Filtran datos del Hospital Italiano, breach en Okta arrastra a 1Password y cuatro días para Ekoparty
Publican 21GB de información del centro de salud, 1Password y Cloudflare afectadas por Okta, breach en el parlamento de Uruguay y arranca Ekoparty 19.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
20>27
oct
⚡ TL;DR
Los ataques a la cadena de suministro son cada vez más frecuentes. Esta semana se conocieron detalles del hackeo a Okta, un proveedor de identidad online, que desbordó a dos empresas más, una de ellas un gigante de la web, Cloudflare. Y otro, un software sensible por el tipo de información que maneja: el gestor de contraseñas 1Password. En una suerte de acuse de recibos, son hasta el momento tres las empresas afectadas que le pasaron factura a Okta y, sobre todo, se quejaron de los lentos reflejos ante el breach.
A nivel local, el Hospital Italiano, ubicado en la Ciudad de Buenos Aires, sufrió una filtración de 21 GB de información interna. La buena: por suerte no hay datos de pacientes. La mala: analistas advierten que, muy probablemente, el atacante filtre más datos. En Brasil, la popular plataforma de pagos digitales Pix “parió” un malware llamado GoPix, que ya se cobró varias víctimas.
Por el lado del research, Microsoft detalló cómo atacaron con ingeniería social a las cadenas hoteleras de Caesars Palace y MGM en Las Vegas, detectando un alto nivel de violencia y amenazas físicas en las extorsiones. Y Check Point dio a conocer las marcas más imitadas para cometer phishing, uno de los delitos más comunes.
Dos anuncios importantes. El miércoles de la semana que viene arranca la edición 19 de Ekoparty y estaré cubriendo el evento más grande de hacking de la región. Este año hay varias novedades, que conté en esta nota de Clarín (¡habrá badge electrónico como en DEF CON! -ya entrevisté a su creador, sale pronto-). Pueden contactarme respondiendo este mail si creen que tienen una historia de hacking para contar, o si simplemente quieren tomar una cerveza.
La otra, SecOps cambia de nombre. A partir de esta entrega, esta publicación se llamará Brodersen Dark News y se viene un rediseño de la identidad del newsletter.
Además, pronto haré un posteo para explicar algunos cambios de cara a 2024 para poder mantener las dos premisas que me propuse desde el momento cero: esta publicación es y seguirá siendo gratuita, pero como todo proyecto autogestionado, en algún momento necesita empezar a recibir financiación a través de pauta publicitaria.
Y, la segunda y no menos importante, mantener una política de transparencia con el/la lector/a: explicitar las condiciones de producción y quién paga un viaje para una cobertura o, en este caso, quien financia la producción semanal que consume tiempo y recursos personales.
Leer este correo te va a llevar 9 minutos.
🏥 Filtran información interna del Hospital Italiano
Una nueva filtración afectó a una entidad de salud en Argentina. El grupo de ransomware Knight (ex Cyclops), publicó un primer lote de información con 21 GB de datos de un usuario privilegiado del Hospital Italiano.
Una buena y una mala: a diferencia de la enorme cantidad de filtraciones de datos que hubo durante los últimos años en Argentina -con OSDE a la cabeza en lo que refiere a salud-, en este caso, afortunadamente, no hay datos de pacientes.
Dark News se contactó con Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, para entender qué datos se filtraron:
A partir de los nombres de archivos presentes en el lote, podemos deducir que contiene documentos personales de un administrador de sistemas o bases de datos. Existen copias de DNIs, pasaportes, recibos de sueldo, trámites ante ANSES, AFIP y Migraciones e incluso estudios médicos, pero no aparentan ser de pacientes del hospital sino de uso personal del administrador.
