Condenan de por vida a un hacker de Lapsus$, la UBA se recupera de un ransomware y el FBI incauta el sitio de Black Cat
Arion Kurtaj, británico de 18 años con autismo, hackeó a Rockstar Games (GTA) y Uber, la Universidad de Buenos Aires levanta parcialmente sus sistemas y ALPHV juega al gato y el ratón con el FBI.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
15>22
dic
⚡ TL;DR
Penúltima semana del año y tenemos varias novedades en diversos frentes. Primero: ayer publiqué la lista de hackeos, leaks y casos de ransomware del año en Argentina. Si la pasaron por alto, pueden verla en este enlace.
Segundo, fue una semana muy cargada a nivel local. El lunes publiqué en Clarín todo lo que pude recopilar sobre el ransomware que sufrió la Universidad de Buenos Aires. El dato lo tenía desde el jueves anterior pero, por diversos motivos, no podía publicarlo. El lunes, la propia institución me confirmó el ataque.
De a poco fueron levantando los sistemas, pero algunas dependencias como el Rectorado (que gestiona UBA XXI, sistema de educación a distancia que reposa primordialmente en su sistema online) siguen offline. Todavía no hay datos concretos sobre el grupo que los atacó.
La nota de color la dio Iñaki Gutiérrez, el responsable del manejo de las redes sociales de Javier Milei. Este miércoles, subió una foto del Presidente argentino junto a su hermana Karina y la ministra de Seguridad Patricia Bullrich: allí se veía la clave de WiFi del Departamento de Policía, en un caso similar a lo que pasó hace dos semanas con la sala de prensa de la Casa Rosada.
Ya a nivel global, tres casos resonaron fuerte. Por un lado, el leak de Insomniac Games, empresa que desarrolla videojuegos muy populares como Spider-Man para PlayStation: atacados por Rhysida Ransomware, no sólo publicaron información de los planes de la compañía para juegos no lanzados como Wolverine, sino también datos de más de 400 empleados.
El segundo caso que hizo ruido fue la novela del FBI con Black Cat (ALPHV), que incautó el sitio del reconocido grupo de ransomware y desató una guerra virtual en la cual la banda recuperó el dominio y respondió ante el takedown.
Y el tercero tuvo que ver con el arresto de Arion Kurtaj, un joven de Oxford con autismo, miembro del conocido grupo Lapsus$, que con 18 años hackeó el año pasado a Rockstar Games y leakeó material de GTA VI, uno de los videojuegos más esperados la última década.
Para cerrar, la última novedad es sobre esta publicación, que tiene rediseño. Después de un mes y medio de trabajo con el estudio Tilo, redefinimos una identidad que mixea un black hat con periodismo (una pluma, old school).
El resultado lo pueden ver en el header de los correos, en el sitio online y seguramente aparezca con variantes en el share en redes sociales.
Leer este correo te va a llevar 13 minutos
Esta entrega cuenta con el apoyo de:
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
🏥 Condenan a un hacker de Lapsus$ a pasar toda su vida en un hospital psiquiátrico
Un hacker inglés de 18 años con autismo fue sentenciado a un hospital mental de por vida: Arion Kurtaj, miembro del grupo cibercriminal Lapsus$, fue el responsable de acceder a información interna de Rockstar Games y filtrar videos del videojuego GTA VI, además de hackear a Uber.
Según la Justicia, Kurtaj fue una pieza clave en el grupo, conformado por británicos y brasileros, que a base de ingeniería social extorsionaba a las compañías afectadas a cambio de no filtrar la información robada.
El grupo fue responsable del acceso no autorizado a compañías en todo el mundo, desde Microsoft, Samsung y Nvidia hasta Mercado Libre y Globant en Argentina. Fuerzas de la ley estiman que lograron causar pérdidas por 10 millones de dólares a partir de ciberataques.
Kurtaj fue sentenciado este jueves en la Corte Southwark Crown, en Londres, según informó la BBC -que cubrió el caso- a permanecer en un hospital mental de por vida, salvo que nuevas pericias determinen que ya no constituye un peligro para la sociedad.
La situación que lo complicó fue, principalmente, que un reporte médico aseguró que el hacker “siguió expresando intenciones de regresar al cibercrimen lo antes posible: está altamente motivado”, reconstruyó Joe Tidy, reportero que siguió el caso.
