ChatGPT ya trabaja para el cibercrimen
Malware mejorado por AI, LockBit encripta a una empresa argentina, Hackers israelíes manipulan elecciones y el "Have I Been Pwnd?" rioplatense.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
10>17.feb
💻 Hackers ya bypassean restricciones de ChatGPT
ChatGPT es el santo grial del momento en el mundo tech. Se trata de un programa capaz de sostener diálogos diversos en lenguaje natural que sorprende por la velocidad -y en muchos casos precisión- con la que opera.
Desde que acaparó todo el espectro de la discusión, diversos investigadores y laboratorios de malware advirtieron que el sistema se está usando para escribir código malicioso.
Pero esta semana se conoció un caso interesante a partir de una investigación de CheckPoint Research: encontraron que la herramienta sirvió para mejorar un stealer de 2019.
Esto es posible porque hackers lograron bypassear las restricciones que impone OpenAI para usar ChatGPT y podría inaugurar una interesante función: no necesariamente la ambiciosa idea de que escriba un código robusto e inviolable, sino perfeccionar técnicas ya conocidas, por ejemplo, agregando líneas de ofuscación.
Hace un tiempo hablé con Javier Blanco, Doctor en Informática por la Universidad de Eindhoven, Holanda, y me contaba que “hay un chiste que dice que ‘inteligencia artificial es todo lo que una computadora todavía no puede hacer’. Una vez que lo hace, pasa a llamarse de otra manera (machine learning, por ejemplo)”.
La capacidad de mejorar el malware ya está entre la lista de cosas que sí puede hacer la inteligencia artificial, con lo cual probablemente estemos ante un incipiente neologismo.
🏭 LockBit anunció otra empresa argentina entre sus víctimas: Grupo Albanesi
El grupo de ransomware LockBit listó entre sus víctimas a la compañía argentina Grupo Albanesi, un conglomerado empresario argentino de capitales privados que desarrolla su principal actividad en el mercado de energía. Son los principales comercializadores de gas natural del país.
La pregunta más importante acá es si se vio comprometida infraestructura crítica. Y no sabemos: llamé y hablé con ellos, para que, después de dar vueltas unos días, me reconocieran que no iban a hacer declaraciones del tema.
Me terminaron preguntando ellos a mí si sabía qué información estaba comprometida y cuánto dinero pedía LockBit. Les dije que ambas preguntas las podían responder ellos, no yo.
LockBit es una de las bandas más profesionales del mundo, con un nivel de organización altísimo. Por estas latitudes encriptó a Ingenio Ledesma y Osde, filtrando en este último caso datos sensibles de afiliados (incluso políticos y famosos).
👑 Negociación de un ransomware: Royal Mail
Hay otro tema con LockBit que llamó la atención esta semana: publicaron los datos encriptados al Royal Mail, el correo real de Gran Bretaña.
Pero lo llamativo es que hicieron público todo el chat del “soporte técnico”, es decir, la charla donde la banda extorsiona a la entidad para demandar un pago.
Hay un tramo que me pareció particularmente interesante, y que lo explica Allan Liska en su muy buen libro Ransomware: Understand. Prevent. Recover:
“Los grupos de ransomware se consideran profesionales que ofrecen un servicio valioso a organizaciones que deberían haber invertido en seguridad. En los foros clandestinos, los grupos a menudo se refieren a sí mismos como pentesters que buscan reclutar a otros pentesters (abreviatura de testeadores de “penetración” de sistemas), en parte porque muchos foros prohíben la venta y la publicidad de ransomware”
En la captura de más arriba se puede ver claramente esta dinámica: ellos “están trabajando” para “mejorar sistemas” ajenos y quieren que les paguen por su labor.
🗳️ Hackers israelíes manipulan elecciones en todo el mundo
Un equipo de contractors israelíes afirman haber manipulado más de 30 elecciones en todo el mundo utilizando con diversas técnicas de hacking para infiltrarse y crear perfiles falsos.
Fue el tema más fuerte de la semana a nivel geopolítico y lo cubrieron The Guardian y Haaretz, que tuvieron acceso interno a leaks y fuentes.
