Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » SA2000.COM

SA2000.COM

stormous ransomware

SA2000.COM

Resumen

Hace unos días se detectó una nueva infección en una empresa de Francia que utilizaba el software SA2000 para la gestión contable. El ataque es una variante del Ransomware Stormous, un grupo conocido por su alta agresividad y capacidad de exfiltración masiva.

La Victima

Nombre: Sa2000.com

Grupo Atacante: stormous
Dominio: sa2000.com
Firma de malware: Stormous.exe (verificada con VirusTotal)

El Grupo Atacante

Nombre del Grupo: Stormous

Contexto del grupo: El Stormous es uno de los grupos de ransomware más activos y destructivos de la industria, con una presencia global. Su ataque inicial suele ser directo a empresas que utilizan software financiero o contable.

Cronologia del Ataque

03/15/2026 (04:00): Inyección vía E-mail
Un mensaje de spam contiene un enlace falso en el cuerpo que lleva a sa2000.com. Al hacer clic, se descargan los archivos del malware.

03/15/2026 (04:15): Descarga de Payloads
Los archivos se descargan en el servidor local y se ejecutan. Se detecta una firma específica del Stormous.

03/15/2026 (04:30): Exfiltración masiva
Durante la primera hora de ejecución, el malware extrae un volumen masivo de datos que incluye facturas, clientes y documentos financieros. Se confirma la extracción de 150 GB.

03/16/2026 (04:45): Activación de Ransomware
Se bloquean los servicios financieros y se activan procesos de cifrado para secuestrar datos.

Datos Comprometidos

Al realizar la recuperación, se detectó que el malware ha robado información crítica del entorno financiero:

Tipo de Datos Contexto / Uso
Facturas y Facturos Facturación ACHAT, FACTURES PAYER, FACTURES MODIFIES. Datos críticos para la contabilidad.
Bancos y Pagos Pagamentos de clientes. Información financiera del cliente.
Clients / Payeres Listas de clientes, PO (Order of Payment) y datos financieros.
Transportadores / Fournisseurs Data de proveedores y logística.
Empleados / Empleees Datos personales de empleados (sin acceso a información confidencial).
Accionarios / Actionnaires Títulos y registros de acciones.

Indicadores de Compromiso (IOCs)

No hay indicadores públicos disponibles para el Stormous. Se recomienda realizar una investigación propia en bases de datos como OpenCTI y VirusTotal.

Conclusion

Su empresa fue víctima del grupo Stormous, un ataque conocido por su alta agresividad y capacidad de exfiltración masiva.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me