Esto es congruente con el historial de Kurtaj, quien, incluso, entró a los sistemas de Rockstar Games de una forma casi insólita: desde un cuarto de hotel con un Amazon Fire Stick, cuando estaba bajo custodia por el ataque a Nvidia.
Un grupo de analistas explicó esto, hipotetizando que lo más probable es que haya usado el dongle para espejar su teléfono, llevando Android a un modo escritorio (DeX). Más allá de esto, la habilidad de Kurtaj tiene más que ver con ingeniería social para conseguir credenciales que con cómo hackear un dispositivo.
El imputado admitió haber descargado y extorsionado a Rockstar con publicar código fuente de la compañía si no lo contactaban en 24 horas. En total, publicó 90 videos de GTA VI en un foro bajo el usuario “TeaPotUberHacker”, en referencia a Uber, otra compañía a la que hackeó.
Dark News consultó a Mauro Eldritch, director de Birmingham Cyber Arms y analista de amenazas, sobre las TTP del grupo:
El grupo ha sido observado utilizando múltiples herramientas, algunas avanzadas y pertenecientes a esquemas de Malware como Servicio como el stealer Redline, otras tan comunes y simples como NordVPN o Mimikatz. También, el grupo ha optado en ocasiones por simplemente destruir la información de sus víctimas, sin más.
La ingeniería social, junto a la compra de accesos, siempre fue la base más fuerte de la banda:
Tras el ataque a NVIDIA, el grupo LAPSUS$ logró robar certificados de la compañía que luego utilizó para firmar (a nombre de la misma) piezas de software que serían utilizadas luego en su cadena de ataques. Al estar firmado (“garantizado”) por NVIDIA, la mayoría de los sistemas de seguridad - tanto del propio sistema operativo como de terceros - daban por sentado que la ejecución de ese artefacto estaba permitida y era segura.
Kurtaj fue sentenciado junto a otro joven de 17 años en el juicio, que sólo tendrá que pasar 18 meses en rehabilitación, supervisión y la prohibición de usar VPNs.
La suerte de Kurtaj no fue la misma y ahora depende de que, con el tiempo, una pericia determine que no es una amenaza para la sociedad. Mientras tanto, pasará sus días en una institución psiquiátrica.
🏛 Ransomware a la UBA: algunos sistemas ya están recuperados
La Universidad de Buenos Aires (UBA) sufrió un ciberataque de ransomware. Desde el jueves pasado, servidores de una parte de la institución educativa quedaron comprometidos y esto impidió a docentes y alumnos gestionar notas, inscribirse a cursos de verano y más.
Las primeras informaciones circularon a fines de la semana pasada, cuando técnicos de sistemas empezaron a comentar que servidores del Rectorado estaban comprometidos. Este lunes, los docentes comenzaron a recibir correos electrónicos que hablaban de “problemas técnicos que afectan a los sistemas informáticos de la Universidad”.
“Hasta el jueves, cargamos notas en el sistema Guaraní con normalidad. Hoy nos avisaron que las tareas programadas para esta semana fueron suspendidas por ‘problemas técnicos’, sin plazo estimado para reanudarlas. Esto nos llega en períodos de revisión de exámenes, que habíamos corregido y cargado en el sistema durante principios de la semana pasada con total normalidad”, explicó a este medio un profesor de UBA XXI, el programa de educación a distancia que reposa en gran parte en el sistema online. Guaraní es uno de los sistemas que usan los alumnos para anotarse a materias e interactuar con las cátedras de las materias que están cursando.
En la comunicación advertían la suspensión de la inscripción a cursos, la publicación de notas de exámenes finales y los pedidos de revisión de notas. Esto ya está funcionando.
La universidad me confirmó el ataque de ransomware y agregó:
La intromisión se inició en el datacenter de la UBA, por lo tanto se procedió rápidamente a aislar los equipos potencialmente afectados para así poder identificar cuáles fueron realmente atacados. Aunque aún no se ha podido determinar con exactitud el alcance de la agresión, sí se pudo precisar que como consecuencia se ven comprometidos algunos servidores de entorno Windows de la Universidad.
