Foro ESET Latinoamérica: cómo operan las amenazas locales, el mercado negro de Telegram y "commodity malware"
Dark News viajó a Punta del Este para participar de la octava edición Octavo Foro ESET Latinoamérica: resumen de los dos días, apuntes de las 24 sesiones y entrevistas con researchers.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
10>17
nov
⚡ TL;DR
Esta semana participé del Octavo Foro de Seguridad Informática de ESET Latinoamérica. Se trata de una serie de conferencias que se realiza todos los años en distintas ciudades de la región. Este año tocó en Punta del Este, Uruguay, y participaron 16 periodistas. Dark News formó parte de la selección, invitado principalmente por Clarín, donde publiqué dos notas que sintetizaron los dos días de conferencias (día 1 y día 2).
Algo para destacar es la gran cantidad de información que compartió ESET en los dos días que duró el foro. No siempre sucede eso: acá hubo mucho dato, mucho análisis y también talleres, desde cómo navegar de manera segura la dark web hasta demos con el funcionamiento de malwares y su vínculo con -cuándo no- la inteligencia artificial.
Por la cantidad de información que compartió ESET en el foro, voy a dedicar esta entrega completa a resumir los dos días de las conferencias, ya que más allá de lo que publiqué en Clarín, quedó mucha información afuera que me gustaría volcar acá. El tradicional resumen de la semana queda para el final de esta entrega, en la sección Más info.
ESET maneja mucha telemetría que sirve para pensar un poco el panorama actual de amenazas. Pero hace falta hacer una aclaración que, para mí, hasta ahora la escuché resumida de la mejor forma en uno de los analistas de la compañía: Camilo Gutiérrez.
Hay un problema sobre la telemetría, es decir, sobre los datos que recopilan y publican las empresas de ciberseguridad: son datos parciales que, en cierto sentido, nunca podrán pintar el cuadro completo del threat landscape. A los periodistas, constantemente nos llegan correos con datos y estadísticas. Pero toda esta información no se puede tomar de manera absoluta. Y esto es una tentación muy grande, porque al periodismo le gustan las cifras y los datos duros porque, a fin de cuentas, son la materia prima de nuestro trabajo.
Pero si algo me enseñó una de las mejores fuentes que tengo es que estos números no dicen verdades absolutas sobre el panorama de amenazas sino, muchas veces, dicen algo sobre la telemetría de una empresa en particular. Y en este viaje, Camilo de ESET le puso las mejores palabras que escuché hasta el momento a esta tensión:
Puede sonar pretencioso apuntar a definir todas las amenazas de la región, pero podemos pensar en un multiverso de amenazas y la descripción de uno de ellos nos deja ver una tendencia.
Es una buena forma de pensarlo: el multiverso de los vendors y las empresas de intel, a fin de cuentas, aporta inormación que siempre hay que tomar teniendo en cuenta la parcialidad de cada una.
Bajo todo este contexto, paso a resumir los puntos más importantes de lo que ESET recopiló para este encuentro en relación a 2023, no sin antes arrojar dos aclaraciones.
Primero que open-sourceo los apuntes que tomé durante toda la jornada. Si a algún lector le interesa profundizar un tema, me puede escribir (respondiendo este correo) y puedo hacer de puente con el equipo de PR de ESET. Hay muchos estudios publicados y todos son accesibles. Dato, además: los analistas tienen una predisposición inmensa a contar sus investigaciones.
Y la segunda, una aclaración de transparencia: ESET pagó la totalidad del viaje, desde los traslados al aeropuerto, el aéreo, hospedaje y comidas. Del foro participaron 16 periodistas de América Latina (3 de México, 3 de Brasil, 2 de Colombia, 2 de Perú, 2 de Chile, 3 de Argentina -Melisa Avolio de Télam, Rodrigo Álvarez de TN Tecno y yo-, 1 de Uruguay).
Leer este correo te va a llevar 11 minutos.
🌎 Operaciones en Latinoamérica: menos sofisticadas que los APT, pero más desarrolladas
Una de las investigaciones más interesantes tuvo que ver con el perfilado de grupos de cibercrimen activos en América Latina que, por sus TTPs, todo indica que están localizados en la región.
Gutiérrez expuso en la apertura de la jornada un trabajo presentado este año en Virus Bulletin junto a Fernando Tavella, otro de los analistas de ESET. Allí contó sobre ciertas operaciones llevadas a cabo en América Latina por actores de amenazas localizados.
