SOC250 - APT35 HyperScrape Data Exfiltration Tool Detected - EventID: 212 (English and Español)

Walktrough - Guia Paso a paso

Hello, my name is Pachy, and this is the first of several walkthroughs that I will be posting on this blog. I’m doing this in both English and Spanish to make it easier for those who only speak Spanish. Although I know that many Spanish speakers are familiar with English terms and technological concepts, I believe that having it in Spanish might make it easier to understand overall.

Hola, mi nombre es Pachy y este es el primero de varios walkthroughs que iré publicando en este blog. Lo estoy haciendo en inglés y en español para facilitar el acceso a aquellas personas que solo hablan español. Aunque sé que muchos de los que hablan únicamente español comprenden palabras y conceptos tecnológicos en inglés, creo que al estar en español podría ser más fácil de entender en general.

Alert Details - Detalles de la Alerta

The first thing I do is understand the alert to determine what I need to investigate. Usually, the alert provides very good clues about where to focus your attention.

Lo primero que hago es entender la alerta para saber de qué se trata lo que debo buscar. Por lo general, la alerta te da muy buenas pistas sobre dónde enfocarte.

The alert states: "As of August 2022, APT35 aka Charming Kitten was observed using a new tool called Hyperscrape to extract emails from their victims' mailboxes."   I did some research on Hyperscrape and found this article from FORBES (https://www.forbes.com/sites/daveywinder/2022/08/23/gmail-hacked-google-says-new-attack-can-read-all-email-messages/).   The most important point to highlight about HYPERSCRAPE is that it is a data exfiltration tool used by the APT35 group, also known as Charming Kitten, to steal emails from their victims' inboxes.   HYPERSCRAPE operates by masquerading as an old, outdated web browser, which allows it to view mailboxes in a basic HTML format. This enables it to download emails one by one, and once the process is complete, it marks the emails as unread and deletes any Google security messages or warnings, leaving few visible traces for the victim. It was first detected in 2021, but its oldest known attacks date back to 2020.   In summary: HYPERSCRAPE is a tool designed to extract emails without the user's knowledge, making it particularly dangerous due to its ability to operate stealthily and effectively.

La alerta menciona: "Desde agosto de 2022, se observó que APT35, también conocido como Charming Kitten, utilizaba una nueva herramienta llamada Hyperscrape para extraer correos electrónicos de los buzones de sus víctimas."   Hice un poco de investigación sobre Hyperscrape y encontré este artículo de FORBES (https://www.forbes.com/sites/daveywinder/2022/08/23/gmail-hacked-google-says-new-attack-can-read-all-email-messages/).     Lo más importante que debemos destacar sobre HYPERSCRAPE es que se trata de una herramienta de exfiltración de datos utilizada por el grupo APT35, también conocido como Charming Kitten, para robar correos electrónicos de las bandejas de entrada de sus víctimas. HYPERSCRAPE funciona haciéndose pasar por un navegador web antiguo y desactualizado, lo que le permite ver los buzones de correo en una vista básica de HTML. Esto le permite descargar los correos electrónicos uno a uno y, una vez finalizado el proceso, marcar los correos como no leídos y eliminar cualquier mensaje o advertencia de seguridad de Google, dejando pocas pistas visibles para la víctima. Fue detectada por primera vez en 2021, pero se cree que sus ataques más antiguos datan de 2020.   En resumen: HYPERSCRAPE es una herramienta diseñada para extraer correos electrónicos sin que el usuario se dé cuenta, lo que hace que sea especialmente peligrosa por su capacidad de operar de manera sigilosa y eficaz.

Case Analysis - Análisis del Caso

 

After taking ownership of the alert, we proceed to create a case. This step is crucial as it allows us to formalize the investigation, record all relevant details, and coordinate the necessary actions to mitigate the risk. When creating a case, we document the nature of the incident, the evidence collected, the steps to be taken, and assign responsibilities to the response team. This process ensures that the incident is handled in an organized and efficient manner, ensuring that no critical part of the investigation is overlooked.

Luego de habernos adueñado de la alerta, procedemos a crear un caso. Este paso es crucial, ya que nos permite formalizar la investigación, registrar todos los detalles pertinentes, y coordinar las acciones necesarias para mitigar el riesgo. Al crear un caso, documentamos la naturaleza del incidente, las evidencias recolectadas, los pasos a seguir y asignamos responsabilidades al equipo de respuesta. Este proceso asegura que el incidente sea manejado de manera organizada y eficiente, garantizando que ninguna parte crítica de la investigación quede sin atender.

