura, tecnología, agroalimentario y logística. Sectores geográficos: EE UU, Canadá, Reino Unido, Alemania, Francia, Australia, Argentina, Suiza, Corea del Sur y Sudáfrica.

Contramedidas y Detección

Implementar MFA, contraseñas fuertes y bloqueo de cuentas.

Segmentar la red y filtrar accesos remotos.

Mantener parches al día en FortiOS, Exchange y SimpleHelp.

Monitorizar EDR/NDR para detectar movimientos laterales y uso anómalo de PowerShell/WinRM.

Asegurar respaldos offline, cifrados e inmutables.

URLS

https://www.ransomware.live/group/play

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a

https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/

https://blog.tecnetone.com/play-ransomware-ahora-como-servicio-comercial-para-hackers

https://www.virustotal.com/gui/file/7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0/behavior

https://unaaldia.hispasec.com/2024/11/ciberdelincuentes-norcoreanos-y-ransomware-play-nueva-amenaza.html

Correos del grupo

[email protected], [email protected], raniyumiamrm@gmx, derdiarikucisv@gmx

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.

Tema: Gobernanza de seguridad de la información

Capitulo 21 - Gestión de proveedores y la cadena de valor

1. Política TPRM

Documento aprobado por alta dirección (Consejo o CEO) que define reglas para gestionar riesgos de terceros.

Cubre alcance (tipos de proveedores), objetivos (ej. proteger datos sensibles) y roles:

CISO: define seguridad y excepciones.

Legal: revisa contratos.

Compras: asegura cláusulas de riesgo.

Operaciones: supervisa desempeño diario.

Incluye gobernanza: supervisión periódica y flujos de escalamiento de riesgos críticos.

2. Comité de Proveedores

Grupo multidisciplinario que se reúne cada trimestre para revisar desempeño, analizar alertas y decidir renovaciones, mejoras o reemplazos.

Participan responsables de Riesgos, Finanzas y Operaciones.

Ejemplo: ante caídas de servicio, se exige plan de contingencia y ajuste de factura.

3. Alcance de Cadena de Valor

La TPRM aplica más allá del proveedor directo (Tier 1): abarca subcontratistas (Tier 2+) y socios de servicio especializados.

Objetivo: controlar riesgos ocultos (ej. subcontratistas con acceso a datos).

Ejemplo: CloudX contrata a DataBackupCo → ambos deben cumplir estándares de cifrado y auditorías.

INVENTARIO Y CLASIFICACIÓN

Registro centralizado: lista de proveedores con datos clave (nombre, servicio, datos tratados, ubicación legal).

Clasificación por criticidad:

Tier 1: impacto alto (interrupción clave).

Tier 2: impacto medio (soporte).

Tier 3: impacto bajo (servicios auxiliares).

Etiquetado de riesgos: seguridad, continuidad, confidencialidad, cumplimiento y reputación.

DUE DILIGENCE Y SELECCIÓN

Evaluación financiera: ratios de liquidez, endeudamiento, estabilidad.

Reputación y legal: listas de sanciones, litigios, antecedentes.

Auditoría preliminar: cuestionarios basados en SIG-LITE/CAIQ para validar postura de seguridad.

Criterios éticos y sostenibilidad: preferencia por proveedores con certificaciones ESG, derechos humanos y reducción de huella de carbono.

Resumen clave:

El Punto 1 establece la base de gobierno TPRM: una política clara, un comité vigilante, alcance extendido a toda la cadena, un inventario clasificado por criticidad y riesgos, y criterios estrictos de selección ética, financiera y de seguridad.

Donde contactarnos:

[email protected]

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

Donde escucharnos:

https://open.spotify.com/show/5EDWIjmPeuRgtvmUqhCOfQ

https://www.youtube.com/@BlueTeamSMI

https://music.amazon.com/podcasts/fae096a6-be59-40dd-8c7a-39854de11500/blue-team-sin-morir-en-el-intento

https://www.deezer.com/show/1001514961

https://shows.acast.com/blueteam-sin-morir-en-el-intento

Donde donarnos:

https://buymeacoffee.com/btsmi

¡Síguenos y dale like!

Hosted on Acast. See acast.com/privacy for more information.