En este sentido, marcó una diferencia con los grupos más organizados como las bandas actuales de ransomware u otros APT. Las bandas latinas tienen menos músculo para realizar sus ataques, aunque fueron perfeccionando sus técnicas. Y, por esto, se volvieron más efectivos. Explicó a Dark News:
El año pasado empezamos a publicar el APT Report. Cuando hablamos de Vice, Conti, RansomHouse [que hackeó a la red IFX, causando un colapso total en Colombia, Chile e incluso a algunas pymes de Argentina], son grupos que tienen mucho tiempo operando, no se dedican sólo al robo de información, sino que apuntan a empresas para exfiltrar datos de sus servidores, dejar un ransomware, detener la operación y extorsionar.
En Latinoamérica, explicó, sigue siendo un negocio muy rentable: “A nivel global el negocio fue disminuyendo para los cibercriminales, porque después de WannaCry se tomó conciencia y muchas empresas empezaron a mejorar sus políticas de backups. Pero en Latinoamérica todavía funciona, porque muchas empresas acá no tienen la costumbre de hacer backups. O si los hacen, dejan los backups dentro de los mismos servidores sobre los que operan, con lo cual cuando los ciberdelincuentes cifran los datos, no pueden recuperarlos”, explicó.
Sin embargo, en la región, los atacantes son menos sofisticados:
Los grupos grandes de ransomware tienen afiliados y trabajan con fondos para poder pagarle a los afiliados. Las bandas de América Latina van con campañas más dirigidas a cada uno de los países para terminar descargando un RAT, robar información y luego venderla. Si los comparás con estos APT, son menos desarrollados, pero, así y todo, sí hemos visto cómo han ido evolucionando, ya que si comparamos con campañas de 2015, eran mucho más sencillas: un archivo que llegaba a un correo electrónico, se descargaba el adjunto y se infectaba al objetivo. Hoy ya hay un proceso de infección con más pasos: el correo enviado a la víctima ya tiene un archivo comprimido que tiene otro, que es el que va a dar acceso remoto al atacante.
Todo esto está explicado en el paper de Virus Bulletin. Estos actores condujeron operaciones bautizadas por ESET: Spalax, que apuntaba a entidades colombianas mediante spear-phishing (phishing dirigido a usuarios concretos, no enviados masivamente), Guinea Pig este año, que suplantaba una conocida app de mensajería e impactó en Colombia, México, Perú y Ecuador y Lux Plague, que apuntaba a suplantar a la AFIP en Argentina en 2022.
En este caso, descargaba una variante del troyano de acceso remoto “NjRAT” para espiar a su víctima. Se trata de un código malicioso de código abierto que se encuentra disponible para descargar en sitios donde el malware opera como un commodity.
Sobre este punto se habló bastante durante los dos días de la conferencia.
🛒 Crimeware y “malware como commodity”, dos de los conceptos más destacados del foro
Diversos “researchers” de la compañía expusieron las distintas formas de ataque y, durante el segundo día, hicieron especial foco en lo que se conoce como “crimeware”. Explicó Martina López:
Se tratan de amenazas disponibles por pocos centavos de dólar o incluso gratuitas, algunas son de código abierto que pueden encontrarse en GitHub de manera completa. Se usan principalmente para exfiltrar información, capturar el micrófono, capturar la webcam, buscar servidores activos dentro del equipo de trabajo, buscar nombres de archivos que puedan contener información sensible. Hasta tienen sistemas de reportes y trackeo de bugs y se actualizan regularmente.
Dato de color: mostró un sitio para comprar servicios de phishing que tenía una estructura igual a un marketplace como Amazon o Mercado Libre (y usaba la tipografía de Mario Kart para su logo)
En América Latina, la tendencia a este tipo de usos de herramientas maliciosas fue fuerte en 2023: Operación Absoluta en febrero (Colombia), Operación Guinea Pig en abril (México) y el troyano njRAT en Ecuador en agosto, son algunos de los casos que nombraron los expertos.
🕵 Redline Stealer, el malware más detectado de América Latina por ESET
David González, otro de los investigadores de ESET, contó en su charla cuáles son los spyware más detectados por la compañía. En su exposición, el analista aseguró que las detecciones de Redline Stealer están en el orden del 47% en la región.
Además, el dato curioso es que en julio, época vacacional en el hemisferio norte, las detecciones bajan: “Los ciberdelincuentes también se toman vacaciones”, dijo González.
Los vectores de ataque más detectados, explicó, son principalmente dos: ingeniería social para engañar a las víctimas, desde descargar archivos infectados hasta publicidad falsa y páginas apócrifas. El segundo es (sin sorpresas), la explotación de vulnerabilidades, debido a la baja tasa de actualización promedio de los usuarios.
Fabiana Ramírez Cuenca dio a conocer la telemetría de ESET en torno a los vendors con más vulnerabilidades:
Google (Android / Chrome): 1357
Microsoft (Excel / Windows server): 897
Apple (iPhone / Mac OS): 394
🎣 Panorama de estafas: el reinado del phishing
Otro de los puntos que debe ser una constante en estos foros es el phishing: sigue manteniendo un reinado absoluto. Con nuevas variantes y ropajes, la estructura es siempre la misma. Apelar a la urgencia para engañar a los usuarios con un correo que suplanta la identidad de una entidad oficial.
