Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

21>28
feb

⚡TL;DR

Febrero será recordado como el mes del cripto-drama. Al caso Libra en Argentina, que explotó el viernes 14, se sumó el robo de criptomonedas más grande de la historia: un hackeo a la plataforma Bybit por 1.500 millones de dólares. Esta semana hubo novedades en ambos frentes.

Por un lado, avanza la investigación judicial contra el presidente argentino, Javier Milei, por su responsabilidad en la difusión del token en su cuenta personal de X (Twitter), además de que empezaron a detectarse los primeros movimientos del dinero en lo que podría ser una maniobra de lavado (que, como todo en la blockchain, es visible).

Por el otro, Bybit presentó un informe forense sobre el ataque, que está vinculado a Safe Wallet y que, según las investigaciones, involucraría actores alineados con los intereses de Corea del Norte: Lazarus, uno de los APT (Advanced Persistent Threat) con más músculo del mundo.

A nivel regional hubo algunos reportes de casos de ransomware en América Latina. Un nuevo grupo llamado Anubis incluyó entre sus víctimas a Comercializadora S&E Perú y, en Chile, RansomHub (uno de los grandes nombres de la escena) publicó a Compañía Minera San Gerónimo de Chile.

Un tópico fuerte en Europa fue la decisión de Apple de remover la función Advanced Data Protection en Gran Bretaña: el Gobierno ya le había pedido que dejara un backdoor en iCloud para poder acceder a la información de los usuarios en casos de investigación judicial. Cloud end-to-end-encryption no estará disponible en ese país.

Y otro tema muy de nicho pero que siempre hace ruido tiene que ver con Signal: en Suecia, le pidieron que habilite la posibilidad de recuperar los chats -es una de las pocas que permite borrar el 100% de los mensajes- y la aplicación amenazó, como ya lo hizo en Gran Bretaña, con irse del país.

Dejo una muy buena nota que me gustó sobre negociaciones con grupos de ciberdelincuentes en América Latina, escrita por el colega uruguayo Juan Pablo De Marco.

La perlita de la semana: las pantallas de una agencia oficial del Gobierno de EE.UU. mostrando videos generados con IA donde se ve a Donald Trump besando los pies de Elon Musk.

En esta edición:

• 🪙 Corea del Norte estaría detrás del robo cripto más grande de la historia

• 💰 Criptogate argentino: investigan a Milei y mueven fondos fraudulentos

• 👾 Roban al menos 485 mil dólares con un nuevo malware: apunta a América Latina

• 🏭 Un reporte analiza el sector OT: las malas configuraciones, el gran problema

• 📵 Dinamarca prohíbe los teléfonos móviles en las escuelas

• 🔏 Have I Been Pwned agrega más de 284 millones de registros de cuentas robadas

⏰ Substack dice que leer este correo completo lleva 9 minutos

Dark News #128

Corea del Norte estaría detrás del robo cripto más grande de la historia: Bybit

El FBI confirmó que el robo de 1.5 mil millones de dólares en criptoactivos a la plataforma Bybit fue llevado a cabo por Lazarus, grupo cibercriminal que representa los intereses de Corea del Norte. Además, la empresa dio a conocer los primeros resultados del peritaje forense sobre el robo y apunta a una intrusión en la plataforma Safe Wallet.

Qué dice el FBI. Según el reporte del organismo norteamericano, Lazarus (APT38) pudo interceptar una serie de transferencias programadas de una de las cold wallet de Bybit a una hot wallet con una redirección a una dirección propia.

“Los atacantes se mueven rápidamente y convirtieron algunos de los activos robados en Bitcoin y otros activos virtuales dispersos en miles de direcciones en múltiples blockchains. Se espera que se blanqueen aún más y finalmente se conviertan en moneda fiduciaria”, dijo el FBI.

De hecho, ya hay reportes que indican que lograron mover cerca de 335 millones de dólares.

