Hackean tres centros de estudios médicos de Argentina: qué se sabe sobre el ransomware contra Grupo Rossi
Además: cobertura de AWS re:Invent desde Las Vegas, un empleado demanda a Apple por espionaje y hackers aseguran haber logrado crackear las versiones actuales de Windows y Office.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
Envío desde Las Vegas (AWS re:Invent)
1>6
dic
⚡ TL;DR
Luego de un descanso vacacional de 2 semanas, retomo la publicación habitual con el resumen de lo que pasó estos últimos días en materia de ciberseguridad. El calendario hizo que todo se apretara un poco y, apenas volví a Buenos Aires, salí para Las Vegas por la cobertura de AWS re:Invent, uno de los eventos de cloud computing más grandes del mundo.
Tuve la posibilidad de hablar con Chris Betz, CISO de la empresa, y salieron algunos conceptos interesantes. También pude charlar con Gee Rittenhouse, VP de Seguridad, con quien charlamos de integraciones de machine learning en servicios cloud. Es probable que pueda trabajar en estas entrevistas en los tiempos muertos de aeropuerto para la vuelta, durante el viernes y el fin de semana, así que iré publicando en las semanas siguientes.
Durante el evento hubo anuncios focalizados en el mundo cloud y, dentro de ellos, algunos focalizados en seguridad, como AWS Data Transfer Terminal, un servicio para subir información a la nube a través de una terminal física. Para los interesados en este rubro, recomiendo seguir al analista Chris Farris, quien destaca en este post 15 anuncios relevantes de re:Invent.
La perla: tuvimos una sesión reducida de tres periodistas con Werner Vogels, CTO de Amazon, que fue un verdadero lujo, una clase magistral de una referencia de Silicon Valley de los últimos 20 años.
A nivel local, el descanso de Dark News ocurrió justo justo cuando varias entidades de estudios médicos empezaron a sufrir interrupciones en sus servicios en Argentina: el Grupo Rossi sufrió un ransomware que recién esta semana se blanqueó y llegó a los medios de comunicación. Me puse al día con el tema y publiqué este reportaje en Clarín, que más abajo reproduzco y toma gran parte del newsletter.
También apareció información sobre un hackeo a la Comisión Nacional de Energía Atómica (CNEA) y, sobre el final de la semana, al Hospital Churruca (de la Policía). Para todas estas recomendaciones recomiendo seguir el newsletter de Me Filtraron (hay más, sí).
A nivel global, hubo una noticia de peso en cuanto a arrestos: sobre el final de la semana pasada, cayó un miembro histórico de LockBit y otros grupos de ransomware asociados a Rusia, Mikhail Pavlovich Matveev (Wazawaka).
Tres cortas antes de empezar:
Algunas empresas ya empezaron a sacar sus reportes de predicciones para 2025, dejo el de FortiGuard Labs que es uno de los que pude revisar.
Los videos con las conferencias de Virus Bulletin de este año ya están online y se pueden ver en esta playlist de YouTube.
DownDetector publicó una lista de caídas de sitios web y no, Crowdstrike no encabeza la lista:
En esta edición:
🩺 Hackean a los centros de estudios médicos Rossi, Stamboulian e Hidalgo
👮 Arrestan a Wazawaka, un histórico del ransomware
💻 Aseguran que crackearon “casi todas” las protecciones de Windows y Office
🕵 Un empleado demanda a Apple por espionaje
⏰ Substack dice que leer este correo completo lleva 8 minutos
Dark News #114
Hackean tres importantes centros de estudios médicos en Argentina
El Grupo Rossi, que nuclea los centros médicos Rossi, Stamboulian y Laboratorio Hidalgo, sufrió un ciberataque de ransomware hace 10 días que paralizó los sistemas, bajó los sitios web e impidió a pacientes hacerse estudios y sacar turnos.
Qué pasó. Los pacientes de los centros médicos operaron con dificultades, en tanto los sitios web de las tres entidades estuvieron caídos y los turnos de los estudios se vieron afectados, además de cancelados. Omar De Fornari, CEO de Grupo Rossi, contó a este medio que los servicios deberían restablecerse para el final de la semana.
Quién los atacó. El grupo que realizó el ataque es FOG Ransomware. Dark News contactó a Mauro Eldritch,analista de amenazas de Birmingham Cyber Arms, para consultarle de dónde salieron y cómo atacan:
El proyecto cuenta con variantes para Unix y Windows y cuenta con rutinas interesantes destinadas específicamente al manejo de máquinas virtuales y sus archivos específicos como VMDK (discos). Los archivos se encriptan con la extensión .fog por defecto y el resto de la operación es bastante clásico: se elimina las Shadow Volume Copies, se interrumpen procesos de protección de sistema y la nota de rescate adjunta deja una llave RSA pública para la negociación, generada al momento del ataque.
En cuanto a sus targets, agregó:
FOG se dedicaba mayormente a atacar el sector educativo, pero en el último tiempo viró hacia los sectores farmacéutico y médico, en una extensa campaña que dejó varias víctimas de importante calibre anunciadas en su sitio. Se cree que emplean varias redes de IABS (Initial Access Brokers) para ingresar a la infraestructura de sus víctimas.