La mala noticia es que, como puede inferirse del árbol de archivos, todo indica que desde el equipo de administrador se descargaron torrents e información que puede haber comprometido al sistema, con lo cual el grupo de ransomware podría tener más información en su poder. Explica Eldritch:
Una carpeta llamada torrents indica que los equipos del hospital habrían estado expuestos a descargas de software de fuentes no confiables, posiblemente la puerta de entrada utilizada por el ransomware Knight aprovechando este usuario con privilegios elevados. Es importante destacar que el uso con fines personales de equipos corporativos plantea un riesgo grave para la organización, particularmente cuando se expone infraestructura hospitalaria a software pireateado, vector habitual usado por actores de RaaS (ransomware) y MaaS (stealers) para distribuir su software malicioso.
Dark News se contactó con el Hospital Italiano para pedir un comentario, pero la entidad decidió no hacer declaraciones.
🔑 El breach en Okta se cobra más víctimas: 1Password, Beyond Trust y Cloudflare
El gestor de contraseñas 1Password se convirtió en la tercera compañía (conocida) en verse afectada por el breach en Okta, proveedor de identidad online. Cloudflare y BeyondTrust habían sido las dos primeras.
El incidente se consolida como el segundo hackeo grave luego del que tuvo la empresa en enero del año pasado, cuando 366 empresas que usan sus servicios se vieron comprometidas.
Según Okta, en este caso, un actor de amenazas usó credenciales robadas para acceder a la cuenta de uno de sus ingenieros de soporte técnico. A partir de este acceso el intruso buscó los tickets enviados a IT para llegar a datos de clientes del servicio, y de allí logró robar un sesion token que le permitió ingresar al sistema de manejo de clientes (CRM) de Okta.
Afortunadamente, 1Password explicó que logró identificar esta cookie robada y pudo detener el acceso a información interna: los datos de los usuarios del gestor de claves -dicen- no se vieron comprometidos.
Las tres compañías emitieron comunicados: BeyondTrust, Cloudflare, y 1Password y, de alguna manera, resaltaron la lenta respuesta de Okta al incidente.
El hackeo habría ocurrido a fines de septiembre.
🪟 Microsoft detalla las TTPs de Scattered Spider
El grupo de ciberdelincuentes que estuvo detrás del reciente breach que paralizó a varios complejos turísticos de Las Vegas realizó amenazas de violencia física para poder conseguir que las víctimas entregaran sus credenciales. La información la publicó la división de inteligencia de amenazas y respuesta a incidentes de Microsoft.
Los investigadores pudieron acceder a los chats en los que se ven las extorsiones del grupo de adolescentes y jóvenes, miembros del grupo Scattered Spider (también conocido como Octo Tempest y 0ktapus), apuntando contra el personal técnico de los servicios de asistencia.
En algunos casos, el grupo llegó a recurrir a amenazas violentas para entrar a objetivos de alto perfil, incluyendo amenazas a la esposa de uno de los objetivos. Se trata de una práctica que no suele verse con frecuencia en las negociaciones de los grupos de Ransomware.
Conformado principalmente por angloparlantes nativos de menos de 20 años, Scattered Spider representa lo que los investigadores de Microsoft describen como "uno de los grupos criminales financieros más peligrosos" que trabajan en la web actualmente, capaz de "amplias campañas de ingeniería social para comprometer organizaciones en todo el mundo”.
Microsoft también advirtió que el grupo está migrando sus técnicas de ataque del sim swapping hacia el ransomware.
🏛 El Parlamento de Uruguay, bajo ataque
Un actor de amenazas puso a la venta 100 GB de datos del servidor de correos electrónicos del Parlamento. El caso generó revuelo en Uruguay, saltando el cerco de los medios especializados y llegando a los medios masivos de comunicación. Explicó Eldritch a Dark News:
Los servidores de correo, por la naturaleza de los datos que contienen (básicamente todas las interacciones de un organismo o compañía), son un blanco muy deseado por actores maliciosos y se debe tener especial cuidado de mantenerlos siempre actualizados a su última versión y bien configurados. Cuando surge una vulnerabilidad en estos servicios, es muy común observar campañas organizadas de explotación en manos de varios grupos con trasfondos distintos pero un mismo objetivo: filtrar comunicaciones (y sacar rédito de eso).
