"Decidí irme para siempre": se retira un histórico del cibercrimen
Un afiliado clave del ransomware deja el negocio, desarticulan el foro de compra y venta de datos Genesis, hackean al fútbol holandés y la Superintendencia.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
31 mar
>7 abr
🕵 Se retiró un conocido afiliado de ransomware
Bassterlord, uno de los afiliados más famosos del mundo del ransomware, anunció su retiro la semana pasada.
Se trata de un peso pesado muy conocido en la escena de Europa del Este que anunció que dejaría su legado en manos de un subgrupo dentro de LockBit -el cártel con el que venía trabajando- llamado “National Hazard Agency”. Esto dijo en Tox:
“Después de pensarlo, decidí irme para siempre, dejando a un equipo a cargo. Ellos trabajarán en el viejo panel por ahora, en tanto sin mí los pagos serán menores […]. Dejo a mi gente de confianza, entrenada por mí […]. Destruiré la máquina virtual y quemaré los equipos. Fue un placer trabajar con gente tan seria”
Para entender el modelo bajo el cual operan los grupos de ransomware es fundamental recordar qué es un “afiliado” o partner, un engranaje clave de lo que se conoce como RaaS: Ransomware As a Service.
Arturo Torres, analista de inteligencia contra amenazas para FortiGuard Labs para Latinoamérica y el Caribe, explica:
“Las bandas que tienen esta modalidad ponen a la venta su código malicioso. Esto, generalmente es a través de la dark web: allí venden su programa para encriptar y buscan a quien lo despliegue. El partner o afiliado puede ser un empleado de la empresa atacada, o alguien que compró el servicio para depositarlo en una víctima, porque tiene acceso privilegiado"
Brett Callow, analista de amenazas de Emsisoft, arrojó a SecOps algunas pistas sobre qué implicaría el retiro de Bassterlord:
"Bassterlord es un actor de amenazas rusófono conectado con múltiples operaciones de ransomware, incluyendo LockBit y REvil. Aunque es uno de los más conocidos, su retirada -si es que se retira- no tendrá un impacto real en el panorama de las amenazas"
En 2021 se le atribuían más de 1.500 compañías comprometidas, e incluso atribuye uno de los hackeos a Rockstar Games, desarrolladora de Grand Theft Auto y Red Dead Redemption, dos pesos pesados del mundo de los videojuegos.
En una entrevista a un conocido foro ruso (XSS) recuperada por la cuenta Bank Security en 2021, Bassterlord contó algunas de sus TTPs (tácticas, técnicas y procedimientos de ataque). Allí contó que trabajó con REvil, Ransomex y Abbadon, pero que la más frecuente era LockBit.
Bassterlord vivirá -o intentará vivir-, ahora, una vida normal.
👮 Desarticulan Genesis, un importante foro hacker
El FBI, la Policía de Países Bajos y Europol desarticularon esta semana un importante foro de compra y venta de datos personales: Genesis.
"Se trata de la mayor operación de este tipo. No sólo perseguimos a los administradores o desmantelamos los sitios, sino que cazamos a los usuarios a escala mundial", aseguró uno de los encargados del operativo.
Se trata del segundo gran golpe del año a sitios que trafican información robada, luego del cierre de Breached y la detención de Pompompurin, su histórico administrador.
Los números que dejó el cierre de Genesis son sustanciales:
119 detenciones
208 allanamientos
17 países involucrados
La cantidad de información incautada sería altísima: más de dos millones de identidades a nivel mundial.
SecOps contactó al analista de amenazas Mauro Eldritch (BCA LTD) para entender más sobre Genesis:
“Genesis Market es diferente de la mayoría de los foros existentes. Se especializa en la venta de credenciales y lotes de información robada -como la obtenida por stealers: datos de autorelleno de formularios, logins guardados, cookies, huellas del navegador- pero también es un lugar habitual donde encontrar IABs (‘Initial Access Brokers’, vendedores de acceso inicial, aquellos que venden ingresos a compañías y organismos usualmente utilizados en etapas iniciales de ataques más complejos)”
Un dato particular de este foro es la incidencia reputacional: para entrar había que ser invitado por otro usuario.
Además, el sitio contaba con “un e-commerce normal con carro de compra, pagos en BTC, Wiki e incluso un buscador que logra una granularidad muy particular, convirtiendo la plataforma en una especie Shodan de datos robados, donde el usuario puede filtrar su búsqueda por país, tipo de industria y otros aspectos”, agrega el experto.
