Usuarios y claves de 850 organismos argentinos, filtrados: ministerios, Senado y Poder Judicial
Publican gratis credenciales de acceso "gob.ar" y "gov.ar", sitios apócrifos para consultar el padrón electoral, crackean el nuevo casco de VR de PlayStation y desarticulan el malware Snake.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
5>12 may
🔑 Filtran usuarios y claves de 850 organismos argentinos
Un canal especializado de compra y venta de datos personales publicó una “combolist”, esto es, un archivo de texto con usuarios y contraseñas, con más de 100 mil credenciales de acceso. Entre ellas, 2.155 pertenecen a agentes de Gobierno de cerca de 850 organismos argentinos. Están disponibles de manera gratuita.
“Hay accesos de varias fuerzas de seguridad, AFIP, ANMAT, ministerios, fiscalías, el Poder Judicial y más”, explica a Clarín Mauro Eldritch, analista de amenazas de BCA LTD, quien encontró la filtración.
No es la primera vez que ocurre una fuga de datos relacionada a organismos del Estado argentino: en octubre de 2020 la Dirección Nacional de Migraciones sufrió un ataque de ransomware que derivó en una publicación masiva de datos de ciudadanos. Un año después, el RENAPER, que maneja los documentos de identidad, pasaportes y otros certificados sensibles, tuvo un acceso no autorizado que extrajo datos de 60 mil argentinos. Tres días después, el Ministerio de Salud denunció el caso adjudicando un ataque de phishing.
Este nuevo caso no tuvo cobertura mediática pero representa un peligro para los usuarios afectados, advirtió el experto a SecOps:
“Esto conlleva dos peligros importantes: el inmediato, que es la reutilización de esas passwords para ingresar a otras cuentas del usuario. Pero hay otro aún más grave y es que la publicación gratuita de esta información implica que los datos ya pasaron por las manos de quienes debía pasar (los consumidores "prioritarios" o bien ubicados en la escena del ciberdelito) y que, por lo tanto, el contenido ya está ‘quemado’, como se dice en la jerga [que ya se usó]”.
El caso se suma así a la larga lista de filtraciones relacionadas al Estado argentino, uno de los más afectados a nivel regional por este tipo de incidentes.
🗳 Ya hay sitios apócrifos para consultar el padrón electoral
Faltan cerca de tres meses para las elecciones Primarias Abiertas Simultáneas y Obligatorias (PASO) en Argentina: serán el 13 de agosto. Las generales, el 22 de octubre. A partir de la cercanía con estas fechas, ya empezaron a circular sitios apócrifos para consultar el padrón electoral.
Analistas en seguridad informática están perfilando este tipo de estafas. SecOps contactó a Merlax, experto en malware y phishing, para entender cómo están funcionando:
“La idea de la investigación es ver cómo iban a reaccionar ante el año electoral los cibercriminales dedicados a estafas a través de sitios apócrifos, a quiénes iban a apuntar y con qué objetivo. En este caso, se logró identificar que hay un criminal (o grupo) que ya se está aprovechando para obtener los datos de tarjetas de crédito/débito de las personas que caigan en sus sitios de phishing”
De manera más específica, el threat analyst detalló como funcionan estás páginas identificadas:
“Constan de dos pasos en dónde se le van a solicitar ciertos datos a la víctima. En el primero, se pide que ingrese DNI, género y distrito (hasta acá los mismos datos que el sitio original del padrón: padron.gob.ar). En el segundo, le pide a la víctima nuevamente el ingreso de su DNI y todos los datos de su tarjeta de crédito/débito con el fin de poder validar su identidad. Si bien es demasiado burdo, puede que haya gente que por distracción o total desconocimiento de cómo funciona el sistema online caiga en él”
Merlax advirtió que el problema podría multiplicarse de acá a las PASO:
“Aún faltan 3 meses para las PASO, no descartaría que aparezcan sitios con diseños diferentes o que haya sitios que intenten persuadir a una persona hacia la descarga de un software malicioso (malware)”
Una pata grave de todos estos sitios es que, si pagan, pueden promocionarlos en Google Ads. Como ya trató SecOps, es un problema que el buscador más famoso del mundo todavía no resuelve: que cualquier estafador pueda pagar para aparecer primero en la lista de resultados.
Merlax no descartó “que más adelante haya otros medios de propagación como puede ser WhatsApp, SMS o correos electrónicos”.