Por esto, el Parlamento uruguayo dispuso una investigación de urgencia para determinar si se produjo la filtración a partir del posteo que dice vender 100 GB de información.
Los diputados del Partido Colorado, Felipe Schipani y Sebastián Sanguinetti, radicaron una denuncia ante Delitos Informáticos contra la página Breach Forums, donde está el posteo que dice tener los datos, para indagar en la participación de hackers que podrían haber dado a conocer la información pública.
El mismo atacante también filtró datos del Ministerio Público de Paraguay.
🎣 Las marcas más imitadas para hacer phishing
Check Point Research publicó su informe trimestral con la lista de marcas más imitadas para cometer phishing: Walmart, con fuerte presencia en México, pasó a liderar el ranking, con un 39%. Esto implicó que pasara del sexto puesto al primero, en relación al período anterior. Microsoft la sigue con un 14% de los ataques.
MasterCard, la segunda mayor empresa de procesamiento de pagos del mundo, entró por primera vez en la lista de las 10 primeras, ocupando el noveno lugar.
"El phishing sigue siendo uno de los tipos de ataque más prolíficos, y vemos una mezcla de marcas imitadas en todo el sector minorista, tecnológico y bancario. La creciente aplicación de la IA también ha hecho que sea más difícil, pero no imposible, detectar la diferencia entre un correo electrónico legítimo y uno fraudulento", explicó Omer Dembinsky, Data Group Manager de la compañía de inteligencia de amenazas.
Estas son las 10 marcas más imitadas según Check Point Research durante el tercer trimestre de 2023, estas fueron las marcas más imitadas:
Walmart (39%)
Microsoft (14%)
Wells Fargo (8%)
Google (4%)
Amazon (4%)
Apple (2%)
Home Depot (2%)
LinkedIn (2%)
Mastercard (1%)
Netflix (1%)
🚀 Arranca Ekoparty: 1, 2 y 3 de noviembre en Buenos Aires
Ekoparty 2023, la conferencia de hackers, investigadores y expertos que se desarrolla en Argentina desde 2001, invita de manera gratuita a participar en el Centro de Convenciones Buenos Aires el 1, 2 y 3 de noviembre.
El foco de este año será “volver a los 90”. Contó Leonardo Pigñer, CEO de la conferencia, en esta nota que publiqué en Clarín:
Hackear en los 90 era una necesidad. Quienes tenían ese fuego interno de aprender, no tenían alternativa, ya que la tecnología comenzaba a desarrollarse y sus secretos se guardaban bajo muchas llaves. No había otra forma de aprender como funcionaba algo si no lo hackeabas primero. Al existir tan poca información, era fundamental reunirse con otros hackers para compartir ‘trucos’ descubiertos y trabajar en equipo para descubrir nuevos. Este fue uno de los propósitos por el que nació Ekoparty.
Dark News hará cobertura del evento. Por esto, habrá más envíos, de manera excepcional, durante la semana que viene.
La entrada a Ekoparty es gratuita, pero requiere registro previo en este enlace. La agenda se puede ver acá.
🔗 Más info
Hackearon con un defacement el sitio de Sergio Massa, uno de los candidatos presidenciales en Argentina
Roban información personal de la ciudad de Filadelfia en EE.UU.
Flipper Zero ahora puede spamear Android y Windows con alertas bluetooth
Cinco hospitales canadienses afectados por un ciberataque
Cisco arregla la vulnerabilidad IOS XE pero hackers logran explotarla
El fabricante de relojes Seiko confirma un robo de datos por un ransomware
Arrestan a 34 ciberdelincuentes en España por múltiples estafas
Análisis de Riddle, un nuevo infostealer