Dafiti aparece como víctima de ransomware, YouTube vs. adblockers y Chile aprueba ley de ciberseguridad
Además: ransom a Insomniac Games (Sony), Mercado Libre oficializa su programa de bug bounty en Hacker One e Interpol detecta una red de trata conectada a ciberestafas en Perú.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
8>15
dic
⚡ TL;DR
Esta semana profundicé sobre un tema que venimos siguiendo de cerca en Dark News: la guerra entre YouTube y los bloqueadores de anuncios que muchos usan para bypassear las publicidades.
A mediados del mes pasado esta pelea había tenido un nuevo round, a saber, la ralentización de los videos. El tema es que según el principio de neutralidad de la red europea, esto que hace la empresa es problemático desde el punto de vista legal, según me advirtió Lucas Barreiro, abogado especialista en protección de datos personales.
En el plano local, el sitio de ecommerce Dafiti apareció listado por un grupo de ransomware del que no hay mucha información: Dragon Force. Además, Mercado Libre oficializó su programa de bug bounty en Hacker One: pagan entre 50 y 3 mil dólares el bug, según la severidad.
A nivel regional, un usuario colocó a la venta una presunta base de datos del sistema policial de México y pasó algo muy importante: Chile aprobó la Ley Marco de Ciberseguridad e Infraestructuras Críticas de la Información.
Dos historias se viralizaron en redes. Por un lado, esta nota publicada por 404, medio nuevo que hay que seguir: un grupo de hackers polacos arregló unos trenes que, por diseño, la compañía que los fabricó impedía que sean arreglados por terceros (¡un DRM para trenes! Y ahora los demandan). Y por otro, este hilo de Matt Johansen de Vulnerable U donde cuenta el caso de un APT chino que estuvo durante 2 años oculto en las redes del fabricante de chips NXP. Llegó casi a 1.5 millones de views (sin pagar por Twitter).
Cierro con algo que me enteré y puede ser útil a colegas. El viernes, en un asado y mientras tomábamos fernet, Mariano Vidal, el periodista que, a mi juicio, mejor siguió el caso Generación Zoe -y hasta hizo un podcast-, me contó que 1Password bonifica membresías a periodistas. Hay que enviar un correo usando este enlace y evalúan el caso (piden material periodístico publicado).
Es muy bueno esto: bajo la consigna de apoyar al periodismo, brindan herramientas para estar “seguros” en línea. Y sí, es cierto que KeePass, Bitwarden y otras opciones open-source son mejores y que tener la información offline siempre es más seguro. Y que este año el breach de Okta arrastró a 1Password.
Pero como alguna vez me dijo Iván Barrera Oro -HacKan-, la seguridad es relativa y no absoluta: si se considera que la gran mayoría de los periodistas repiten siempre la misma clave (y no activan 2FA), siempre va a ser mejor usar 1Password que no usarlo.
Leer este correo te va a llevar 13 minutos
Esta entrega cuenta con el apoyo de:
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
⛔ La batalla de YouTube contra los adblockers
Como ya venimos contando en estas publicaciones, YouTube está en guerra contra los ad-blockers. En esta contienda, ya desplegó una serie de medidas, en una guerra que viene perdiendo desde hace años pero que de a poco empieza a tener algunas batallas ganadas: la última, ralentizar la carga de los videos para quienes instalen estos bloqueadores de publicidad.
El negocio de YouTube viene de dos vertientes: por los anuncios de terceros, o por las suscripciones. Al pagar por Premium, la aplicación remueve todos los anuncios externos, junto con otros beneficios como mejor calidad de imagen (bit rate) en algunos videos, además de incluir YouTube Music. Pero para hacer crecer una base de usuarios que en 2022 sumó 80 millones de cuentas pagas, la empresa combate cualquier medida que atente con bypassear los ads.
A pesar de los esfuerzos, el uso de adblockers sigue siendo alto. Pero a fines del mes pasado, la empresa empezó a usar artillería pesada en este juego del gato y el ratón: ralentizar la reproducción de videos para generar una peor experiencia de usuario.
