Grandoreiro: desmantelan uno de los troyanos bancarios más grandes de América Latina
Capturan a cinco operadores en Brasil, publican datos de Geocom en Uruguay y EE.UU. interrumpe las operaciones de la botnet KV de Volt Typhoon (China).
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
Envío desde Washington DC
26 ene>
2 feb
⚡ TL;DR
Esta semana arranqué el programa IVLP Promoting Cibersecurity en Washington. Conté en los envíos pasados que implicaba 3 semanas en diversas ciudades de Estados Unidos con reuniones con actores clave que están lidiando con el ransomware y los ciberataques en el país, y cómo participan de operaciones globales junto con otros países. También conté que todas las reuniones son off the record, aunque puedo contar algunas generalidades que me parecieron interesantes en relación a los temas que trato semana a semana en esta publicación.
Formo parte de una delegación con miembros especialistas en distintas áreas de ciberseguridad, desde CISOs de bancos en Asia hasta miembros de fuerzas policiales y diplomáticos de Europa, hasta profesores universitarios del sur de África. Un poco soy la oveja negra, pues soy el único periodista y no pasa un día sin que me recuerden que nada de las reuniones se puede contar on the record.
El programa tiene, durante esta primera semana, un fuerte componente en conocer miembros de dos dependencias clave del gobierno norteamericano: el Department of State (DOS) y el Department of Homeland Security (DHS), que tiene un rol clave debido a que bajo su órbita se encuentra la Cybersecurity and Infrastructure Security Agency (CISA), quizás uno de los organismos nuevos más relevantes en este tópico en el país (se fundó en 2018).
Lo primero que me llamó mucho la atención es la impresionante cantidad de burocracia estatal y presupuesto que destina el país a tener muy diferenciado quién hace qué. Tuvimos una reunión en el Edificio Russell de los Representantes (frente al Capitolio), donde pudimos entender un poco la dimensión que tienen los engranajes estatales para poder tratar incidentes de ciberseguridad y, créanme, son muchos.
También tuvimos reuniones con representantes del Servicio Secreto, del Departamento de Estado y hasta de una sección específica de una industria crítica al interior del país en cuanto a sistemas industriales (OT).
El martes visitamos el Departamento de Estado, donde apareció el problema de los sistemas legacy como un desafío a resolver, en tanto a pesar de tener un SOC 24/7, la antigüedad del software puede representar un problema crucial a la hora de que un evento se transforme en un incidente.
Otra reunión relevante para el ecosistema de la ciberseguridad, aunque ya dese un marco legal, fue dada por representantes del Departamento de Justicia, que dieron detalles sobre la Operación Duck Hunt, que a fines de agosto de 2023 dio de baja la botnet Quackbot.
El programa tiene una agenda muy cargada: arrancamos cerca de las 8 am las actividades y suelen terminar cerca de las 5 de la tarde. El fin de semana partimos para Colorado Springs (Colorado), ya que el diseño del proyecto implica ir desde conocer cuestiones macro de gestión en ciberseguridad hacia ciudades más intermedias y chicas.
Fuera del viaje y ya en la agenda del plano regional de América Latina, la Policía de Brasil, junto con el equipo de investigación de ESET, desarticuló Grandoreiro, uno de los troyanos bancarios más activos de la región y detuvo a 5 miembros clave que lograron recaudar cerca de 3.9 millones de dólares con esta botnet.
Además, aparecieron credenciales expuestas de LACNIC, que gestiona recursos numéricos en América Latina, por un ataque a una telco de España y publicaron datos extraídos tras el ataque de ransomware a Geocom en Uruguay.
A nivel global, EE.UU. llevó adelante una operación contra un actor de amenazas que representa los intereses de La República Popular China, Volt Typhoon, a quienes el FBI acusó de atacar infraestructura crítica del país.
Por último, dejo esta nueva entrevista con Cory Doctorow que pude leer en un tiempo muerto del viaje. Siempre es interesante leer su perspectiva sobre el panorama tech y, el último libro -una novela-, sintetiza muy bien algunos aspectos de los tiempos que vivimos.