Durante el miércoles, el equipo de sistemas logró levantar Guaraní y las gestiones contables, pero Rectorado y DOSUBA seguían caídos.
Versiones internas apuntan a que la licencia de Fortinet -un software muy usado en el Estado para proteger sistemas-, estaba vencida.
Contactado por este medio, Fortinet complementó la información: “En un contexto sumamente restrictivo y de regulaciones económicas desafiantes en Argentina, hemos concedido en el último año múltiples extensiones una vez vencida la fecha de la renovación, en todos los casos que los clientes estaban en proceso formal de compra de dicha renovación, incluso si ese proceso se demoraba”.
🐢 Ataque al protocolo SSH: Terrapin
Investigadores de la Universidad Ruhr de Bochum (Alemania) descubrieron una nueva técnica denominada "ataque Terrapin", que permite a los actores de amenazas degradar la versión del protocolo SSH, dejando libre así la explotación de servidores vulnerables. Además, el atacante puede redirigir el inicio de sesión de la víctima a un shell bajo su control.
El protocolo SSH es uno de los más utilizados en varias organizaciones para establecer un inicio de sesión en un terminal remoto y la transferencia de archivos. SSH consiste en un intercambio de claves autenticadas para establecer la conexión de canal seguro con el fin de garantizar la integridad y la confidencialidad.
"El ataque Terrapin explota las debilidades del protocolo de la capa de transporte SSH en combinación con algoritmos criptográficos y modos de cifrado más nuevos introducidos por OpenSSH hace más de 10 años", explicaron. Ya hay parches.
Los researchers descubrieron también fallas de implementación explotables en AsyncSSH.
🕷 Insomniac Games: filtran información del developer de Spider Man
Una filtración de datos masiva de Insomniac Games, histórico desarrollador de videojuegos como Spider-Man, reveló los próximos cinco juegos que el estudio planea lanzar y el calendario de lanzamientos. Víctima de Rhysida ransomware, la información apareció publicada en el sitio de filtraciones de la dark web del grupo.
Dark News se contactó con el periodista cultural Ignacio Esains, quien sigue de cerca la industria de los videojuegos, para entender qué implica un leak de este tipo para la compañía, propiedad de Sony:
Un leak como este puede ser catastrófico para una empresa de videojuegos, en particular una como Insomniac que es lo que se conoce como un estudio “first party”, o que pertenece directamente al dueño de una plataforma (en este caso Sony, dueño de PlayStation). Insomniac es hoy por hoy el estudio más importante de Sony (Spider-Man 2 batió el récord de la plataforma con 2,5 millones de unidades vendidas en 24 horas), por lo tanto, el mapa a futuro del estudio revela decisiones comerciales de PlayStation de acá a 10 años.
Los datos se subieron en tres partes separadas, cada una organizada en un catálogo de datos con una interfaz similar al Explorador de archivos de Microsoft.
Estos archivos incluyen una gran cantidad de material en desarrollo del próximo juego de Insomniac, Wolverine, incluidos documentos de diseño y diseños de niveles. El impacto en cuanto al márketing es relativo, y el caso de GTA sirve para pensarlo, dice Esains.
Los leaks de marketing, que son los que recibieron más prensa, no son un problema real. Si es posible, la revelación de un plan maestro para expandir la sociedad de Sony y Marvel genera aún más expectativa sobre los juegos que se vienen. Lo vimos con el tráiler de GTA VI, que a pesar de las filtraciones logró romper récords de visualización en YouTube. Los builds filtrados del juego parecen estar incompletos y son imposibles de hacer correr sin un kit de desarrollo [SDK]. Aunque algún programador se esfuerce en hacerlos funcionar a fuerza de retroingeniería van a ser simples curiosidades para coleccionistas.
El problema más grande tiene que ver, para la empresa, con la información que pueda usar la competencia en el competente mercado de los videojuegos:
El problema real (más allá de la información personal filtrada que puede exponer a la compañía a demandas de sus propios empleados) está en lo que todavía no se exploró del todo: las comunicaciones internas de la empresa, los contratos de exclusividad y la información detallada de presupuestos. Estos datos son confidenciales e incluyen detalles que pueden beneficiar a la competencia y sentar parámetros para la industria en general. El de Marvel y Sony, en particular, tiene datos específicos (proyección de ventas, extensión, penalidades, regalías) que se pueden tomar de parámetro para cualquier negociación de propiedad intelectual a futuro.