En diálogo con Dark News, Martina López explicó:
El phishing tuvo una vuelta de tuerca en el mercado del ciberdelito, que es ofrecerse como un servicio. Es de muy fácil acceso, se paga por el uso y los desarrolladores incluso personalizan las herramientas para sus “clientes”. Se compran las bases de datos de los correos electrónicos -en Argentina hay una muy conocida de hecho con 3 millones de correos- y sobre eso se envían estos correos apócrifos.
En cuanto a los vectores de propagación, las detecciones colocan al mail, las redes sociales y las apps de mensajería como los más comunes. Aparecieron, según la especialista, otros nuevos como foros de videojuegos y apps como Discord.
El dominio del phishing se puede ver reflejado en la telemetría: 50 mil detecciones diarias de phishing en todo América Latina (y contando) en lo que va de 2023. “Los troyanos genéricos, la segunda detección, no se le acercan ni por casualidad al phishing. Por cada código malicioso que detecta el sistema de ESET, detectamos 2 o más correos de phishing”, cerró López.
🐴 Troyanos bancarios, la otra amenaza permanente
Otra de las amenazas que sigue “muy latente en América Latina”, según expuso González, tiene que ver con los troyanos bancarios. “Los infostealers y keyloggers, junto a los backdoors, dominan la escena”.
En cuanto a las formas de propagación, siguen mateniéndose las técnicas conocidas: enlaces de correo electrónico (Mekotio como ejemplo), la descarga de adjuntos, en especial documentos de office con macros y smishing.
Así, para robar datos financieros, los troyanos bancarios se mantienen al tope en la lista de amenazas.
📲 Telegram, el bazar del ciberdelito
Otro de los puntos destacados en el primer día del foro tuvo que ver con el uso extendido de Telegram como un bazar para el cibercrimen. “Es más sencillo de usar que la dark web, es más rápido que redes como Tor y está al alcance de todos”, explicó Mario Micucci, analista de ESET.
Esto es un problema grave, debido a la poca regulación que tiene el servicio de mensajería, donde diversos canales ponen en venta credenciales de acceso de entidades públicas, promueven software para realizar ataques y también funcionan de intermediarios incluso para crimen generalizado.
Si bien el 90% de la web está en deep web, la Dark Web es menos del 1% de ese 90 (Fuente: Kela), aclararon. Pero el lugar que se ganó Telegram estos años tiene que ver con la practicidad del servicio de mensajería, sumado a ciertas condiciones (relativas) de anonimato:
Telegram facilitó el trabajo de los cibercriminales. En la actualidad los usuarios priorizan la practicidad, y los atacantes también: Telegram es más directo que la dark web. Hay venta de servicios de hacking al estilo “rent-a-hacker”, venta de datos financieros, clonación de tarjetas, y más. Podemos concluir que estar haciendo configuraciones e instalar software es más engorroso. Los ciberdelincuentes buscan la practicidad, para tener más ingresos buscan masividad, y Telegram es ideal para cumplir con este propósito.
El miércoles 15 por la tarde cerró la edición 2023 del foro. Como hay mucha información que no pude incluir, dejo los apuntes de los dos días de las conferencias, como anticipé en el TL;DR. Remarco lo de “apuntes”: son notas extraídas de la charla. Tanto esta entrega como las dos notas de Clarín tienen un foco editorial propio que sale de esas dos sesiones y de entrevistas mano a mano con los especialistas.
El Foro ESET Latinoamérica representó este año un buen espacio para ponerse al día con el threat landscape que se desprende de la telemetría de la empresa eslovaca, que tiene un equipo de 90 personas en Buenos Aires y, quizás por esto, una cantidad muy grande de producción de materiales que se publican periódicamente en el sitio de research y awareness We Live Security.
Y, también, una excelente oportunidad para conocer, charlar, compartir comidas y, claro, beber con los analistas de la compañía y colegas de toda la región.
🔗 Más info
Una nueva campaña de phishing suplanta a la Universidad de Buenos Aires
Actores maliciosos suben información de FADU (Uruguay)
Lockbit dice que la división de EE.UU. de ICBC pagó el rescate del ransomware que se conoció hace una semana
En un caso sin precedentes, Black Cat (ALPHV) eleva una queja ante la SEC por un databreach
El FBI comparte detalles sobre las TTP de Scattered Spider
Zero day en Zimbra, explotado para robar mails oficiales por cuatro grupos
Toyota confirmó un data breach luego de que Medusa amenazara con filtrar datos
WhatsApp también trabaja en sumar nombres de usuario