Hackeo a las farmacias: cómo entraron y qué plazo da Lockbit para negociar
Bizland, la empresa afectada, dice que "no habría datos sensibles", venden accesos de la Policía de Córdoba y Google habilita la polémica compra del dominio .zip.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
12>19 may
💊 Lockbit le da un mes a Farmalink, la red de descuentos en medicamentos
Un nuevo ciberataque sacudió los titulares de medios en Argentina: Lockbit, quizás el grupo más prolífico de ransomware, encriptó una empresa que maneja los descuentos de los medicamentos de las obras sociales y prepagas.
La información se conocía desde el viernes pasado, cuando Bizland, la empresa afectada, presentó una denuncia ante la Unidad Fiscal de Ciberdelincuencia (UFECI) que dirige Horacio Azzolin.
Bizland no sólo maneja el sistema de farmacias, sino también la recarga de tarjetas de transporte de las ciudades de Córdoba (RedBus), Salta (SAETA), Tucumán (Ciudadana y Metropolitana) y La Rioja (Sirve).
En este contexto, Lockbit dio un plazo de un mes para negociar el pago de un rescate y devolver la información robada. Vencido ese lapso, publicarán los datos que lograron sustraer.
Lockbit ofrece un “soporte técnico” para las víctimas donde, incluso, dan como muestra gratis el desencriptado de un archivo de hasta 50 Kb. Fuentes de la empresa aseguran que "no se accedió a la extorsión" y SecOps confirmó que la negociación entre Lockbit y Bizland mantiene un canal abierto a través del sitio en la dark web del grupo de ciberdelincuentes, donde la empresa no inició el diálogo.
Al día viernes de esta semana, el tiempo remanente para negociar era de 26 días y no se había iniciado diálogo desde la empresa. Se desconoce qué cifra demandan los ciberdelincuentes, pero Lockbit suele pedir de 200 mil dólares para arriba en cripto.
En la denuncia, Bizland detalla cómo ocurrió la intrusión: tras un problema en su datacenter, los equipos en red dejaron de funcionar y se desconectó el software que administra las máquinas virtuales (vSphere). Fue entonces cuando el área de sistemas encontró el archivo con lo que se conoce como “ransom note”, la nota del secuestro que los grupos de ciberdelincuentes dejan a sus víctimas.
Dice la presentación judicial, a la que pudo acceder SecOps:
“Mi mandante entiende que el ataque perpetrado fue una vulneración global a una herramienta "Tier 1" de un proveedor que es utilizada por varias empresas multinacionales que también fueron afectadas por este mismo ataque. Es importante aclarar que la intrusión y el ataque informático sufridos impiden el normal desenvolvimiento de las operaciones de mi mandante, afectando a muchas de sus líneas de negocio”
La empresa apunta a que el ransomware se desplegó aprovechando un zero-day (esto es, una vulnerabilidad no detectada por el fabricante) de una herramienta de terceros, y citan a vSphere (gestor de infraestructura virtual) como blanco y posible pivot del ataque.
Fuentes oficiales de Bizland insistieron en su versión de que no hay datos sensibles comprometidos, pero, por el tipo de información que maneja la compañía (recetas médicas, números de documento y afiliado de usuarios, direcciones, correos electrónicos y más), es más que probable que esto no sea cierto.
En menos de un mes -o antes- se sabrá el contenido de la información comprometida: Lockbit es implacable con la publicación de datos de sus víctimas.
🚔 Ponen a la venta datos de la Policía de Córdoba
Un usuario puso a la venta accesos al servidor de correo electrónico de la Policía de Córdoba. Según reportaron medios locales, se abrió una investigación encabezada por el fiscal Franco Pilnik y la Policía negó una “filtración masiva” de datos.
La información se complementaron con una combolist (usuario y password) con 529 credenciales de gobierno que incluyen Banco Central, diversos municipios, INTA, INDEC, Ministerio de Economía, Senasa y Producción.
El caso se dio a conocer la misma semana en la que se vio afectado el sistema de recarga de tarjetas de transporte público Red Bus de Córdoba (también gestionado por la empresa Bizland, mencionada en el apartado anterior).
Se suma así a la larga lista de fuerzas de seguridad filtradas, a pesar de que la Policía cordobesa minimizó el incidente de seguridad.
🪝 Google ahora permite comprar los dominios .zip y .mov y ya hay críticas por phishing
Google presentó a principios de mes 8 nuevos dominios “top-level” (TLD) entre los que se encuentran .zip y .mov. Esto preocupó a los investigadores de seguridad por la cantidad de casos de phishing que podrían generar.
En total, estos son los nuevos dominios que se pueden registrar: .dad, .esq, .prof, .phd, .nexus, .foo, .zip y .mov.
Si bien .zip y .mov. estaban disponibles desde 2014, no fue hasta este mes que se abrieron al público en general, lo que permite a cualquier persona comprar un dominio para engañar a usuarios por lo conocidas que son ambas extensiones.