Algo que, advierten algunos especialistas, no es del todo legal en ciertas regiones del mundo. Esto me explicó Lucas Barreiro, abogado especialista en protección de datos personales:
La Unión Europea ha sancionado hace ya bastante tiempo el Reglamento sobre Neutralidad de la Red. Reconoce que las personas usuarias de los servicios digitales no deben ser objeto de un trato discriminatorio y, en ese sentido, prohíbe a los prestadores ejecutar cualquier práctica de gestión del tráfico de red que suponga bloquear, ralentizar o discriminar entre aplicaciones, a menos que exista una justificación razonable. Puntualmente, si se constata que YouTube está ralentizando la carga de contenidos en perjuicio de aquellos usuarios que han optado por utilizar un navegador distinto del de Google, entonces se estaría violando claramente dicho reglamento”.
Por supuesto, el poder que tienen las grandes plataformas está muchas veces por encima de este tipo de normas. “Es una normativa vinculante para todos los Estados de la Unión, por lo que su conocimiento se presume. No es una legislación que consideren amigable, eso sin dudas. Si yo fuese un gigante como los de estas características, con poderes de negociación asimétricos, preferiría no tener normas que atenten contra mi posición dominante y me obliguen a garantizar un trato equitativo a los actores más pequeños”, argumenta.
Barreiro además da contexto sobre la medida de los pop-ups que había adoptado YouTube hace poco tiempo: “Hace apenas dos meses, usuarios europeos informaban que, al acceder a YouTube, se les presentaba una ventana emergente que les impedía reproducir contenido a menos que desactivaran dichas extensiones. Acá surge otra normativa menospreciada: la mal llamada "ley de cookies" – artículo 5.3 de la Directiva europea sobre privacidad y comunicaciones electrónicas, conocida comúnmente como Directiva ePrivacy”, cuenta.
Hay, según explica Barreiro, diversos argumentos para pensar por qué lo que hace YouTube podría ser impugnado por un tribunal europeo:
El especialista en privacidad Alexander Hanff presentó un reclamo ante la autoridad de protección de datos irlandesa, solicitando que ordene a YouTube el cese de esta práctica por no contar con el consentimiento previo e informado de los usuarios y disponga la supresión de toda información obtenida de manera ilícita. Hasta el momento, su resolución se encuentra pendiente.
En este sentido, consulté a YouTube Argentina sobre estas medidas. Ratificaron que seguirán en esta dirección:
En un futuro, continuaremos emprendiendo estas iniciativas para cuidar y promover el desarrollo de la comunidad de creadores. Por eso, a medida que seguimos desarrollando los esfuerzos de detección, los usuarios que continúen utilizando estos programas pueden seguir recibiendo notificaciones instándolos a deshabilitarlos o a probar YouTube Premium; o la reproducción puede ser deshabilitada temporalmente. Por supuesto que, una vez que se cumplan con los Términos de servicio, la reproducción se habilitará rápidamente.
La batalla contra los adblockers parece difícil de ganar, pero si la experiencia de usuario se pone cada vez más compleja, quizás terminen agotando al usuario que decide agregar un adblocker y lo sumen a sus filas de Premium.
Por otro lado, es probable que el contexto de la dura crisis económica en Argentina lleve a los usuarios a buscar alternativas para no pagar por servicios y sigan prefiriendo un ratón lento antes que uno rápido y con impacto en el bolsillo.
👟 La división argentina de Dafiti aparece listada en el sitio de un ransomware poco conocido
Dafiti, sitio de ecommerce de calzado y ropa con fuerte presencia en América Latina, apareció esta semana en el leak site de Dragon Force, un grupo de ransomware no muy conocido.
El grupo no es popular entre analistas de amenazas, que empezaron a trazar hipótesis sobre las técnicas de ataque (TTP) de este grupo. Dark News consultó a Valentina Costa Gazcón, analista de amenazas y CEO de V•ONE Labs, quien planteó una posible línea de análisis.
DragonForce o DragonForce Malaysia fue originalmente un grupo de hacktivistas con base en Malasia, que se volvió más conocido a principios de junio de 2022 por su operación #OpsPatuk contra entidades públicas y privadas indias. Para finales de junio de ese mismo año pasaron de defacements y leakeo de información a campañas de ransomware. Su paso inicial fue compartir en su grupo de Telegram una prueba de concepto de cómo bypassear el control de Escalación de Privilegios Locales (LPE) de Windows.
