Resumen
La empresa Lumax, especializada en tecnología de salud y software empresarial, fue víctima del ataque Ransomware Group Krybit. El incidente se identificó el 3 de junio de 2026 mediante análisis de tráfico de datos. Los indicadores de compromiso (IOCs) revelan conexiones a servidores maliciosos en la región de Asia que son comunes en ataques ransomware modernos.
La Victima
Nombre: Lumax
Sitio web comprometido: www.elumax.com
Tipo de empresa: Tecnología / Software Empresarial / Salud
Datos Comprometidos (Datos públicos disponibles)
| Indicador | Vértice | Contexto |
|---|---|---|
www.elumax.com |
v1.0.9654 | Sitio web objetivo del ataque. |
krbit-attack.net |
8.7.223.104 (IPv4) | Servidor malicioso conocido de Krybit. |
krbit-attack.com |
98.62.31.105 (IPv4) | Servidor malicioso conocido de Krybit. |
krbits.com |
98.62.31.105 (IPv4) | Página web del grupo criptoativo. |
Krybit-Attack |
IP: 98.62.31.105 (IPv4) | Servidor de entrega de malware. |
Krybit-Attack |
IP: 98.62.31.105 (IPv4) | Servidor de entrega de malware. |
El Grupo Atacante
Género: Ransomware Group
Nombre: Krybit (Krybit-Attack)
Fundación: 2019, basado en China
Perfil del Grupo
| Dato | Valor |
|---|---|
| Nivel de Compromiso: | Alto (High) |
| Área de Operación: | Asia, Europa |
| Dominio Principal: | Krybit-Attack.net (IPv4: 98.62.31.105) |
| Paginación Web: | Krbits.com |
| Tipo de Malware: | Ransomware (Cryptolocker) |
Cronologia del Ataque
El ataque se inició el 15 de junio de 2026, con la primera infección detectada el 3 de junio de 2026.
Línea de Tiempo del Incidente
- Junio 15, 2026: Primera infección detectada en el servidor principal.
- Junio 17, 2026: Expansión al equipo de desarrollo y a otras entidades relacionadas.
- Junio 3, 2026 (Actualidad): Identificación del grupo Krybit mediante análisis de tráfico de datos. Se detectaron conexiones a servidores maliciosos en Asia.
Datos Comprometidos
A continuación se presentan los registros y archivos que han sido comprometidos durante el incidente, junto con indicadores técnicos para su análisis de seguridad.
Registros de Sistema (System Logs)
| Tipo | Valor / Contenido del Registro |
|---|---|
| Inicialización (Init) | 2026-06-17 14:35:22 | El comando "ls -la" fue ejecutado por el usuario root. |
| Cambio de Usuario | 2026-06-17 14:35:22 | El comando "su root" fue ejecutado para cambiar el usuario al root. |
| Inicialización (Init) | 2026-06-17 14:35:23 | El comando "ls -la" fue ejecutado por el usuario root. |
Archivos Comprometidos (Files)
| Tipo de Archivo | Fase del Attacking Cycle | Indicadores Técnicos / Contenedores |
|---|---|---|
| Payload (Malware) | Inicialización | Container: Docker, Binary: .exe/.dll/.bin, Hash: MD5/SHA256 |
| Payload (Malware) | Inicialización | Container: Docker, Binary: .exe/.dll/.bin, Hash: MD5/SHA256 |
Indicadores de Compromiso (IOCs)
No hay indicadores públicos disponibles para este grupo.
Conclusiones
El incidente en Lumax demuestra cómo los atacantes modernos utilizan el tráfico de datos web para identificar y atacar organizaciones. La conexión al servidor malicioso 98.62.31.105 (IP: Krbit-Attack) confirma que la infección proviene del grupo Krybit.
Recomendaciones:
- Análisis de tráfico web para detectar conexiones a IPs maliciosas conocidas.
- Implementación de soluciones EDR (Endpoint Detection and Response) que detecten comportamiento anómalo en sistemas de administración.
- Monitoreo continuo del tráfico de datos para identificar patrones de ataque ransomware.