Qué dice Bybit. La empresa dio a conocer los primeros resultados de sus investigaciones forenses y revelaron que el problema estuvo en el hackeo a un dispositivo de un desarrollador de Safe Wallet, una billetera cripto que gestiona los fondos almacenados en cold wallets.

El CEO de la empresa, Ben Zhou, compartió las conclusiones de dos investigaciones realizadas por Sygnia y Verichains y apuntaron a Safe Wallet, que tuiteó sobre el tema y reconoció el hackeo a un developer propio. Acá, una reconstrucción técnica pero muy sintética.

Lazarus tiene una tradición de financiar su programa nuclear a partir de estos robos de criptomonedas, muy conocida en el mundo de los APT.

Bybit ofrece 140 millones de dólares en bounties para recuperar los fondos robados, en concepto de un 10% de los fondos en el programa Lazarus Bounty. La empresa armó un sitio especial para trackear en qué estado está el intento de la recuperación de los fondos:

Criptogate argentino: investigan a Milei y mueven fondos fraudulentos

El Gobierno argentino creó una Unidad de Tareas de Investigación para investigar el caso de la criptomoneda $Libra, mientras se detectaron los primeros movimientos del dinero de la estafa rug pull.

El ingeniero Fernando Molina advirtió en X el primer movimiento de dinero desde una wallet asociada a quienes lanzaron la criptomoneda por un monto de 4,5 millones de dólares. Más tarde, Molina detectó otro movimiento:

Además, diversos artículos periodísticos empezaron a dar contexto sobre quiénes estarían detrás de la estafa y cómo se pactó con el entorno del presidente argentino, Javier Milei.

Investigación de EE.UU. El Departamento de Justicia de los Estados Unidos (DOJ) investiga a Milei, Hayden Davis y Julian Peh, empresarios vinculados a la estafa.

Roban al menos 485 mil dólares con un nuevo malware: apunta a América Latina

Kaspersky identificó un nuevo malware que se propaga a través de GitHub y ya generó pérdidas por cerca de 485 mil dólares en Bitcoin. Apunta principalmente a América Latina y Brasil es el país más afectado.

El research. El Equipo Global de Investigación y Análisis (GReAT, por su sigla en inglés) de Kaspersky bautizó “GitVenom” a esta amenaza, debido a su propagación mediante repositorios de código fuente en GitHub, la popular plataforma usada por desarrolladores.

Cómo funciona. GitVenom monitorea los movimientos del portapapeles para que, al copiar una dirección de una wallet, pueda “pisarla” con otra y que los fondos se transfieran a otra cuenta.

Aseguró Fabio Assolini, director del Equipo Global de Investigación y Análisis de Kaspersky para América Latina, en un comunicado de la compañía:

Es crucial manejar el procesamiento de código de terceros con mucho cuidado. Antes de intentar ejecutar este código o integrarlo en un proyecto existente, es fundamental verificar minuciosamente qué acciones son ejecutadas por él.

Un reporte analiza el sector industrial: malas configuraciones y grupos avanzados

Un reporte que analizó 23 grupos con capacidades para hackear sistemas industriales (OT, Operational Technology) y detectó que 9 estuvieron muy activos durante 2024.

Descubrimientos. Entre los hallazgos del informe se puede ver que 70% de las vulnerabilidades residen dentro de la red y que bajó la barrera para los ataques en este sector.

Ransomware. Dentro del cifrado de datos, la empresa detectó 87% más de ataques interanualmente. Una de las mayores preocupaciones del informe es la confluencia de agentes estatales, atacantes y hacktivistas, en tanto esta triple amenaza hace que compartan datos y herramientas.

Además, esto se agrava en el contexto de la invasión de Rusia a Ucrania, que intensificó los ataques a infraestructuras críticas. Explica en el reporte Robert M. Lee, Consejero Delegado de Dragos:

Las infraestructuras civiles y el clima geopolítico están impulsando gran parte de estos ataques. En 2024 también se produjo una expansión de nuevos adversarios que tenían como objetivo las infraestructuras, pero también conexiones muy interesantes entre actores estatales y no estatales.