El caso de lo que sería la división argentina de Dafiti se enmarca en una serie de ataques que, según puede verse, habrían comenzado a listarse desde el 6 de diciembre. Llaman la atención debido al viraje del grupo hacia el negocio del ransomware: el leak site lista compañías “que se rehusaron a cooperar”, como es común en este negocio underground.
El grupo amplió su repertorio táctico incluyendo ahora ataques de ransomware, que representan un cambio hacia actividades criminales más allá de su hacktivismo inicial. Sus TTPs se caracterizan por el uso de vulnerabilidades en sistemas Windows para lograr Escalación de Privilegios Locales (LPE) o para obtener permisos de administrador. Esto les permite un control casi total sobre los sistemas comprometidos, siendo capaces así de realizar cualquier tipo de operación en el sistema.
Por ahora, el grupo comunica sus acciones a través de su leak site en la Dark Web. Y la información “está disponible para bajar archivo por archivo”, confirmó otro analista a esta publicación.
Más allá de estas hipótesis, podrían ser dos grupos distintos. Poco después de Dafiti, la banda listó a TGLT, un grupo inmobiliario de Argentina.
🏛 Chile aprobó una nueva ley de ciberseguridad
Chile avanzó el martes de esta semana en la tramitación legislativa del proyecto de Ley Marco sobre Ciberseguridad e Infraestructura crítica de la información. Fue aprobada con 134 votos a favor y ninguno en contra.
El proyecto crea la Agencia Nacional de Ciberseguridad (ANCI), organismo con facultades regulatorias, fiscalizadoras y sancionatorias frente a la seguridad informática.
La ley destaca 5 ejes:
Chile contará con una "infraestructura de la información robusta y resiliente"
"Protegerá y promoverá la protección de los derechos de las personas en Internet"
Se desarrollará una cultura de ciberseguridad en torno a la "educación, buenas prácticas, responsabilidad en el manejo de tecnologías digitales, y promoción y garantía de los derechos de las personas".
El Estado creará una gobernanza pública para la “coordinación -a través de cooperación mutua entre los organismos públicos y privados- de las acciones necesarias en ciberseguridad”.
Como quinto objetivo, se promoverá el desarrollo de una industria de la ciberseguridad.
Marcela Pallero, responsable del Programa STIC de la Fundación Sadosky, dio contexto a Dark News sobre qué significa esta noticia en el marco de un país que ya viene trabajando con constancia el tema de ciberseguridad desde el Estado.
Chile hizo dos conferencias internacionales para público de Gobierno y privados con CEPAL en agosto, y la Conferencia Cyberdrill de ITU en Septiembre. También avanzó en lo operativo: se nota más la presencia de su CSIRT de Gobierno, y ahora coronan el año con la sanción de su Ley Marco de Ciberseguridad e Infraestructuras críticas que crea una Agencia Nacional de Ciberseguridad y toma algunas previsiones para evitar que quienes reporten vulnerabilidades sean criminalizados. Sin duda, es un avance para la región por los temas que aborda y los aspectos en los que se centra.
Vale recordar, según la especialista en seguridad de la información, que este 2023 “Chile aprobó la Segunda Política Nacional de Ciberseguridad para el periodo 2023-2028 e hizo rendición de cuentas de su Política anterior del periodo 2017-2022”.
El caso está siendo tomado como un ejemplo a seguir en la región que, en general, se encuentra atrasada en relación a las normativas vigentes.
🐛 Rhysida Ransomware lista a Insomniac Games entre sus víctimas
Insomniac Games, desarrollador de Marvel's Spider-Man y el próximo videojuego de Wolverine, fue listado en el sitio del grupo de ransomware Rhysida, que afirma que tiene datos personales de los empleados e información inédita sobre su próximo juego de acción X-Men.
Insomniac, propiedad de Sony, fue filtrado por el grupo, que tendría en su poder escaneos de pasaportes, correos electrónicos y documentos firmados con información confidencial. Hasta afirmaron tener información personal sobre Yuri Lowenthal, el actor de doblaje que interpreta a Peter Parker en los juegos de Spider-Man de Insomniac .
Rhysida es un grupo de ransomware relativamente nuevo, que en Argentina se hizo muy popular por robar información del PAMI, el sistema que regula las jubilaciones y pensiones. Check Point Research, Cisco Talos y Trend Micro, además del Departamento de Salud de los Estados Unidos, elaboraron reportes sobre el grupo pasada la mitad de este año y Check Point llegó a conectarlos con Vice Society, un prolífico grupo que tiene a víctimas de peso en su haber y que en Argentina encriptaron datos del Senado de la Nación el año pasado.
