2024: el año de la caída de LockBit, el crash de CrowdStrike y las grandes filtraciones en Argentina
BlackCat (ALPHV), BreachForums, botnets, servicios de TV pirata, y más operativos contra actividades criminales. Repaso por las noticias, temas y conferencias de ciberseguridad del año.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
2024
recap
⚡ TL;DR
Se va el año, que estuvo signado por un denominador común en el mundo del ciberdelito: 2024 fue, quizás, uno de los períodos que más caídas de grupos cibercriminales registró, al menos desde que estos ciberataques empezaron a llenar titulares en medios masivos de comunicación de todo el mundo.
Las dos caídas más grandes fueron, sin dudas, las de LockBit y BlackCat (ALPHV), dos icónicos grupos que supieron dominar la escena del modelo RaaS (Ransomware as a Service) y con ellos la de quienes los distribuían.
Pero también cayeron grupos o asociaciones más nuevas como Scattered Spider (responsables de hackear los casinos de Las Vegas -a pura ingeniería social-), foros clandestinos como BreachForums, y se bajaron grandes botnets como las de Volt Typhoon y Fancy Bear.
En América Latina hubo grandes operativos, con resultados como la detención de la base operativa del troyano bancario Grandoreiro, y otros focalizados en la piratería (como sucedió con Magis TV, en el “Operativo 404”).
Sin embargo, el ransomware siguió operando: todas las semanas, acá mismo en Dark News, reportamos casos tanto locales como regionales e internacionales.
Algo interesante que quisiera destacar en este ecosistema es una suerte de migración en el modelo de negocio, de lo que sería el ransomware puro y duro a focalizar sólo en la parte de la extorsión con la publicación de los datos: el “data extortion”.
A poco tiempo del takedown de BlackCat hablé con Mauro Eldritch, una de las fuentes que mejor se mueve en el mundo del underground y lo conoce de primera mano. “El escenario de amenazas del ransomware está cambiando”, me había advertido:
Con el incidente que enfrentó Lockbit durante la Operación Cronos, y los problemas internos que surgieron en ALPHV / BlackCat tras el exit-scam con un rescate de 20 millones de dólares, muchos afiliados decidieron -algunos por su seguridad operativa, otros por su seguridad monetaria- cambiar de rumbos. Algunos comenzaron nuevos proyectos, que son los que vemos surgir hoy de la nada y sin historia previa reclamando víctimas importantes y exigiendo rescates significativos. Otros migraron a modelos como el Data Extortion donde no hay exactamente encriptación pero sí exfiltración de datos. Esto permite permanecer bajo el radar mucho más tiempo en la infraestructura, sifonear más datos y generar lotes más segmentados para públicos y compradores específicos, u ofrecer el acceso a competidos o demás interesados, maximizando el daño.
De alguna manera, estas derivas del mundo del ransomware se pudieron ver en distintos casos que ocurrieron durante la segunda mitad de 2024: el mes pasado, Check Point Research publicó un reporte titulado Ransomware’s Evolving Threat: The Rise of RansomHub, Decline of Lockbit, and the New Era of Data Extortion.
Allí se corrobora esta idea:
El ransomware sigue siendo la amenaza más frecuente y los grupos delictivos con motivaciones económicas despliegan tácticas cada vez más sofisticadas, como los modelos de ransomware como servicio (RaaS) y la doble extorsión.
Sin ir más lejos, luego del hackeo del software de transferencia de archivos Cleo, el grupo Cl0p empezó a extorsionar a 66 compañías que usan el servicio esta semana. Allí no hubo rastros de cifrado de datos. Fueron directamente a la extorsión con la publicación.
En el plano regional, América Latina siguió evidenciando casos de ransomware, pero en Argentina ocurrieron una serie de filtraciones de datos personales que comenzaron con fotos de licencias de conducir y terminaron con una base de datos inmensa del Registro Nacional de las Personas. Hubo pedidos de explicaciones y discusiones sobre la ley de protección de datos, que no llegaron a buen puerto.
CrowdStrike marcó, sin lugar a dudas, el outage del año: una empresa de ciberseguridad que impactó en sistemas Windows de todo el mundo, dejando inoperativos bancos, aeropuertos y otras industrias. Esta vez, Microsoft no tuvo la culpa aunque sí pagó el precio de ser (demasiado) grande.
Recapitulando, pasaron muchas más cosas: este posteo funciona como repaso, como archivo y también como un muestreo del trabajo que semana a semana se hace en esta publicación, en relación a las noticias y conceptos del mundo de la ciberseguridad.
Se puede cliquear en cada tema para ir al posteo original.
En cuanto a Dark News, fue un año intenso, con 58 publicaciones, coberturas de conferencias internacionales como Black Hat y DEF CON, otras nacionales como Nerdearla y Ekoparty, nuevos contactos, aprendizajes, fuentes y, sobre todo, conversaciones significativas.
Gracias por leer.
Hasta 2025.
⏰ Substack dice que leer este correo completo lleva 16 minutos
Dark News #120
🎄 El newsletter sale el próximo domingo con una entrevista y entra en un receso hasta el viernes 10 de enero. Una pista sobre el último contenido de 2024:
Enero
Febrero
Marzo
Abril
Mayo
Junio
Julio
Agosto
Septiembre
Octubre
Noviembre
Diciembre
Conferencias: Black Hat USA 2024, DEF CON 32, Ekoparty
Bonus (fuera de agenda)
🔓 Breaches y hacks
Hackean la el store de la Agencia Espacial Europea y roban medios de pago
El FBI conecta un robo de 308 millones de dólares en cripto a hackers norcoreanos
Hackean Japan Airlines
🔒 Ransomware
Akira anuncia al diario Río Negro como víctima
Acusan a un ciudadano ruso-isrealí como el desarrollador de LockBit mientras el grupo anuncia la versión 4.0
Arrestan a un miembro de Netwalker, el grupo que hackeó Migraciones de Argentina en 2020
💣 Exploits y malware
Nuevo infostealer detectado: NunuStealer
The Apache Foundation lanzó un update de seguridad para una inyección SQL en Apache Traffic Control CDN
Un bug en Windows 11 causa una falla de seguridad en los updates
🔍 Threat intel
Chainalysis dice que hackers norcoreanos robaron 1.3 mil millones en criptoactivos en 2024
BellaCPP, una variante del malware BellaCiao en C++
Conectan el robo de 308 millones de dólares en criptomonedas por actores norcoreanos
🛠️ Tools y updates
Microsoft arregla un bug en Office 365 que desactivaba cuentas
Apache parchea el bypass de RCE en Tomcat
Un update en Cybertruck brickea los automóviles
📋 Privacidad y regulaciones
La FTC les ordena a Marriot y Starwood que implementen una política de datos estricta
La Justicia falla a favor de WhatsApp en un litigio con NSO Group
Tor Project trabaja en una integración más amplia con otros servicios
Este newsletter fue escrito por un humano. Para cualquier comentario, corrección o sugerencia de cobertura de temas, podés responder este mail. Se acepta (y agradece) todo tipo de feedback.