Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AbigailR 01
AbigailR 01
El troyano bancario Emotet fue identificado por el grupo de investigadores en ciberseguridad del corporativo “San
Luis Corp.” el día 29 de julio de 2023 a las 23:45 horas, se conoce que el ataque informático fue diseñado para
colarse en el ordenador de un usuario para robar información confidencial y privada, así mismo, derivado el estudio
de la carga útil del malware se obtuvieron conexiones de servicio de envío de spam y descarga de malware.
Una línea de investigación presume que el atacante realizó ingeniería social en la que se envió un correo electrónico
sobre una presunta “información de un pago”, aparentemente el atacante estudio a la víctima antes de efectuar el
ataque.
El ataque afecto a los sistemas transaccionales del corporativo, por lo que se logró una apertura de cuenta corriente
vulnerada y se llevaron desvíos de recursos financieros.
El administrador de la red ha dispuesto la arquitectura de su infraestructura de red y base de datos con la finalidad de
ejercer las acciones pertinentes del que haya lugar.
Como líder de una investigación criminal, se le ha solicitado proveer un informe de investigación en virtud de
gestionar políticas en materia de ciberseguridad y prevenir un ataque futuro.
Página1|
Informática Criminológica: Actividad 01
Página2|
Informática Criminológica: Actividad 01
1. ¿Qué elementos considera pueden ser aprovechados por un actor cibercriminal derivado del análisis del
perfil sustraído? Nombre de la persona, una fotografía de su rostro, fotografías de su familia, amigos o
parientes; la cantidad de amigos que tienes en las redes sociales; tu lugar de trabajo; su hogar y país de
origen; fotos privadas de tu vida; sus preferencias, creencias religiosas y pasatiempos; y cualquier servicio
o aplicación de transmisión de video o películas que pueda estar utilizando en sus dispositivos
electrónicos...
2. ¿Cuál fue la posible plataforma que el atacante empleo para llegar a su víctima? Disney Plus, como
publicación sobre la plataforma que analiza una posible decisión de compra de estos servicios, se puede
encontrar en sus perfiles de redes sociales, y en el informe de investigación se menciona que Disney Plus
fue descubierto a través de spam y un correo electrónico que contenía supuesta información de pago.
3. Reorganice la base de datos transaccional para su mejor análisis e interpretación.
Tabla Conglomerados
ID Conglomerado País de origen Sociedad mercantil
C1 Banagricola Panamá SAS
Página3|
Informática Criminológica: Actividad 01
B4 457931 10010100.00100011.01001110.
00011100
B5 5469746 10010100.00100011.01001110.
00011100
B6 5469746 10010100.00100011.01001110.
00011100
B7 5469746 10010100.00100011.01001110.
00011100
B8 5469746 10010100.00100011.01001110.
00011100
Tabla Destino
ID Cuenta Destino
D1 7896256
D2 7886973
Página4|
Informática Criminológica: Actividad 01
D3 7896256
D4 7886973
D5 7886973
D6 7886973
D7 7886973
D8 7886973
Clave
Tabla primaria
País de origen
ID País de origen
P1 Panamá
P2 El Salvador
P3 Suiza
P4 Barbados
P5 Gibraltar
P6 Bermudas
Tabla Moneda de transacción
ID Moneda de transacción
M1 EUR
M2 JPY
Página5|
Informática Criminológica: Actividad 01
M3 CNY
M4 CHF
M5 JOD
Tabla Monto de transacción
ID Monto de transacción
MT1 156786947
MT2 5767057097
MT3 46154265160
MT4 1653210
MT5 65103202661
MT6 51301265125
MT7 1611023065
MT8 51651023894
O2 5469746
IP2 10010100.00100011.01001110.00011100
CD2 7886973
Página6|
Informática Criminológica: Actividad 01
10. Según los datos transaccionales, ¿cuántas operaciones ilegítimas se realizaron? 6 operaciones
11. ¿Cuántas
ilegítim operaciones de desvío de recursos se efectuaron? No hay
12. ¿Cuáles son las cuentas de origen que se deben de investigar? La cuenta 5469746
13. ¿Cuáles son las cuentas de destino que se deben de investigar? La cuenta 7886973
14. ¿Cuál es el conglomerado del cuál se deben de iniciar las primeras intervenciones? Los conglomerados de
Casa Corredora de Bolsa Valores Bangrix y Fondo de Inversiones Atlántida
15. ¿Cuál es la subred que contiene direccionamiento de clase A? SLP01
16. ¿En qué subred, que dispositivo y que dirección IP posee el dispositivo final vulnerado? En la subred
TI, el dispositivo Backup Server, con IP 127.0.0.1
17. ¿Cuál dispositivo final posee una dirección IPv4 que no corresponde a ninguna clase? El de Backup
