El Jockey Club cae víctima de un ransomware, la cobertura médica Avalian reconoce un hackeo y día 2 de Ekoparty 19
Dos conocidos grupos de ciberdelincuentes están activos en Argentina, la SEC va contra el CISO de SolarWinds, Cl0p ya se anota 2.500 víctimas y crónica del segundo día de Ekoparty.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición. Esta semana hay más entregas por Ekoparty (1, 2 y 3 de noviembre).
27 oct>
3 nov
⚡ TL;DR
En una semana cargada de información, el segundo día de la edición 19 de Ekoparty pasó entre charlas con alto contenido técnico, mucha actividad en las villas y una lluvia que -para no perder la costumbre- nunca paró.
En lo que respecta a lo local, el Jockey Club argentino apareció listado en el sitio del grupo de ransomware Medusa, el mismo que publicó datos internos de la Comisión nacional de Valores este año. Por otro lado, una importante cobertura médica, Avalian, comunicó a sus afiliados que sufrió un ciberataque. Por cuestiones de agenda, no tuve tiempo de cubrir estos casos en el diario -como suelo hacer-, así que los links son a notas de colegas que siguieron el tema en Rosario3 y El Cronista.
En cuanto a las noticias internacionales, una decisión de la SEC sacudió al mundo corporativo, luego de que demandara no sólo a Solar Winds por el hackeo sufrido en 2019 sino también a su CISO. Fue por mentir en los informes que emitieron luego de lo sucedido.
Por otro lado, las víctimas por el breach de MOVEit que Cl0p viene explotando desde principios de año ya pasaron las 2.500. Y en cuanto a reconossaince, un nuevo actor de amenazas se une a la escena: Prolific Puma.
Por una cuestión de tiempos personales (y de extensión, para no hacer una entrega tan larga), no voy a desarrollar estos temas más allá de los dos casos de Argentina. El resto será un resumen de la crónica del día 2 de Ekoparty, publicada ayer en Clarín.
Leer este correo te va a llevar 9 minutos.
🏇 Jockey Club y Avalian, las dos víctimas argentinas de la semana: qué se sabe
Dos víctimas argentinas hicieron ruido en el ambiente de la ciberseguridad local. Por un lado, el prestigioso Jockey Club argentino, listado por el grupo de ransomware Medusa.
Dark News contactó a Mauro Eldritch, experto en ciberseguridad e inteligencia de Birmingham Cyber Arms, quien explicó qué se puede ver en el preview:
Medusa anunció a Jockey Club como víctima el 30 de octubre de 2023, pidiendo un rescate de 300.000 dólares. Ya habían sido víctimas de Lockbit el año pasado. Los archivos filtrados contienen información financiera contable, presupuestos, pagos y contrataciones, además de un respaldo de nube OneDrive.
Por otro lado, una cobertura médica, Avalian, comunicó a sus afiliados un ciberataque “de fuentes externas”: “Queremos informarte que hemos detectado que los problemas técnicos comunicados durante el día de ayer corresponden a que nuestra organización fue blanco de un ciberataque de fuentes externas”, dijeron en un mail que enviaron a sus usuarios.
Según pudo saber Dark News, sería un ataque de ransomware del grupo Akira. Contextualizó Eldritch, sobre las TTP del grupo:
Akira (o Punk Spider según inteligencia de Crowdstrike) es un actor de ransomware activo desde Abril de 2023 y con actividad ininterrumpida hasta hoy. Se especializa en Big Game Hunting (BGH, cacería de víctimas “importantes”) y emplea un modelo de doble extorsión (encriptación de los datos de la víctima y exfiltración de una copia hacia servidores del actor). De no suceder el pago de un rescate económico, la víctima no podrá desencriptar sus archivos y la copia exfiltrada será publicada por el actor en su DLS (Dedicated Leak Site, sitio dedicado a filtraciones).
Según el experto, “se cree que Akira subcontrata activos para llevar a cabo las operaciones de intrusión, y adquiere accesos no autorizados a la infraestructura de sus víctimas a través de IABs (Initial Access Brokers, vendedores del mercado negro)”. Además, un dato no menor es que ya registraba ataques en Argentina:
Su actividad criminal no se limita a una región en particular, listando víctimas de distintos países como China, Canadá, Suiza, Sudáfrica, Bangladesh, Nicaragua, Estados Unidos, Australia, Reino Unido, Portugal e incluso Argentina, donde atacaron exitosamente a Papel Prensa SA.
📅 Día 2 de Ekoparty: una combi recluta hackers en escuelas secundarias, recuerdan a Kevin Mitnick y buscan “relatos salvajes” de ciberseguridad
El segundo día de Ekoparty, una de las conferencias de hackers más grandes de la región sudamericana, transcurrió entre charlas de expertos, un grupo de reclutadores de hackers en escuelas secundarias y las “villages”: estaciones instaladas en la sala más grande del Centro de Convenciones Buenos Aires donde se hackea todo lo que se puede, desde sistemas satelitales hasta cerraduras físicas.
Con clima lluvioso, la conferencia abrió a las 10 de la mañana con una serie de charlas de calibre más técnico en el auditorio principal, desde cómo se registran las vulnerabilidades en un sistema público (MITRE ATT&CK) hasta una falla grave de Windows.
El protagonismo, sin embargo, lo tuvieron las “villas”, un modelo tomado de DEF CON, la conferencia de hackers más grande del mundo que se realiza todos los años en Las Vegas, donde se realizan distintas actividades relacionadas al hacking y participan todos los asistentes interesados. Allí también se realizan competencias para aprender nuevas técnicas, tipos de ataques y seguridad tanto ofensiva como defensiva.