Incident Details - Detalles del Incidente

Verify - Verificar

Verificar

Las alarmas escaladas de Tier 1 a Tier 2 deben ser causadas por un evento realmente dañino, pero las alarmas escaladas por los analistas de Tier 1 no siempre son verdaderos positivos debido a la falta de competencia técnica, análisis defectuosos/incompletos y problemas de autorización. Antes de iniciar los procesos de Respuesta a Incidentes, por favor verifique que la alarma del analista de Tier 1 fue causada por una actividad maliciosa.

Basically, I focus on the Trigger Reason which states: "Unusual or suspicious patterns of behavior linked to the hash have been identified, indicating potential malicious intent." After that, I check the provided hash in VirusTotal and/or Hybrid Analysis to gather more information about its reputation and behavior.   HASH: cd2ba296828660ecd07a36e8931b851dad0802069ed926b3161745aae9aa6daa

Básicamente, me fijo en la Razón del Disparador que dice: "Se han identificado patrones inusuales o sospechosos asociados con el hash, lo que indica una posible intención maliciosa." Después de eso, reviso el hash proporcionado en VirusTotal y/o Hybrid Analysis para obtener más información sobre su reputación y comportamiento.   HASH: cd2ba296828660ecd07a36e8931b851dad0802069ed926b3161745aae9aa6daa

Virus Total

Hybrid Analysis

After checking the hash in VirusTotal and Hybrid Analysis, we can definitely confirm that there is something wrong with the detected file. Moreover, in the Behaviour section on VirusTotal, we can see that some IDS have already identified that hash as the Hyperscrape tool used by Charming Kitten.

Luego de buscar el hash en VirusTotal y Hybrid Analysis, definitivamente podemos decir que hay algo malo con el archivo detectado. Incluso, vemos en la sección de Comportamiento en VirusTotal, que algunos IDS ya han detectado ese hash como el Hyperscrape de Charming Kitten.

Identify potential reconnaissance activity on the network - Identificar actividad de reconocimiento potencial en la red

Identificar actividad de reconocimiento potencial en la red

El reconocimiento es una fase importante de un ataque donde el atacante recopila información sobre el sistema objetivo y la red. Este playbook tiene como objetivo identificar actividad de reconocimiento potencial.

I reviewed the logs in Let's Defend and noticed some suspicious activities on December 26, 2023, and other days. However, we must remember that this is a fictitious scenario, and Let's Defend is filled with suspicious activities related to other cases. Therefore, I will not consider those alerts.   That said, when performing a general search of the activities of the destination IP 172.16.17.72, I found that this IP was linked to two IPs listed in the Hyperscrape IOCs (https://blog.google/threat-analysis-group/new-iranian-apt-data-extraction-tool/): 136.243.108.14 173.209.51.54

Hago algunas revisiones en los logs de Let's Defend y realmente se observan actividades sospechosas para el 26 de diciembre de 2023 y otros días. Pero en este caso, debemos recordar que es un escenario ficticio, y Let's Defend está lleno de actividades sospechosas que corresponden a otros casos. Por lo tanto, no voy a tomar en cuenta esas alertas.   Sin embargo, al hacer una búsqueda general de las actividades de la IP de destino 172.16.17.72, veo que esta IP tuvo relación con dos IPs que se encuentran en los IOC de Hyperscrape (https://blog.google/threat-analysis-group/new-iranian-apt-data-extraction-tool/): 136.243.108.14 173.209.51.54

Upon reviewing the log for IP 173.209.51.54, it is evident that this IP connected remotely to 172.16.17.72 using the Arthur account. This indicates that the username and password were already compromised in some way.

Al revisar el log de la IP 173.209.51.54, se observa que esta IP se conectó de manera remota a la 172.16.17.72 utilizando el usuario Arthur. Esto sugiere que las credenciales de usuario ya estaban comprometidas de alguna manera.

When I checked the log for IP 136.243.108.14, I found that the process initiating this connection is EmailDownloader.exe, and it is a connection to port 80 (http). This also aligns with what is documented in the Behaviour section in VirusTotal, which indicates that the tool makes HTTP requests to this address, which appears to be the Command and Control (C2) server.