Server
18. Identifique el dispositivo y la dirección IP del cual se realiza un enrutamiento de flujo propio.
El dispositivo es el Backup Server, la dirección IP es 127.0.0.1
19. ¿Qué se puede concluir del dispositivo del cual se realiza un enrutamiento de flujo proprio? Se puede
concluir que este dispositivo tiene una base de datos, que es donde se almacena
información de respaldo, y que fue el dispositivo vulnerado, ya que de aquí se extrajo la información
crítica en el ataque.
20. ¿Qué tipo de conexión se realizó desde el dispositivo que contenía información crítica? Conexión VPN
21. ¿Cuál es la dirección IP de destino en la que se inició la conexión remota para la carga de
información? La dirección 176.35.89.20
22. ¿Qué dispositivo y en que subred se encuentran aquel que no posee un direccionamiento IP válido? El
dispositivo es el Backup Server y la subred es TI
23. ¿Cuál es el país, ciudad e ISP en la que se deben de iniciar los requerimientos de información para el
desarrollo de la investigación? Brasil, Ciudad Joinville, ISP Murphy UK Network VI.
24. ¿Qué tipo de enmascaramiento utilizó el atacante al publicar el data leak? Función hash
25. ¿Cuál es el texto que refirió el atacante como método de burla en el registro del data leak? “Boss”
REPORTE DE INVESTIGACIÓN
En esta carpeta de investigación, en la ciudad de San Luis Potosí, a 29 de julio de 2023 a las A
las 11:45 p. m., se informó que el troyano Emotet fue identificado en San Luis Corp. Entraba en
el ordenador del usuario para robar información a través de spam y malware. Se ha enviado un
correo electrónico con información de pago. Presuntamente, los datos personales en los que se
centraron los atacantes en esta operación fueron robados de perfiles de Facebook, donde se puede
encontrar información como el nombre de una persona, taza, fotos de familiares, amigos o
parientes; número de amigos en tu red social; lugar de trabajo; lugar de residencia y lugar de
origen; fotos personales de tu vida; gustos, creencias religiosas, aficiones; consumo de servicios
y aplicaciones de streaming de vídeo o películas que pueda utilizar en sus dispositivos
electrónicos. Se especula que la plataforma donde estafaron a la víctima es Disney. Como
resultado del ataque, se desviaron recursos financieros. Digamos que la dirección IP del
dispositivo infectado es 148.35.78.28. Se estima que se han cometido 6 actos ilícitos. Las cuentas
de origen y destino a investigar son 5469746 y 7886973 respectivamente. Los grupos
empresariales investigados son Casa Corredora de Bolsa Valores Bangrix y Fondo de
Inversiones Atlántida. El dispositivo final infectado se encuentra en la subred de TI y es un
dispositivo servidor de respaldo con IP 127.0.0.1. Se puede concluir que el dispositivo cuenta
con una base de datos que almacena información de respaldo y que es el
Página7|
Informática Criminológica: Actividad 01
dispositivo infectado porque fue la información clave en el ataque. El ataque se llevó a cabo a
través de una conexión VPN. La dirección IP de destino para iniciar una conexión remota para
cargar información es 176.35.89.20. El país, ciudad y ISP donde deben
originarse los requerimientos de información para el desarrollo de la investigación es Brasil,
Ciudad de Joinville, ISP Murphy UK Network VI. Los atacantes utilizan máscaras hash para
publicitar las violaciones de datos. Un descifrado SHA256 de la URL de la cebolla reveló que
contenía la palabra "Jefe". Al final de este informe se pueden sugerir las siguientes medidas de
ciberseguridad: Mantener los perfiles de los empleados bajo condiciones definidas y estrictas de
privacidad, no mostrando información personal, fotografías, información sobre amigos, lugar de
trabajo, lugar de residencia u origen, gustos o aficiones. Se recomienda establecer protocolos de
seguridad para los correos electrónicos recibidos o enviados desde la oficina de la empresa, así
como información y cursos de formación sobre spam y malware. Tenga especial cuidado con
información sensible y valiosa, como información de pago o bancaria. También se espera que los
empleados comprendan qué es la web oscura, quiénes son sus usuarios y cómo protegerse de los
ciberdelincuentes que operan en esas redes. El propósito de enviar el informe de investigación
anterior es prevenir nuevos ataques y fortalecer la seguridad de San Luis Corp.
Página8|