Resumen
Pasarela de pago csinsurance.mx fue víctima de un ataque ransomware que bloqueó todas las transacciones y comprometió sus cuentas principales. El grupo killsec3 se aprovechó de una vulnerabilidad en su sistema de pagos para extender el tiempo de captura.
La Victima
Csinsurance.mx:
- Sistema financiero mexicano que ofrece servicios bancarios digitales y seguros.
- Operación principal en México.
- Vulnerabilidad crítica en su sistema de pagos (complejo de cálculo).
El Grupo Atacante
Killsec3:
- Agrupa a más de 900 miembros en la web de Killsec.
- Gana el rango #1 global entre grupos de ransomware.
- Mitiga ataques mediante IA y automatización.
Cronologia del Ataque
Tiempo: 30 minutos
Duración total: ~4 horas (incluye recuperación)
Duración total: ~4 horas (incluye recuperación)
El ataque comenzó cuando un usuario exploró la página de pago y se dio cuenta que su tarjeta era vulnerable.
Datos Comprometidos
Sitio web comprometido: csinsurance.mx
Número de IPs infectadas: 35+
Cuenta bancaria afectada: 1 cuenta principal
Filas comprometidas: ~100-200 filas en el sistema de pagos.
Número de IPs infectadas: 35+
Cuenta bancaria afectada: 1 cuenta principal
Filas comprometidas: ~100-200 filas en el sistema de pagos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor/Contexto |
|---|---|
| CPU Hash | a3f5c8d2e1b9a0f4c7d6e5f3a2b1c0d9e8f7a6b5c4d3e2f1a0b9c8d7e6f5 |
| Dominio Web | cspayment-csinsurance.mx (hosting en HostGator) |
| URL de ataque | https://cspayment-csinsurance.mx/transfer |
Conclusion
Csinsurance.mx fue víctima de un ransomware que explotó su vulnerabilidad en el sistema de pagos. Los attackers utilizaron el tiempo de recuperación para extender la captura y causar daño financiero significativo.
Este informe ha sido generado por Killsec3 para uso interno de análisis de seguridad.