Durante los últimos meses realizaron ataques de alto perfil contra entidades inglesas como la Biblioteca Británica y el Hospital King Edward VIII, donde se atiende la realeza.
En cuanto a este ataque, sería la tercera vez que Sony ve su información comprometida sólo este año: en mayo tuvo un incidente en el que afirmaron haber robado claves de 7 mil empleados. En septiembre, RansomedVC se atribuyó otro ataque.
La empresa tiene un historial con el ransomware. En 2014, la división de cine Sony Pictures fue atacada por Guardians of Peace y filtró una enorme cantidad de material fílmico sin publicar, en uno de los casos de hackeos por grupos APT (Norcorea, en este caso) más recordados de la historia.
❄ El antivirus Avira freezó el arranque de Windows
Diversos usuarios de Windows informaron durante el fin de semana que se les bloqueaba el inicio del sistema operativo al querer bootear. El denominador común del problema fue, según varios reportes en Reddit y foros, el antivirus: Avira.
Una actualización defectuosa sería la causa y afectaría al menos a los OS a Windows 11 y 10. Según los informes, las computadoras suelen iniciarse normalmente, pero algunos no cargan el escritorio de Windows, como informó por primera vez el researcher Günter Born. Esto se soluciona, al menos de manera temporal, entrando en modo seguro y desinstalando Avira.
La empresa explicó que se trata de un problema del firewall y no del antivirus en sí mismo. Además, dijeron que están trabajando en un fix del problema.
🛶 Interpol descubrió tráfico humano en granjas de ciberestafas en América Latina
Tras cinco meses de investigación, Interpol reveló un esquema de tráfico humano usado para realizar ciberestafas con nexos en América Latina. La entidad detuvo a 281 individuos y rescató a 149 víctimas.
En esta última operación, llamada Storm Makers II, se descubrió que se traficaba con víctimas de Malasia para que trabajaran en locutorios peruanos y con víctimas ugandesas que eran trasladadas a Dubái por el mismo motivo, para luego ser desviadas a Tailandia y después a Myanmar.
Camboya, Laos y Myanmar han sido normalmente los focos de este tipo de delitos desde 2021, cuando Interpol los rastreó por primera vez. Pero ahora apareció una conexión con América Latina. Así operan, explicó la entidad:
Las víctimas suelen ser atraídas a través de falsos anuncios de empleo y obligadas a cometer fraudes en línea a escala industrial, mientras sufren abusos físicos. Los fraudes incluyen falsas inversiones en criptomonedas, así como estafas relacionadas con el trabajo desde casa, lotería y juegos de azar en línea.
Rosemary Nalubega, subdirectora de Comunidades Vulnerables de Interpol, explicó que este tipo de estructura relacionada al sudeste asiático ya “aparece en lugares tan remotos como América Latina”.
A principios de septiembre de este año, la Organización de las Naciones Unidas publicó un informe que reportaba más de 200 mil víctimas explotadas en situación de trata en granjas de estafas cripto y románticas (lo que se conoce como “pig butchering”). Estas operaciones incluyen todo tipo de fraudes en línea, como planes apócrifos de inversiones en criptoactivos y también apuestas online.
La información extraída de la investigación permitió abrir otras 360 investigaciones, agregó Interpol. Esta tendencia es mundial y, como advierten, ya echó raíces en América Latina.
🔗 Más info
EMB3D Threat model, el nuevo modelo para vulnerabilidades en hardware embebido
Update 120 de Chrome actualiza vulnerabilidades de alta severidad
Lazarus (Norcorea) está usando exploits de Log4j para instalar troyanos de acceso remoto
Discord agrega llaves de seguridad como método de logueo
El proveedor móvil más grande de Ucrania se cayó por un ciberataque
Tras rumores de una caída, Black Cat (ALPHV) sigue online
Toyota comunicó un data breach
Arrestan a un sospechoso de lavado de dinero que habría trabajado para Hive Ransomware
LockBit busca afiliados en BlackCat y NoEscape
Nuevo reporte sobre las técnicas de phishing de Scattered Spider, el grupo que atacó MGM y Caesars Palace
Cloudflare publicó su reporte anual 2023