🚨CIAC alerta: Países afectados en Latam por J group De acuerdo a nuestra publicación del 26 de Mayo, J-Group ha surgido como una amenaza ransomware de doble extorción, activa desde Febrero de este año, afectando a múltiples sectores a nivel global, donde se presenta el siguiente recuento de empresas latinoamericanas afectadas: Argentina: 2 Brasil: 2 Venezuela: 2 Guatemala: 1 IoCs: Se recomienda que los equipos de ciberseguridad tomen en cuenta los siguientes Indicadores de Compromiso: Hashs SHA256: 3fef5c7fa519f5384de6f61c954ead6dfd4da727005bfec954dc801bd120a938 MD5: d69ebd183b2e0072c396e55503d5ede7 aa63680c9b15034463d46847e7534975 f0f300206af1eed81b7b74357df437da 538f8b4fbe62595021ffa36682bf518f aeb06e5cdd5da2bc5259516fb738ac78 2238997aec239bb5ebd7589f754bf606 Nombres de archivos: 3fef5c7fa519f5384de6f61c954ead6dfd4da727005bfec954dc801bd120a938.exe J-0xb.exe c9fd60a7a3974913a39a4dcdad4b4ccaeb93b614741af2eb7ee0d892130689d8.exe eac7ea3969f4483a6f1ed27bad46dbb2f32c40be8f402e6e815d6917cd5731ac.exe J-0xb j.exe jjjjj.exe TTPs: 1. Ejecución de procesos sospechosos - T1059 - Command and Scripting Interpreter: El malware ejecuta procesos y comandos en el sistema, posiblemente para iniciar el cifrado o modificar configuraciones del sistema. 2. Modificación de archivos - T1486 - Data Encrypted for Impact: Se observa la modificación masiva de archivos y la creación de nuevas extensiones, típico del cifrado de archivos en ataques de ransomware. 3. Creación de archivos de nota de rescate - T1566.001 - Phishing: Spearphishing Attachment (relacionado a la entrega, si fue por correo) - T1105 - Ingress Tool Transfer: El ransomware crea archivos de texto con instrucciones de rescate en múltiples carpetas del sistema. 4. Persistencia - T1547.001 - Registry Run Keys / Startup Folder: Modificación de claves de registro para garantizar la ejecución persistente tras reinicios del sistema. 5. Comunicaciones externas - T1071.001 - Application Layer Protocol: Web Protocols: Intenta establecer conexiones de red, posiblemente para comunicarse con servidores de comando y control (C2) o reportar la infección. 6. Eliminación de copias de seguridad y recuperación - T1490 - Inhibit System Recovery: Aunque no siempre se observa en todas las muestras, muchos ransomwares intentan eliminar puntos de restauración y copias de seguridad del sistema para dificultar la recuperación. Síguenos: TG: https://t.me/ciberciac WAPP: https://whatsapp.com/channel/0029Va6OjVKA89Mj7w8xde06