Uno de los stands más concurridos tiene que ver con lo que se llama “Futuro hacker”, un proyecto mediante el cual los organizadores buscan “reclutar” jóvenes hackers en escuelas secundarias.
En el centro de la convención hay una combi, la “Ekoneta”, que es el emblema del reclutamiento. La edición 2023 de Ekoparty implicó el debut de la “Futuro Hacker Village”, un espacio con actividades pensadas para estudiantes y jóvenes dando sus primeros pasos en ciberseguridad.
“Hicimos 20 charlas con las cuales llegamos a más de mil estudiantes de Buenos Aires, Córdoba, Catamarca y Santiago de Chile. Pasamos por escuelas secundarias y universidades de estas ciudades, fomentando el interés por la ciberseguridad como herramienta de desarrollo profesional”, contó Sabrina Pagnotta, responsable de Futuro Hacker.
“Tanto las autoridades y docentes de las escuelas como los estudiantes muestran un gran interés por este contenido. Durante las charlas repasamos algunos conceptos fundamentales de seguridad para la vida cotidiana y para el uso responsable de la tecnología, y más que nada, les contamos sobre la ciberseguridad como profesión”, agrega.
“Qué es realmente ser hacker (a diferencia de un cibercriminal), en qué consiste trabajar de esto, qué perfiles y oportunidades hay dentro de la seguridad ofensiva y defensiva, qué herramientas y skills deben tener para iniciar su camino en este sector”, sigue la organizadora de la iniciativa.
Una de las cuestiones que se palpó en este village fue el gran interés de los jóvenes en edad de secundaria por aprender más allá de la currícula. “La gestión se hace a través de Polis XXI, una asociación civil que responde al despertar de la curiosidad. Nosotros tenemos una materia que no es sobre ciberseguridad pero sí sobre informática, entonces vemos seguridad física y lógica. Y eso nos incentiva a buscar más sobre el tema”, contó Pablo Kapitonozyk, un alumno de 17 años de la Escuela Técnica número 7 (José Hernández) de Avellaneda.
“El proyecto empezó como una idea para tener herramientas, contactos. Tuvimos una charla con Sabrina sobre Blue Team y los tipos de ‘sombreros’, además de otra sobre búsqueda laboral. Todo es extracurricular, tuvimos una base pero aprendemos más por nuestra cuenta”, agregó Lucía San Miguel, de la misma escuela.
Los estudiantes están muy receptivos y se despierta su curiosidad sobre estos temas, ya que “se empiezan a plantear sus próximos pasos y su salida al mundo laboral. La ciberseguridad se les presenta como una alternativa interesante y desafiante, sobre todo al desterrar algunos mitos en lo que es ser hacker, y sus preguntas tienen que ver con lo práctico: por dónde empiezo, qué me conviene estudiar, qué herramientas debo saber usar, cómo consigo mi primer empleo”, aclara Pagnotta.
En 2024, la “ekoneta” recorrerá más provincias. Durante la primera parte del año estará por Córdoba, San Luis y Mendoza, además de su presencia continua en Buenos Aires. “Recibimos solicitudes de escuelas cada semana y en base a eso vamos armando nuestro cronograma.
También estamos formando voceros en otras ciudades como Lima y Santiago de Chile para que den las charlas localmente, y de esta manera lograremos federalizar el programa para que más chicos y chicas conozcan la ciberseguridad”, cierra Pagnotta.
Las “villages” y el espíritu de Kevin Mitnick
Entre las villas más destacadas están las de Red y Blue Team, dos rubros de la ciberseguridad muy buscados en la actualidad por empresas y entidades gubernamentales. También hay una de “cyberfinance”: “Tenemos un desafío que se llama ‘hackeá tu primer banco’ donde hay que ‘pescar’ credenciales, literalmente, haciendo una metáfora del phishing”, contó Facundo Lisotto, uno de los organizadores del espacio.
Uno de los espacios más llamativos es el de “lockpicking”, donde se realizan competencias y workshops para enseñar cómo abrir cerraduras, en lo que se conoce como seguridad física. El sentido de esto es entender el funcionamiento y las posibles vulnerabilidades que puede conllevar un sistema de cerraduras como el que tiene cualquier usuario en su casa.
El Museo de la Informática tiene una sección dedicada completamente a espionaje, donde hay elementos y accesorios que se han usado en sistemas locales en escenarios como la Guerra de Malvinas.
“El BlueSpace Village es una comunidad que engloba a la seguridad defensiva, las prácticas forenses cuando ocurre un ciberataque, el análisis de malware (virus) y SOC (Centro de operaciones de seguridad). En el espacio unimos a la comunidad, damos herramientas y conectamos a través de Telegram y otras herramientas de comunicación, además de hacer una competencia con distintos premios”, contaron desde la organización de este espacio.
Es una de las que tiene una de las competencias más originales: “Relatos Salvajes”, donde llaman a contar una historia real que miembros de la industria hayan vivido ciberataques o problemas de sistemas. La mejor historia se lleva un premio.
Al lado de ese stand está el “equipo rojo”. “En el red team se busca validar las defensas de un sistema: personas, procesos, tecnologías. Suena trillado pero lo que miramos es qué pasa si se dispara una alerta y el usuario no reacciona de la manera esperable”, contó a este medio Javier Antúnez, fundador y coordinador del espacio en Ekoparty.
Para coronar y honrar al hacking, el Red Team organizó una serie de premios relacionados con Kevin Mitnick, el histórico hacker y considerado por muchos el referente más grande de la ingeniería social, que murió a mediados de año: no sólo sus libros sino también hasta su tarjeta personal, icónica, que consiguieron a través de su viuda.
Así, el espíritu de Mitnick se sintió entre los más veteranos del Centro de Convenciones Buenos Aires.