Leer este correo te va a llevar 13 minutos
Esta entrega cuenta con el apoyo de:
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
🌎 Desarticulan la base operativa de Grandoreiro
La Policía de Brasil desmanteló la base operativa del troyano bancario Grandoreiro, uno de los más detectados en América Latina. Fue en una operación conjunta con la colaboración de ESET, que encontró una falla de diseño en este conocido malware.
En un comunicado oficial, la Policía Federal brasileña arrestó a cinco miembros que manejaban el malware y allanaron 13 domicilios en los estados de São Paulo, Santa Catarina, Pará, Goiás y Mato Grosso.
Se estima que desde 2019 lograron recaudar 3.9 millones de dólares de clientes bancarios de Brasil, Argentina, México y España.
Las investigaciones comenzaron a partir de información enviada por Caixa Bank, que identificó que los programadores y operadores del malware bancario se encontraban en Brasil y utilizaron servidores en la nube para alojar la infraestructura weaponizada en las campañas de malware de Grandoreiro.
“También se están cumpliendo órdenes judiciales de embargo y bloqueo de bienes y valores con miras a descapitalizar la estructura criminal y con el objetivo de recuperar activos. Según Caixa Bank, entidad financiera de España, además de los daños causados, se identificó que hubo intentos de fraude utilizando malware bancario brasileño que ascenderían a 110 millones de euros en pérdidas”, agregaron las autoridades.
Grandoreiro juega, junto a otros troyanos como Mekotio y Guildma, un rol clave en el ecosistema de las amenazas bancarias en la región. Agustín Merlo, analista de malware, recordó a esta publicación:
Grandoreiro es un RAT (Troyano de Acceso Remoto) diseñado con el objetivo principal de tomar el control del equipo víctima y hacer transferencias de dinero a cuentas manejadas por los operadores. Una vez instalado el software malicioso en el equipo de la víctima, el operador del RAT supervisa la actividad del usuario y aprovecha el momento en el cuál navega en su homebanking para mostrarle una imagen que simula estar actualizando el equipo. Detrás de esta imagen, el operador toma el control del homebanking y realiza el proceso de transferencia de dinero a cuentas mulas.
Dark News se contactó con ESET para obtener más detalles. Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de la división latinoamericana de la empresa eslovaca, explicó qué significa para el panorama de amenazas local:
Es una disrupción a una de las múltiples amenazas bancarias que actúan en la región. Esto no quiere decir que se interrumpe permanentemente las actividades cibercriminales, pero sí demuestra que un trabajo conjunto entre el sector privado, en este caso ESET, y el sector público, en este caso la Policía Federal de Brasil, permiten avanzar hasta la identificación de personas detrás de este tipo de campañas y no quedarse únicamente en la detección de los códigos maliciosos.
En cuanto al research, que se puede leer completo en este enlace, ESET destacó que “España representa el 65% de todas las víctimas, seguida de México con el 14%, Brasil con el 7% y Argentina con el 5%; el 9% restante de las víctimas se encuentra en otros países de América Latina. También desde ESET se observó que en 2023, hubo una disminución significativa de la actividad de Grandoreiro en España, compensada con un aumento de campañas en México y Argentina”.
Los troyanos bancarios siguen siendo una amenaza latente en América Latina, según reportó ESET en el pasado Foro ESET Latinoamérica en Punta del Este. Garandoreiro, de hecho, lideraba la lista en su telemetría:
Camilo Gutiérrez Amaya advirtió, sin embargo, que el ecosistema de troyanos y botnets en el sector bancario sigue muy activo:
De las 12 familias de troyanos bancarios que en 2021 fueron documentadas por ESET, las tres con mayor actividad en la región de acuerdo a la telemetría de ESET son: Grandoreiro (16%), Guildma (10%) y Mekotio (8%). Además de estos troyanos bancarios, hay otras familias de códigos maliciosos con características de robo de información como AgentTesla (12%), RedLine (7%) y Zbot (4%) que complementan el panorama de amenazas del tipo infostelaers en la región.
Para Merlo, la operación implica “algo positivo no sólo porque bajarían los casos de fraudes relacionados a este RAT, sino también porque puede ser una advertencia para los demás grupos de cibercriminales de Brasil que atacan a nuestra región”.
🔓 Credenciales de LACNIC expuestas en la Dark Web
El 3 de enero de 2023, los clientes de Orange España, el segundo proveedor de telecomunicaciones español, se vieron imposibilitados de acceder a internet durante varias horas: un ciberataque había afectado al proveedor.