Al revisar el log de la IP 136.243.108.14, podemos ver que el proceso que ocasiona esta conexión es EmailDownloader.exe y que es una conexión al puerto 80 (http). Esto también coincide con lo documentado en la sección de Comportamiento en VirusTotal, donde se indica que la herramienta realiza solicitudes http a esta dirección, la cual parece ser el servidor de Comando y Control (C2).

This log shows that the user "Arthur" accessed their mailbox from the IP address 172.16.17.72 using Outlook Web Access (OWA) through a proxy. During this session, several emails were downloaded from the "Inbox" folder. The operation was successful, meaning the emails were downloaded without any issues. Given the context of the suspicious activities we've analyzed, this operation could be related to email exfiltration using malicious tools like Hyperscrape. The connection was made from 172.16.17.72 to 172.16.20.3, which appears to be the Exchange server.

Este log muestra que el usuario "Arthur" accedió a su buzón de correo desde la dirección IP 172.16.17.72 utilizando Outlook Web Access (OWA) a través de un proxy. Durante esta sesión, se descargaron varios correos electrónicos desde la carpeta "Inbox". La operación fue exitosa, lo que significa que los correos fueron descargados sin problemas. Dado el contexto de las actividades sospechosas que hemos analizado, esta operación podría estar relacionada con la exfiltración de correos electrónicos utilizando herramientas maliciosas como Hyperscrape. La conexión fue hecha desde la 172.16.17.172 a la 172.16.20.3, que aparenta ser el servidor de Exhange.

Check Alert Details at the Investigation Channel - Revisar los Detalles de la Alerta en el Canal de Investigación

Revisar los Detalles de la Alerta en el Canal de Investigación
Identifica las fuentes de logs relevantes que deben ser analizadas para la actividad de descubrimiento (por ejemplo, firewall, proxy, evento, sysmon, etc.). Las verificaciones pueden realizarse en la página de 'Gestión de Logs' para búsquedas relacionadas.

Basically, we already did this in the previous step. This is where we determined that both IPs: 136.243.108.14 and 173.209.51.54 are IOCs related to the Hyperscrape tool, and that communication has been established with the IP 136.243.108.14.

Básicamente, ya hicimos eso en el paso anterior. Aquí fue donde determinamos que tanto las IPs: 136.243.108.14 y 173.209.51.54 son IOCs de la herramienta Hyperscrape y que se ha establecido comunicación con la IP 136.243.108.14.

Check Alert Details at the Investigation Channel - Revisar los Detalles de la Alerta en el Canal de Investigación

Revisar los Detalles de la Alerta en el Canal de Investigación

Busca cualquier solicitud de nombre de dominio inusual o sospechosa. Revisa cualquier solicitud HTTP inusual o sospechosa. Busca cualquier solicitud DNS inusual o sospechosa. Para información relacionada con phishing, verifica la seguridad del correo electrónico. Puedes revisar la Seguridad del Endpoint y la Seguridad del Correo Electrónico para búsquedas relacionadas.

Email Security

At first glance, I don’t see any emails that might be relevant to the case.

A simple vista, no encuentro ningún correo que pueda ser relevante para el caso.

Endpoint Security

Here we can see the different processes that were executed on the endpoint 172.16.17.72. We observe multiple logon sessions, indicated by the repeated execution of the winlogon.exe process, suggesting multiple user sessions. Additionally, we can confirm that the EmailDownloader.exe process was running on the system, which aligns with the alert received and the potential malicious activity associated with this process.

Aquí podemos ver los distintos procesos que se ejecutaron en el endpoint 172.16.17.72. Observamos varios inicios de sesión, representados por la ejecución repetida del proceso winlogon.exe, lo que indica múltiples sesiones de usuario. Además, podemos confirmar que el proceso EmailDownloader.exe se estaba ejecutando en el sistema, lo cual es coherente con la alerta recibida y con la posible actividad maliciosa vinculada a este proceso.

The file EmailDownloader.exe was executed at 11:21:37 on December 27, 2023. The process was initiated by the user "Arthur" through the parent process explorer.exe, which is commonly used to start programs in the Windows environment when files or shortcuts are clicked.   However, it is important to note that a remote connection was previously observed using the "Arthur" user account, suggesting that this user's credentials had already been compromised. This remote access may have been used to manually launch the EmailDownloader.exe process, either intentionally by an attacker or as a result of an automated action following the connection.