Este tipo de sitios se pueden denunciar ante el Equipo de Respuesta de Emergencias Informáticas (CERT), en este enlace. El sitio oficial del padrón ya publicó una advertencia sobre la situación.
🐍 El FBI desarticuló la red de malware Snake, “creada por espías rusos”
El FBI logró intervenir “Snake”, un software malicioso utilizado por espías rusos de élite. La noticia recorrió titulares del mundo porque es un ladrillo más en la pared de la ciberguerra entre dos potencias mundiales.
Expertos técnicos del FBI identificaron y deshabilitaron el malware utilizado por el servicio de seguridad ruso FSB contra un número no revelado de computadoras estadounidenses. "Evaluamos esto como su principal herramienta de espionaje", aseguró uno de los funcionarios estadounidenses a los periodistas antes del anuncio.
“Turla”, como se identificó al célebre grupo de hackers rusos que estuvo detrás de este malware, ha estado activo por dos décadas, aseguró el FBI.
Rusia no respondió las solicitudes de comentarios de medios occidentales y negó todo tipo de vínculo con operaciones de ciberespionaje.
🦊 Firefox mejoró su gestor de contraseñas
Mozilla lanzó la versión 113 de su navegador Firefox. Uno de los cambios más importantes es que el generador de contraseñas integrado de Firefox viene con una importante mejora: ahora permite agregar caracteres especiales a las claves aleatorias.
Esto permite a Firefox generar contraseñas que superarán la mayoría de las pruebas de complejidad de contraseñas (cosa que antes no hacía).
Además, las ventanas privadas ahora “protegen aún mejor a los usuarios bloqueando las cookies de terceros y el almacenamiento de rastreadores de contenidos”, aseguran.
Todas las notas de la actualización, en este enlace.
🎮 Crackean el hardware del casco de realidad virtual PlayStation VR2
El casco de Realidad Virtual de PlayStation, uno de los más importantes del rubro, ya fue crackeado: el hardware de autenticación puede ser “puenteado”, según contó en Twitter un desarrollador de software.
Aunque, según explicó, “todavía hay mucho trabajo por hacer”, esto significa que por ejemplo se lo podría hacer funcionar en una PC en lugar de una consola.
No hay mucha más información al respecto más que la confirmación del investigador de que las restricciones que Sony setea de fábrica ahora pueden ser bypasseadas.
💣 13 dominios de DDoS desarticulados
El Departamento de Justicia de EE.UU. (DOJ) anunció que dio de baja 13 dominios usados para cometer ataques de DDoS, una maniobra que satura las conexiones para impedir el acceso a usuarios legítimos.
Las autoridades explicaron que diez de los 13 dominios incautados esta semana son reencarnaciones de portales DDoS retirados anteriormente en diciembre de 2022. En aquel momento, Europol y el FBI retiraron un lote de 48 dominios utilizados para ataques DDoS y detuvieron a seis sospechosos.
Sobre este punto, es interesante ver cómo los cibercriminales reutilizan herramientas previas para cometer ataques. Explicó recientemente Derek Manky, jefe de análisis de amenazas de Fortinet:
“Podríamos decir que están utilizando los principios de reducir, reutilizar y reciclar, pero en lugar de enfocarlos en el medio ambiente lo están adaptando con el código malicioso para permitir resultados criminales más exitosos. De hecho, en nuestro análisis del malware más reportado para la segunda mitad de 2022, vimos que la mayor parte de los primeros puestos estaban ocupados por malware que tenía más de un año. Algunos de ellos, como Lazarus, existen desde hace más de 10 años y son pilares de la historia de internet”
Según el Departamento de Justicia estadounidense, cuatro de esos seis sospechosos se declararon culpables y está previsto que sean condenados este verano.
🔗 Más info
Se están reportando menos casos de ransomware contra organismos públicos en EE.UU.
Twitter estrena DMs encriptados (sólo para cuentas pagas y con varias salvedades)
“Más transparencia en torno a los ciberataques es mejor para todos”, dice Gran Bretaña
Microsoft abre Authenticator por “number-matching” a todos los usuarios
Apple actualizó su guía de seguridad personal para el usuario
GitHub estrena una función que previene a desarrolladores de publicar datos sensibles
Más sitios apócrifos estafan con ChatGPT