Harvest SAS, una compañía de fintech francesa líder especializada en software de gestión de patrimonio, ahora ha sido víctima de ataques sofisticados de ransomware.
El ataque de ransomware se detectó por primera vez el 27 de febrero de 2025, pero la cosecha publicó el incidente el 10 de abril de 2025, describiéndolo como un “incidente cibernético” que afecta los sistemas internos.
Poco después del anuncio, el Grupo de Ransomware se afirmó la responsabilidad a través de los sitios de fuga web oscuro, publicando archivos robados de muestras, confirmando violaciones.
Capturas de pantalla de publicaciones ejecutando varias publicaciones de productos relacionadas con la filtración de la cosecha grupal
Tácticas de doble miedo
Según la compañía de ciberseguridad Cybelangel, los atacantes adoptaron la táctica de doble terreno. Tanto los sistemas internos encriptados como eliminaron datos confidenciales para una posible divulgación.
Hoy, el alcance completo de los datos comprometidos se publica ejecutando varios productos a través de uno de sus sitios .donion.
El análisis forense de las estructuras de directorio filtradas revela un amplio compromiso en la infraestructura digital de la cosecha.
Sitio de ransomware de Tor Group
Los especialistas técnicos son 0. identificados múltiples directorios de sistemas comprometidos, incluidos Harverts/, Projets EN Cours/, Agile/y Scrum/Scrum/Scrum/Scrum/Scrum/.
Comptabilité & Paye/, Compta & Dev & Qa & Concection/, Publica registros contables y datos financieros.
En particular, las violaciones de directorios como Clés de Chiffrement BDD/, Clés de Chiffrement Veeam/, KeyyPass/y MDP/, donde MDP/contiene claves de cifrado y bóvedas de contraseña, puede permitir que un atacante aumente el acceso a la red.
Directorio que contiene máquinas: también se han comprometido los activos técnicos que incluyen el aprendizaje profundo/, IA Generic/, SQL Server Management Studio/y Oracle.SQLDegeloper.
Los investigadores de seguridad deben tener en cuenta que es probable que ejecutar algunos productos proporcione acceso inicial a través de vulnerabilidades en la red remota, y los actores de amenaza pueden usar técnicas similares a otros incidentes que utilizan contraseñas débiles para evitar la seguridad de VPN.
Una vez dentro, es posible que haya implementado la herramienta para recopilar información sobre la red de la víctima utilizando comandos como este:
Estos comandos compriman los datos robados antes de la eliminación.
Este ataque ilustra la quinta operación importante que Run Run Run Wiles reclama. A pesar de su reciente aparición, rápidamente estableció un alcance global dirigido a diversos sectores.
Su metodología de ataque sigue los patrones observados en otros grupos de ransomware. Esto incluye el uso cuidadoso de herramientas legítimas del sistema para ejecutar cargas útiles maliciosas.
Con sede en París, Harvest construye una cartera sustancial de plataformas digitales que respalden los sectores de finanzas, bienes raíces y tecnología.
La compañía aún no ha revelado si se ha pagado al rescate o si está trabajando con las autoridades para investigar el caso.
Los expertos en ciberseguridad recomiendan que las organizaciones implementen sistemas de respaldo sólidos, empleen autenticación multifactor y actualicen periódicamente protocolos de seguridad para mitigar ataques similares. Estos ataques han reducido los tiempos de respuesta a incidentes en un 20% cuando existen medidas de seguridad basadas en datos apropiadas.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