Según las investigaciones, un equipo de un empleado de la compañía había sido infectado con Raccoon Infostealer el 4 de septiembre de 2023 y, a través de credenciales robadas, llegó a tomar el control de la cuenta RIPE NCC de Orange España: se trata del Centro de Coordinación de redes IP europeas, Réseaux IP Européens Network Coordination Centre, que conforma el Registro Regional de Internet (RIR) para Europa, Oriente Medio y partes de Asia Central. Por el incidente, lanzaron un comunicado.
Ahora bien, esta semana se supo que, debido a este robo de información, esto impactó en otras entidades en todo el mundo, entre ellas LACNIC, que se encarga de registros numéricos en América Latina.
Según un escaneo de la Dark Web de Resecurity, hay “más de 1.572 clientes comprometidos de RIPE, el Centro de Información de Redes de Asia y el Pacífico (APNIC), el Centro de Información de Redes Africanas (AFRINIC) y el Centro de Información de Redes de América Latina y el Caribe (LACNIC)”.
Dark News se contactó con Carlos Martínez-Cagnazzo, Gerente de Tecnología de LACNIC, quien compartió la siguiente declaración:
LACNIC está al tanto del evento ocurrido y en coordinación con nuestro equipo de ciberseguridad de LACNIC (LACNIC CSIRT) logramos tomar medidas para evitar consecuencias.
Tal como refiere la nota que circula en medios especializados, algunos sistemas o equipos de operadores de la región fueron atacados con algún “malware” y con ello, dichos operadores comprometieron sus credenciales de acceso al portal de gestión de numeración IP “Mi LACNIC”.
El equipo de LACNIC pudo identificar las cuentas expuestas y ayudar a las víctimas a recuperar el acceso a nuestro portal de gestión antes de que provocaran cambios relevantes en la BD de Registro. Además las herramientas de seguridad y monitoreo propias de LACNIC, el equipo de LACNIC CSIRT tiene acceso a fuentes de información de equipos de ciberseguridad internacionales que nos permitieron dar una respuesta efectiva a los afectados.
El Registro de Direcciones de Internet de América Latina y Caribe es una organización no gubernamental internacional, establecida en Uruguay en el año 2002. “Su función es asignar y administrar los recursos de numeración de Internet (IPv4, IPv6), números autónomos y resolución inversa para la región”, explican desde su página web.
“Somos una entidad sin fines de lucro con el fin de administrar las direcciones IP en Internet para toda América Latina y el Caribe. No somos una empresa de internet, no somos de las grandes empresas, no somos un Facebook, un Google. Somos una entidad de la comunidad técnica, creada por todas las interesados de internet hace 20 años para asignar estos recursos a quien lo necesite”, me había explicado un directivo, Oscar Robles Garay Robles, para una nota en Clarín.
Además, la entidad cerró su comentario con una recomendación: “Desde LACNIC quisiéramos atraer la atención de la comunidad regional de operadores de Internet sobre este tipo de incidentes e invitarlos a habilitar el doble factor de autenticación (2FA) en el portal ‘Mi LACNIC’ como elemento de protección adicional”.
💳 Geocom: publicaron los datos tras el ransomware del grupo Cactus
En noviembre de 2023, el grupo de ransomware Cactus había listado entre sus víctimas a Geocom, empresa de soluciones tech que maneja posnets (terminales POS) en Uruguay. El incidente había causado una caída masiva entre los clientes, que no podían efectuar cobros, y esta semana publicaron la información robada en su sitio en la dark web.
“Entre lo encontrado , aparecen pasaportes de personas de varias nacionalidades. Aparecen contratos, facturas, propuestas comerciales de CASMU, SMI, ASSE y el Hospital Evangélico. Encontraron contratos de confidencialidad y ventas del Instituto Nacional de Calidad. También licitaciones, planes de trabajo y propuestas financieras del Ministerio de Ganadería, Agricultura y Pesca”, explicó el periodista de Uruguay Juan Pablo de Marco.
En el artículo, el analista de amenazas de Birmingham Cyber Arms Mauro Eldritch advierte que hasta hay información sobre la arquitectura de la infraestructura de diversas instituciones públicas, además de scripts de automatizaciones de procesos para buscar transacciones.