🕵 Rusia quiere absolver hackers
El Kremlin está explorando la idea de absolver a los ciberdelincuentes rusos de responsabilidad penal.
Alexander Khinshstein, jefe del Comité de Política de Información de la Duma Estatal, especificó que habrá que probar que los atacantes hayan actuado “por los intereses de la Federación Rusa”.
La ley actual impone hasta siete años de cárcel para el desarrollo, distribución y uso de malware, sin excepciones. Poca cobertura del tema en medios occidentales, pero algunos especializados levantaron el tema.
🌉 Ransomware contra Oakland
La ciudad de Oakland, en Estados Unidos (frente a San Francisco), sufrió un ataque de ransomware. Se suma así a Nueva Orleans, Atlanta, Baltimore y San Francisco.
Los costos son grandes: primero Oakland aseguró que no hubo infraestructura crítica comprometida. Pero el miércoles declararon el estado de emergencia, tras reconocer que sí se afectó infraestructura de Gobierno.
Un dato clave: diversos allegados advirtieron que los sistemas de Oakland no tenían protecciones suficiente. Es decir, no contaban con inversión en seguridad informática. El periodista local Jaime Omar Yassin advirtió esto cuando reportó que la ciudad tenía problemas para “retener talento IT”.
🎮 Mortal Kombat ahora es un malware
Cisco Talos encontró una nueva variante de malware llamada MortalKombat, como el histórico videojuego que revolucionó a los arcades en 1992.
Los ataques comenzaron en diciembre de 2022. El mismo grupo que hace el deploy instala "Laplas", un clipper que manipula el portapapeles de la víctima y lo reemplaza con direcciones de criptowallets (el usuario copia una dirección de wallet y Laplas pega otra para robar activos).
Los investigadores de Cisco explicaron que se trata del mismo actor de amenazas: rastrea protocolos de escritorio remoto (RDP) abiertos para desplegar MortalKombat.
👷 “Industrial Internet of Things”: OT, vulnerable por el WiFi
Este es un tema recurrente: lo muy atrasadas que están las industrias y lo peligroso que es esto para el escenario actual.
Investigadores de Otorio publicaron un trabajo en el que advierten que las redes internas wireless del mundo industrial son una enorme puerta de entrada para ciberataques. [PDF completo]
El año pasado pude hablar en el Xperts Summit de Fortinet con Hernando Castiglioni, encargado de Argentina, Uruguay, Paraguay, Bolivia y Venezuela, que dijo algo interesante: "En las industrias todavía se usa Windows 95 y se pasa información en pen drives, son muy vulnerables". La entrevista completa vale la pena.
🐦 Leaks rioplatenses: “Me Filtraron” se lanzó en Uruguay
“Me Filtraron”, un buscador para saber si hay información personal filtrada, se lanzó en Uruguay. Se trata de una instancia de “Tero”, el motor de búsqueda de filtraciones que ya se había lanzado en Argentina.
La diferencia con “Have I been pwnd?” es la regionalización de los datos. Hay más especificidad de incidentes poco conocidos o locales que no trascienden en el histórico sitio de filtraciones.
Tiene casi 3 millones de registros. Uruguay tiene 3.4 millones de habitantes. Link.
🔗 Más info
AWS actualiza su libro Protecting your AWS environment from ransomware
VX-Underground llama a un concurso de análisis de malware. Los sponsorea SentinelOne.
Todos los malwares de Mac de 2022, compilados
CISA lanzó un script para recuperar el archivo de configuración de los servidores ESXi de VMWare
Google va a regalar 100 mil llaves Titan para individuos expuestos a un "alto riesgo" de ser hackeados
Nuevo caso de spyware con Pegasus, esta vez, en El Salvador.
La FTC advierte estafas con aplicaciones de citas: al menos 70 mil personas lo reportaron, con pérdidas por 1.3 mil millones de dólares.
Nueva investigación sobre una vulnerabilidad de Windows que permite escalar privilegios, LocalPotato
Beep, un nuevo malware (descubierto por Minerva)
Dota 2, el popular videojuego competitivo, bajo un ataque por un bug