Misconfigs. Algo para destacar tiene que ver con las “misconfigs”, es decir, malas configuraciones de las herramientas que se usan en las empresas. El otro punto es que hay menos cantidad de explotaciones posibles de los CVEs registrados entre 2023 y 2024.

Si se considera que la tendencia es a que haya más vulnerabilidades -y no menos, en tanto la superficie de ataque se agranda exponencialmente-, del reporte se puede inferir que hay menos formas prácticas de explotar las vulnerabilidades y que los problemas están más en las configuraciones de hardware y software, además del ransomware y las amenazas persistentes.

Dinamarca prohíbe los teléfonos móviles en las escuelas

Dinamarca va a prohibir los teléfonos móviles en escuelas. El Estado evalúa cambiar la legislación actual para forzar a todos los folkeskole -alumnos de 7 a 17 años- a que no lleven sus teléfonos al colegio.

El fundamento. Una comisión establecida en 2023 por el Primer Ministro, Mette Frederiksen, investigó los efectos del uso de los teléfonos en el aula y encontró conexiones con una “creciente insatisfacción” de los jóvenes y la hiperconectividad.

“Es necesario recuperar la escuela como espacio educativo, donde haya espacio para la reflexión y donde no sea una extensión del dormitorio adolescente”, aseguró el primer ministro.

Antecedente. A fines del año pasado, Australia prohibió el uso de redes sociales para menores de 16 años y se convirtió en la primera ley de esta índole en el mundo.

En el caso de Dinamarca, la comisión también recomendó que los menores no deberían tener su propio celular o tablet hasta los 13 años.

Have I Been Pwned agrega más de 284 millones de registros de cuentas robadas

La base de datos de data breaches Have I Been Pwned agregó 284,132,969 millones de cuentas comprometidas por infostealers, encontradas en un canal de Telegram.

Reporte. Troy Hunt, fundador del sitio y analista de filtraciones, encontró la información en 1.5TB de logs de stealers, conocido como “ALIEN TXTBASE”.

"Contiene 23.000 millones de registros con 493 millones de combinaciones únicas de sitios web y direcciones de correo electrónico, lo que afecta a 284 millones de direcciones de correo electrónico únicas", aseguró Hunt. Además, subió 244 millones de passwords nuevos a la base de datos. La información fue confirmada mediante el método de password reset.

Visibilidad. Para poder ver los registros y corroborar si un usuario tiene sus cuentas comprometidas hay que pagar la suscripción de HIBP.

🔓 Breaches y hacks

• La empresa de telecomunicaciones francesa Orange confirma una filtración

• Meta echa a 20 empleados por filtrar información

• Un ciberataque compromete un suministro de agua en el Reino Unido

🔒 Ransomware

• La Corte Suprema Administrativa de Bulgaria, atacada por RansomHouse

• VulnCheck publicó una lista de todos los CVEs nombrados en el leak de los chats de BlackBasta

• Symantec encuentra una variante del ransomware Makop llamada Core

💣 Exploits y malware

• Check Point descubre un malware detrás de un ataque de gran escala y desactiva la protección EDR

• Una botnet que afecta a 130 mil dispositivos lleva adelante una capaña de password-spray contra cuentas Microsoft 365

• Sospechan de un APT chino que ataca dispositivos médicos

🔍 Threat intel y vulnerabilidades

• CyberKnow actualiza el mapa de hacktivismo, tres años después de la invasión a Ucrania

• SalmonSlalom, una operación contra organizaciones industriales

• Nuevo análisis sobre la infección de LockBit vía Atlassian

🛠️ Tools y updates

• Cisco parchea vulnerabilidades en switches Nexus

• Google va a empezar a usar códigos QR para el login

• CISA actualizó su base de datos de KEV

📋 Privacidad y regulaciones

• Europa confirma una amonestación a Worldcoin, la empresa que escanea iris

• Apple desactiva su función de seguridad más fuerte por una demanda de Reino unido

• El escándalo por el acceso a WordPress podría desatar una demanda colectiva

Share