Denuncia. Grupo Rossi realizó una denuncia en Nación y quedó radicada en el Juzgado Criminal y Correccional N° 53, Secretaría N° 66, y la Fiscalía Criminal y Correccional N° 58 (causa 65229/2024).
Dark News contactó a Horacio Azzolin, fiscal general de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI): “Desde la parte técnica, les pedimos información específica sobre algunos posibles eventos que pueden haber servido de vector de ataque y pusimos a trabajar a la Policía Federal Argentina”, aseguró.
Grupo Rossi esperaba operar con normalidad para el momento de la publicación de este newsletter.
Arrestan a Wazawaka, un histórico del ransomware
Autoridades rusas arrestaron a Mikhail Matveev, alias Wazawaka, un hacker de alto perfil que trabajó como afiliado en grupos de ransomware como Babuk, Conti, Darkside, Hive y LockBit.
Los cargos. Según la acusación del Departamento de Justicia de EE.UU., Matveev trabajaba como afiliado para grupos de ransomware de renombre y conseguía acceso a redes privadas (IAB), escalaba el acceso y luego desplegaba ransomware para cifrar archivos y pedir rescates a las empresas. La acusación fue por crear y distribuir malware.
Ataques. Uno de los hackeos más resonantes de Wazawaka fue a la unidad de policía metropolitana de Washington DC en abril de 2021, donde extorsionó a la entidad con publicar informes confidenciales policiales privados.
Más. Se trata del tercer arresto de peso contra miembros de Rusia asociados al ransomware: REvil fue sentenciado a prisión a principios del mes pasado, el hacker de Medibank fue detenido en febrero.
En 2022, el periodista Brian Krebs expuso la identidad de Matveev en un artículo.
Aseguran que crackearon “casi todas” las protecciones de Windows y Office
Un grupo de software hackers asegura que logró crackear “casi todas las licencias de protección de Windows y Office”.
Quiénes. El grupo MAS, un “activador open source de Windows y Office”, aseguró en Twitter (X)
Versiones. El crack funciona sobre licencias de Office, Windows 7, Windows 8 y todas las Server editions, además del programa de actualizaciones extendidas de seguridad (ESU).
Por qué importa. De confirmarse y empezar a usarse, esto podría desencadenar una nueva ola de piratería sobre el sistema operativo más usado del mundo en equipos de escritorio y laptops.
Además, las técnicas de cracking sobre Windows existen desde hace años y, más allá de acceder a software licenciado sin pagar, representan un desafío técnico para la comunidad.
Un empleado demanda a Apple por espionaje
Un empleado de Apple demandó a la empresa bajo la acusación de espionaje sobre sus trabajadores a través de las cuentas personales de iCloud.
La demanda. La presentación, hecha en una corte estatal de California, acusa que Apple les pide a los empleados “renunciar a su derecho a la privacidad”, y que la compañía puede “ejercer vigilancia física, por video y electrónica sobre ellos”, incluso cuando están en su casa, fuera de los horarios laborales.
El demandante. Amar Bhakta trabajó en marketing para Apple desde 2020. Lo que acusa es que Apple utilizó sus políticas de privacidad para perjudicar sus carrera: por ejemplo, le prohibió participar en charlas públicas sobre publicidad digital y le obligó a eliminar información de su página de LinkedIn sobre su trabajo en Apple.
“Apple no es un jardín, es una prisión”, dice el escrito.
Apple responde. “Todos los empleados tienen derecho a discutir sus salarios, horarios y condiciones de trabajo, y esto forma parte de nuestra política de conducta empresarial, sobre la que se forma anualmente a todos los empleados”, dijo la empresa.
🔓 Breaches y hacks
Hackers logran robar 17 millones de dólares del Banco Central de Uganda
El club de fútbol italiano Bologna FC sufrió un ransomware
260 mil clientes afectados por una filtración en Chemonics International
🔒 Ransomware
Brain Cipher dice tener información interna de Deloitte Reino Unido
Desbaratan una banda de ransomware ligada a lavado de dinero
La empresa de telecomunicaciones BT (Gran Bretaña) investiga un robo de información sensible
💣 Exploits y malware
Check Point arroja la versión Rust del ransomware de Akira
Encuentran y dan de baja más de 440 paquetes de malware npm
Encuentran un spyware nuevo en un teléfono confiscado por el FSB
🔍 Threat intel
Reportes: ENISA, Fortinet, Kaspersky, y Wordfence
Fortinet publica un reporte sobre Interlock, el primer ransomware que tiene una versión de FreeBSD
Red Canary dice que resurgió Storm-1811, un afiliado de Black Basta Ransomware
🛠️ Tools y updates
CISA lanzó una nueva plataforma de capacitaciones, CISA Learning
NoDelete: herramienta que bloquea una carpeta con malware para analizarlo antes de que sea borrado
RequestShield, una herramienta open-source para analizar HTTP access logs
📋 Privacidad y regulaciones
Apple presentó una nueva patente de reconocimiento biométrico
La FTC de EE.UU. va en contra de data brokers
Zoom propone pagar 18 millones a la FTC como multa por sus prácticas de privacidad
Este newsletter fue escrito por un humano. Para cualquier comentario, corrección o sugerencia de cobertura de temas, podés responder este mail. Se acepta (y agradece) todo tipo de feedback.