El archivo EmailDownloader.exe fue ejecutado a las 11:21:37 del 27 de diciembre de 2023. El proceso fue iniciado por el usuario "Arthur" a través del proceso padre explorer.exe, que es comúnmente utilizado para iniciar programas en el entorno de Windows cuando se hacen clics en archivos o accesos directos.   Sin embargo, es importante destacar que previamente se observó una conexión remota realizada al sistema utilizando el usuario "Arthur", lo que sugiere que las credenciales de este usuario ya estaban comprometidas. Este acceso remoto pudo haber sido utilizado para lanzar manualmente el proceso EmailDownloader.exe, ya sea intencionalmente por un atacante o como resultado de una acción automatizada posterior a la conexión.

In the Network Action section, we can also see that there were connections to the two suspicious IPs: 173.209.51.54 and 136.243.108.14. These connections match the IP addresses previously identified as potentially malicious, which supports the hypothesis that the system has been compromised and is communicating with attacker-controlled servers.

En la sección de Network Action, también podemos observar que hubo conexiones a las dos IPs sospechosas: 173.209.51.54 y 136.243.108.14. Estas conexiones coinciden con las direcciones IP previamente identificadas como potencialmente maliciosas, lo que refuerza la hipótesis de que el sistema ha sido comprometido y está comunicándose con servidores controlados por los atacantes.

Determine the Type of Reconnaissance - Determinar el tipo de Reconocimiento

Determinar el Tipo de Reconocimiento

Como resultado del análisis realizado a través del análisis de Seguridad de Endpoint, ¿con cuál técnica de reconocimiento coincide el ataque?

• Escaneo Activo 
• Recopilar Información del Host de la Víctima
• Recopilar Información de Identidad de la Víctima
• Recopilar Información de la Red de la Víctima
• Recopilar Información de la Organización de la Víctima
• Otro
• Phishing para Obtener Información

Given that emails were downloaded from "Arthur's" mailbox, the reconnaissance technique that best matches this attack would be "Gather Victim Identity Information."   The downloading of emails suggests that the attacker was seeking to obtain sensitive or personal information related to the victim's identity, which could include confidential details, credentials, private communications, and other valuable data stored in the victim's email.

Dado que se descargaron correos electrónicos desde el buzón de "Arthur", la técnica de reconocimiento que mejor coincide con este ataque sería "Recopilar Información de Identidad de la Víctima".   La descarga de correos electrónicos sugiere que el atacante estaba buscando obtener información sensible o personal relacionada con la identidad de la víctima, que podría incluir detalles confidenciales, credenciales, comunicaciones privadas, y otros datos valiosos que residen en el correo electrónico de la víctima.

Completing the rest of the Playbook - Completando el resto del Playbook

Análisis de la IP del Atacante

El atacante que realiza la actividad de reconocimiento puede ser detectado a partir de los logs en la Gestión de Logs de IP. ¿La IP del atacante es interna o externa?

The correct answer is "External" because, in the previous analyses, it was identified that the IPs involved in the suspicious activities, such as the downloading of emails and communication with possible Command and Control (C2) servers, were external IPs. For instance, the IPs 173.209.51.54 and 136.243.108.14 are external to the internal network, indicating that the attack originated from outside the organization's network.

La respuesta correcta es "Externa" porque, en los análisis previos, se identificó que las IPs involucradas en las actividades sospechosas, como la descarga de correos electrónicos y la comunicación con posibles servidores de Comando y Control (C2), eran IPs externas. Por ejemplo, las IPs 173.209.51.54 y 136.243.108.14 son IPs externas a la red interna, lo que indica que el ataque fue originado desde fuera de la red de la organización.

Verificación de Reputación de la IP

Realiza una verificación de la reputación de la dirección IP del atacante. Puedes utilizar los siguientes recursos para esto:

• Virus Total
• AbuseIPDB
• LetsDefend TI

¿La IP del atacante es sospechosa o no?