Valentina Costa Gazcón, analista de amenazas y CEO de V•ONE Labs, había explicado a Dark News las técnicas de ataque (TTP) de Cactus:
El grupo, cuyo nombre deriva del archivo de su nota de rescate "cAcTuS.readme.txt", se caracteriza por utilizar archivos encriptados con la extensión .cts1, aunque el número final puede variar. En todos los incidentes publicados hasta la fecha, los hackers se infiltraron en la red de sus víctimas explotando vulnerabilidades en dispositivos VPN. Tras realizar tareas de reconocimiento, robo de contraseñas y exfiltración de archivos, despliegan el ransomware a través de tareas programadas (schedule tasks).
👮 El FBI desarticula la botnet de Volt Typhoon, que atacaba infraestructura crítica
El FBI dio de baja a un actor de amenazas que representa los intereses de La República Popular China, Volt Typhoon, en una operación que desmanteló a una botnet que apuntaba a comprometer infraestructura crítica de los Estados Unidos, aseguró el director de la agencia, Christopher Wray, en una audiencia en un comité de representantes.
En un comunicado oficial de la Oficina de Asuntos Públicos del Departamento de Estado de EE.UU. se explica que se trataba de una botnet de “cientos de routers domésticos y de pequeñas oficinas con sede en los EE. UU. que eran propiedad de ciudadanos privados y empresas que habían sido secuestrados por hackers sponsoreados por china chinos para cubrir sus huellas mientras depositaban malware”.
Entre sus objetivos finales, había “plantas de tratamiento de agua, red eléctrica y los sistemas de transporte en todo Estados Unidos”, aseguró el funcionario en la audiencia del miércoles.
Tanto el reporte como la audiencia van en línea con las investigaciones de Microsoft, que publicó una investigación en marzo de 2023 en la que se daba a conocer que hackers de Volt Typhoon estaban apuntando a estas infraestructuras críticas. Entre los ataques conocidos hubo organizaciones militares estadounidenses, proveedores de servicios de telecomunicaciones e Internet y una empresa europea de energías renovables.
Por la envergadura de la campaña, se generó una serie de reuniones entre la Casa Blanca y vendors privados de la industria de la ciberseguridad, incluidas varias empresas de telecomunicaciones y de cloud computing a las que el gobierno estadounidense les pidió ayuda para rastrear la actividad.
China, por su parte, ya había negado estas acusaciones y hablado de una “amplia campaña de desinformación por parte de Estados Unidos”.
📉 Bajan los pagos de rescates de ransomware
El pago de rescates de ransomware bajó un 29% durante el último trimestre de 2023 según un informe de Coveware. Se trata de una tendencia que viene en bajada y se empezó a evidenciar a mediados de 2021, cuando la tasa de pago cayó al 46% después de haber sido previamente del 85% a principios de 2019.
Según Coveware, la razón de esta caída tiene que ver con varios factores, “incluyendo una mejor preparación por parte de las organizaciones, una falta de confianza hacia los ciberdelincuentes que prometen no publicar los datos robados y la presión legal en algunas regiones donde pagar un rescate es ilegal”, explica el estudio.
Coveware ha descubierto que incluso cuando se roban datos en ciberataques, la tasa de pago fue de sólo el 26% en el último trimestre y que no sólo ha descendido el número de víctimas que pagan el rescate, sino también el importe en dólares de los rescates pagados.
También afirman que los pagos de rescates en el cuarto trimestre de 2023 tuvieron un importe medio de 568.705 dólares, un descenso del 33% respecto al trimestre anterior, mientras que la mediana del pago de rescates fue de 200.000 dólares.
Además, analistas coinciden en que hay menos eventos que años atrás.
🔗 Más info
Cloudflare fue hackeado usando tokens de autenticación robados de Okta
El DoJ y la FTC advierten a las compañías que no borren sus chats de Slack, Teams y otras apps
La CISA ordena desconectar todas las VPN Ivanti de las agencias federales de EE.UU.
La milicia ucraniana fue atacada por un APT relacionado a rusia en un ataque que abusa PowerShell
SolarWinds respondió la demanda de la SEC
LockBit se atribuyó un ataque a un hospital de Chicago