El caso terminó en un Centro de Control en La Haya y la Policía de Países bajos abrió un sitio para chequear datos filtrados (como funcionan Have I Been Pwnd y MeFiltraron, pero focalizado en este foro en particular).
El sitio fue parcialmente desmantelado, ya que desapareció de la “clearnet” (la parte de internet accesible a cualquier usuario) pero sigue online en la dark web:
🪟 OneNote ya es un dolor de cabeza enorme en Windows
OneNote es la aplicación de Windows para tomar notas. Algo tan simple como tener a mano un post-it virtual, del tipo Keep de Google o Notes de Apple. Y, sin embargo, es un arma para ciberdelincuentes.
Diversas compañías de seguridad advirtieron sobre las vulnerabilidades que tiene esta aplicación y de como los desarrolladores de malware la aprovechan para depositar allí archivos incrustados que hacen el deploy de un programa malicioso.
Ahora, Microsoft anunció de manera oficial que bloqueará la posibilidad de abrir archivos desde OneNote a partir del mes corriente (abril). Algo similar a lo que ya hizo en Outlook con 120 extensiones de archivos que considera potencialmente peligrosas.
🔌 La Superintendencia de Seguros de la Nación desconecta los sistemas
El lunes de esta semana la Superintendencia de Seguros de la Nación (SSN) de Argentina, autoridad de aplicación de las leyes de Seguros y de los Aseguradores y su control, sufrió un incidente en sus sistemas. Explicaron:
“Los sistemas informáticos del organismo se encuentran fuera de servicio de forma momentánea. Esto se debe a eventos recientes vinculados con la seguridad informática”
Diversas fuentes vinculadas a la entidad, como empresas de seguros, aseguraron no poder realizar gestiones e ingresar al sistema.
El impacto para los usuarios tiene que ver con las aplicaciones Mi Argentina y Mi Seguro, que no muestran ningún certificado. Esto es un problema porque sucede justo durante un fin de semana largo y muchos usuarios tienen su documentación en formato digital. Por esto, desde el organismo advirtieron tener todo en físico.
La SSN también maneja el Sistema Integrado de Jubilaciones y Pensiones y de Riesgos del Trabajo.
🤖 ChatGPT como arma: tres usos más comunes
Con la inteligencia artificial (IA) en el centro de la escena pública, diversos tipos de estafas aparecieron de la mano de ChatGPT, el bot que responde como si fuera un humano a cualquier situación conversacional.
Bypassear sus restricciones para escribir malware, como contamos, es uno de los peligros más extendidos. Como toda herramienta tech masiva, ChatGPT incrementó la superficie de ataque.
Alejandro Botter, Gerente de Ingeniería de Check Point para el sur de Latinoamérica, destacó 3 usos que están haciendo los ciberatacantes:
En foros clandestinos de la Dark Web, los ciberdelincuentes comentan que están utilizando ChatGPT para crear malware del tipo Infostealer. El 29 de diciembre de 2022 apareció un hilo llamado “ChatGPT - Beneficios del malware” en un popular foro clandestino de hacking asociado al robo de información.
Un segundo tipo de uso malicioso detectado tuvo que ver con la creación de una herramienta de cifrado, es decir, un programa que convierte datos legibles en codificados. Esto tiene particular importancia para el ransomware.
Por último, ChatGPT ya se usa para facilitar actividades fraudulentas: “El papel principal del mercado en la economía clandestina ilícita es proporcionar una plataforma para el comercio automatizado de bienes ilegales o robados como cuentas o tarjetas de pago robadas, malware, con pagos en criptomonedas”, cierra Botter.
⚽ Países Bajos: hackean a la liga profesional de fútbol
La Federación Holandesa de Fútbol (KNVB) fue víctima de un hackeo en sus servidores y llegaron a robar datos de empleados. En una política de transparencia, la propia institución lo publicó en su página web.
En la filtración, los ciberdelincuentes lograron robar datos internos de empleados. La KNVB asegura que informó de la filtración a la Agencia Holandesa de Protección de Datos.
🔗 Más info
Google detecta dos operaciones con spyware que aprovechan zero days en iPhone y Android
El FBI compró información robada en el mercado negro
Desmantelan dos importantes bandas de phishing en Ucrania
Twitter abrió parte de su código y ya encuentran una vulnerabilidad
Italia prohíbe ChatGPT por el manejo de datos personales
El nuevo navegador de Tor Mullvad no usa la red sino una VPN
Android suma protección contra “shoulder-surfing”
El Pentágono lanza un programa de Bug Bounty
PSWSTEALER Stealer: análisis del malware descubierto en marzo