Sony tiene un historial de hackeos en su haber, desde el famoso de 2014 hasta varios que ocurrieron este año.
😼 El FBI incautó el sitio de Black Cat (ALPHV)
El sitio de Black Cat (ALPHV), uno de los grupos de ransomware más famosos del mundo, fue incautado esta semana por el FBI. A diferencia de lo que sucedió con otros grupos como Hive a principios de año, en este caso la banda respondió y el conflicto online fue escalando entre diversas declaraciones.
El martes pasado, el Departamento de Justicia de Estados Unidos anunció la interrupción de la operación del grupo de ransomware y publicó una herramienta decrypter para que más de 500 víctimas afectadas pueden recuperar el acceso a los archivos encriptados.
Los documentos judiciales muestran que la Oficina Federal de Investigación de Estados Unidos (FBI) contó con la ayuda de una “fuente humana confidencial” para actuar como afiliado del grupo BlackCat y obtener acceso a un panel web utilizado para gestionar las víctimas de la banda.
Según el documento, obtuvieron 946 pares de llaves criptográficas para servicios ocultos de la red Tor (hidden services) que incluían DLS (dedicated leak sites), paneles de afiliados y plataformas de chat para víctimas con afiliados.
Sin embargo, Black Cat reaccionó a la noticia y “des-confiscó” el sitio, utilizando el mismo conjunto de claves criptográficas necesarias para alojar el servicio oculto en la red TOR y publicar una nota como respuesta al FBI. Explicó Eldritch a esta publicación:
En principio el FBI colocó su nota de decomiso oficial, que luego fue modificada por Black Cat para reflejar una nota personal, explicando la situación y colocando nuevas reglas para el programa de afiliados: ahora se permite encriptar hospitales, plantas nucleares y “cualquier cosa en cualquier momento” además de mejorar la comisión de rescate a 90% y remover la posibilidad de ofrecer descuentos.
Black Cat, también llamado NOBERUS o ALPHV, “es un grupo de ransomware de alto nivel (Big Game Hunting), activo desde 2021 y con golpes de alto perfil a nivel mundial. En Argentina encriptó a Transportadora de Gas del Sur y a Algeiba IT”, recuerda.
Uno de los temas que dio que hablar fue cómo Black Cat pudo recuperar acceso al sitio.
Por la naturaleza de los hidden services, capturar la llave privada implica tomar control absoluto pero no exclusivo del mismo: cada persona que tenga la llave privada podrá reclamar el servicio en cualquier momento y circunstancia. Es por esto que el FBI y BlackCat se trenzaron en una lucha interminable por el control del sitio del grupo, editando su contenido en varias oportunidades.
Por esto, hubo consecuencias. En declaraciones a VX-Underground, un afiliado de LockBit contó que hay cooperación entre ambos grupos. Cerró Eldritch:
Tras estos eventos BlackCat46 (líder de ALPHV) y LockBitSupp (líder Lockbit) se demostraron públicamente apoyo mutuo y deslizaron la posibilidad de una alianza. “Hoy el FBI lo atrapa a él, mañana vendrán por mí, le puede pasar a cualquiera, tenemos que mantenernos juntos así no nos matan de a uno, el FBI no nos agarra en solitario, trabajan con todas las fuerzas y servicios especiales del mundo, tenemos que hacer lo mismo” - LockBitSupp.
La reflexión final de Black Cat apuntó, así, a una alianza entre ambos carteles.
“Lockbit tiene razón, todos deberíamos formar un cartel o nos van a ir cazando uno por uno” - BlackCat46.
🔗 Más info
Interpol arrestó a 3500 cibercriminales en una operación que incautó 300 millones de dólares
Conectan a un grupo israelí con el hackeo del 70% de las estaciones de servicio de Irán
El exchange cripto Aurory sufre un ciberataque por 1.2 millones de dólares
Hackean la empresa de telecomunicaciones Comcast
MongoDB sufre un breach en sus sistemas de seguridad
CoinCloud, un sistema de ATMs cripto, fue hackeado
Firefox lanza su versión 121 con fixes
Analistas advierten que Qakbot está de vuelta