The correct answer is "Yes" because, after conducting the search on VirusTotal and Hybrid Analysis for the IPs associated with suspicious activities, it was found that these IPs (such as 173.209.51.54 and 136.243.108.14) have a bad reputation and are linked to malicious activities. Additionally, these IPs are mentioned in a Google blog about the data extraction tool used by the Iranian APT group, confirming that they are indeed suspicious and associated with the Hyperscrape tool.

La respuesta correcta es "Sí" porque, al realizar la búsqueda en VirusTotal y Hybrid Analysis de las IPs asociadas con las actividades sospechosas, se encontró que estas IPs (como 173.209.51.54 y 136.243.108.14) tienen una mala reputación y están vinculadas a actividades maliciosas. Además, estas IPs están mencionadas en un blog de Google sobre la herramienta de exfiltración de datos utilizada por el grupo APT iraní, lo que confirma que son IPs sospechosas y están asociadas con la herramienta Hyperscrape.

Determinar el Alcance

Debes encontrar qué sistemas están afectados. Busca en la Seguridad de Endpoint, Gestión de Logs, y Seguridad de Correo Electrónico para los IOCs que encontraste durante tu investigación. ¿Hay más de un dispositivo afectado?

In this case, the answer is "No." So far, all the evidence indicates that only one device, the endpoint with the IP address 172.16.17.72, has been affected by the malicious activity. There is no evidence suggesting that other devices within the network are compromised or have been impacted by the same attack.

En este caso, la respuesta es "No". Hasta el momento, toda la evidencia indica que solo un dispositivo, el endpoint con la dirección IP 172.16.17.72, ha sido afectado por la actividad maliciosa. No se ha encontrado ninguna otra evidencia que sugiera que otros dispositivos dentro de la red estén comprometidos o que hayan sido afectados por el mismo ataque.

Contención

Los sistemas expuestos a un ciberataque deben ser aislados y el efecto del ciberataque debe ser reducido. ¿Es necesario aislar el dispositivo?

The answer is "Yes." Since the device identified with IP 172.16.17.72 has been involved in malicious activities, including downloading emails and communicating with suspicious servers, it is crucial to isolate this device to prevent the attack from spreading and to mitigate any further damage. Isolating the device is a preventive measure that helps contain the threat and protect other assets on the network.

La respuesta es "Sí". Dado que el dispositivo identificado con la IP 172.16.17.72  ha estado involucrado en actividades maliciosas, incluida la descarga de correos electrónicos y la comunicación con servidores sospechosos, es crucial aislar este dispositivo para evitar que el ataque se propague y para mitigar cualquier daño adicional. El aislamiento del dispositivo es una medida preventiva que ayuda a contener la amenaza y a proteger otros activos en la red.

Lección Aprendida

• ¿Cómo ocurrió el ciberataque?
• ¿Qué tan bien actuaron el personal y la gerencia al lidiar con el incidente?
• ¿Qué harían de manera diferente el personal y la gerencia la próxima vez que ocurra un incidente similar?
• ¿Qué acciones correctivas pueden prevenir incidentes similares en el futuro?
• ¿Qué precursores o indicadores deberían vigilarse en el futuro para detectar incidentes similares?

How did the cyber attack happen? The cyberattack occurred when the credentials of the user "Arthur" were compromised, allowing an attacker to remotely connect to the system and execute a malicious file called EmailDownloader.exe. This process was used to download emails from Arthur's account, and the machine established connections with suspicious servers.   How well did staff and management perform in dealing with the incident? The staff acted effectively by detecting the malicious activity, analyzing the logs, and determining that only one device was compromised. Management supported the decision (I am making this up) to isolate the affected device, which helped contain the attack and prevent its spread.   What would the staff and management do differently the next time a similar incident occurs? The staff and management could implement proactive measures, such as regular security log reviews and stricter monitoring of remote connections. They could also strengthen security policies related to password usage and multi-factor authentication.   What corrective actions can prevent similar incidents in the future? Implement multi-factor authentication for all accounts, conduct regular security audits, educate staff on password hygiene, and continuously monitor network connections for unusual activities.   What precursors or indicators should be watched for in the future to detect similar incidents? Monitor unusual remote login activities, detect processes running from unusual locations, set alerts for communication with suspicious IPs, and watch for changes in email security settings.

¿Cómo ocurrió el ciberataque? El ciberataque ocurrió cuando las credenciales del usuario "Arthur" fueron comprometidas, permitiendo que un atacante se conectara remotamente al sistema y ejecutara un archivo malicioso llamado EmailDownloader.exe. Este proceso fue utilizado para descargar correos electrónicos desde la cuenta de Arthur, y la máquina estableció conexiones con servidores sospechosos.   ¿Qué tan bien actuaron el personal y la gerencia al lidiar con el incidente? El personal actuó de manera efectiva al detectar la actividad maliciosa, analizar los logs y determinar que solo un dispositivo estaba comprometido. La gerencia (me estoy inventando esto) apoyó la decisión de aislar el dispositivo afectado, lo que ayudó a contener el ataque y prevenir su propagación.   ¿Qué harían de manera diferente el personal y la gerencia la próxima vez que ocurra un incidente similar? El personal y la gerencia podrían implementar medidas proactivas, como la revisión regular de logs de seguridad y un monitoreo más estricto de las conexiones remotas. También podrían reforzar las políticas de seguridad relacionadas con el uso de contraseñas y la autenticación multifactor.   ¿Qué acciones correctivas pueden prevenir incidentes similares en el futuro? Implementar autenticación multifactor para todas las cuentas, realizar auditorías de seguridad regulares, educar al personal sobre la importancia de la higiene de las contraseñas, y monitorear de manera continua las conexiones de red para detectar actividades inusuales.   ¿Qué precursores o indicadores deberían vigilarse en el futuro para detectar incidentes similares? Monitorear actividades de inicio de sesión remoto inusuales, detección de procesos ejecutándose desde ubicaciones inusuales, alertas de comunicación con IPs sospechosas, y cambios en la configuración de seguridad del correo electrónico.

These are some of the detected artifacts

Estos son algunos de los artefactos encontrados.

During the investigation, it was determined that the credentials of the user "Arthur" were compromised, allowing a remote attacker to execute the malicious EmailDownloader.exe file from the endpoint with IP 172.16.17.72. This file established communications with two suspicious IPs (173.209.51.54 and 136.243.108.14), which are associated with the Hyperscrape data exfiltration tool used by the APT35 group. As a result of these actions, several emails were downloaded from Arthur's mailbox. It is crucial to isolate the affected device to prevent the attack from spreading and to conduct a thorough analysis to ensure that no other systems are compromised. Additionally, it is recommended to implement further security measures, such as multi-factor authentication, and to reinforce remote access policies to prevent similar incidents in the future.

Durante la investigación, se determinó que las credenciales del usuario "Arthur" fueron comprometidas, permitiendo a un atacante remoto ejecutar el archivo malicioso EmailDownloader.exe desde el endpoint con la IP 172.16.17.72. Este archivo estableció comunicaciones con dos IPs sospechosas (173.209.51.54 y 136.243.108.14), que están asociadas con la herramienta de exfiltración de datos Hyperscrape utilizada por el grupo APT35. Como resultado de estas acciones, varios correos electrónicos fueron descargados del buzón de Arthur. Es crucial aislar el dispositivo afectado para prevenir la propagación del ataque y realizar un análisis exhaustivo para asegurar que no haya otros sistemas comprometidos. Además, se recomienda implementar medidas de seguridad adicionales, como autenticación multifactor, y reforzar las políticas de acceso remoto para prevenir futuros incidentes similares.

The alert has been confirmed as a True Positive. During the investigation, it was identified that the credentials of the user "Arthur" were compromised, allowing for the remote execution of the malicious EmailDownloader.exe file. This file communicated with suspicious IPs associated with the Hyperscrape exfiltration tool used by the APT35 group. Additionally, unauthorized downloading of emails from the compromised user's mailbox was detected. The affected device has been isolated to mitigate risk, and additional measures have been recommended to enhance security and prevent similar incidents in the future.

La alerta ha sido confirmada como un True Positive. Durante la investigación, se identificó que las credenciales del usuario "Arthur" fueron comprometidas, permitiendo la ejecución remota del archivo malicioso EmailDownloader.exe. Este archivo se comunicó con IPs sospechosas asociadas con la herramienta de exfiltración Hyperscrape utilizada por el grupo APT35. Además, se detectó la descarga no autorizada de correos electrónicos desde el buzón del usuario comprometido. El dispositivo afectado ha sido aislado para mitigar el riesgo, y se recomendaron medidas adicionales para mejorar la seguridad y prevenir futuros incidentes similares.