SecOps contactó a Cristian Borghello, especialista en seguridad informática de Segu-info, para entender por qué esto va a ser un dolor de cabeza a futuro:
“El tema de la creación de los nuevos dominios .zip abre a la posibilidad de crear engaños más personalizados y mejores para hacer ataques de phishing y cometer fraudes y estafas. Si bien este tipo de engaños y este tipo de casos han existido siempre con dominios .com y .com.ar, esto facilita al delincuente la tarea de engañar al usuario. Como sabemos la famosa extensión .zip para compresión de archivos es fácilmente identificable: al tener un dominio .zip se le puede hacer creer que se está descargando un archivo”
El problema, según el experto, es que se agrega una arista que antes no existía:
“Ante esa creencia, el usuario podría entrar a descargar sus supuestos archivos, pero en realidad estaría entrando a un dominio falso en donde podría descargar algún tipo de malware o se le podrían requerir credenciales o algún tipo de información sensible. Ese es el motivo de por qué la creación de los dominios .zip por parte de Google está tan discutida en la comunidad de seguridad informática: agrega un componente adicional que antes no existía para poder engañar al usuario de forma más sencilla”
Hay, además, otro problema que tiene que ver con la interacción: cualquier archivo o dato que se envíe haciendo mención a un fichero .zip se convertirá automáticamente en una dirección web.
Esto ocurrirá dentro de varias plataformas como Twitter, que lo hará de forma automática y puede presentar confusiones entre los usuarios, en caso de querer referirse a un archivo y no a un sitio con ese dominio.
💰 El FBI paga 10 millones por una de las cabezas de Lockbit y Hive
Esta semana, el FBI publicó una recompensa contra un actor clave de los grupos Lockbit y Hive: ofrecen 10 millones de dólares por su cabeza.
Se trata de un ciudadano ruso llamado Mikhail Pavlovich Matveev, también conocido como Wazawaka o Boris, de 30 años. Según el FBI es una "figura central" en el desarrollo y despliegue de las variantes de ransomware LockBit, Babuk y Hive desde, mínimo, junio de 2020.
SecOps contactó a Mauro Eldritch, experto en análisis de amenazas de Birmingham Cyber Arms, para entender mejor a esta personalidad:
“Matveev es además señalado como uno de los principales desarrolladores del ransomware Babuk, es decir la persona que ‘construye’ y ‘mejora’ el software malicioso con el que infectará a las víctimas, y como administrador de su infraestructura, lo que lo ubica en un punto central y estratégico de la organización por partida doble”
Hay un dato particularmente llamativo y es que a Boris le falta un dedo anular, algo que el FBI señala en su perfil: “Particularmente el código fuente de Babuk pasó por muchas manos además de las de Matveev, una de las cuales carece de un dedo anular, lo cual no es un detalle menor: esto causaría varios problemas ‘técnicos’ más adelante”, suma el analista.
“Las reversiones de este ransomware no se detuvieron ahí, ya que en 2021 y tras una seguidilla de peleas internas (pero expuestas en foros y canales de la organización) un afiliado de apenas 17 años oriundo de Rusia, decide filtrar públicamente el código fuente de Babuk en línea. Esto llevó casi en forma inmediata a nuevas reversiones del mismo especialmente diseñadas para sistemas VMWare ESXI, además de dar nacimiento a Rook, el primer ransomware relevante creado a partir de Babuk”
El FBI estimó, según cifras siempre subrepresentadas, la recaudación de estos grupos: "Las demandas totales de rescate supuestamente hechas por los miembros de estas tres campañas globales de ransomware a sus víctimas ascienden a 400 millones de dólares, mientras que los pagos totales de rescate de las víctimas llegan a los 200 millones".
🔑 Discord informa a sus usuarios que sufrió una filtración de datos
La plataforma Discord comenzó a notificar usuarios sobre una filtración de datos. Según explicaron, ocurrió después de que la cuenta de un agente de soporte externo se viera comprometida.
La brecha expuso información de los tickets de soporte del agente, que contenía las direcciones de correo electrónico de los usuarios, los mensajes intercambiados con el soporte de Discord y los archivos adjuntos enviados como parte de los tickets (los cuales pueden contener información sensible).
Discord dice que inmediatamente abordó la cuenta de soporte violada deshabilitándola una vez que se descubrió el incidente.
Para saber si los datos personales están filtrados hay que esperar: Discord está mandando un correo a los afectados.
🚗 Toyota expuso la ubicación de 2 millones de conductores durante 10 años
El fabricante de autos Toyota reveló un data breach en su entorno de nube que expuso la información de ubicación de automóviles de 2.150.000 clientes durante diez años, entre el 6 de noviembre de 2013 y el 17 de abril de 2023.
Según explicaron, la violación de datos se debió a una mala configuración de la base de datos que permitía a cualquier persona acceder a su contenido sin contraseña.
"Después del descubrimiento, implementamos medidas para bloquear el acceso desde el exterior, pero continuamos realizando investigaciones, incluidos todos los entornos en la nube administrados por TC. Pedimos disculpas por causar grandes molestias y preocupaciones a nuestros clientes y partes relacionadas”, escribieron en un comunicado.
La empresa no descarta que los conductores afectados le realicen una acción colectiva.
🔗 Más info
Brave suma una función anti-track más fuerte
Nuevos grupos de ransomware identificados: siguen creciendo
El diario Philadelphia Inquirer sufrió un ciberataque y lo comunicó en su propio medio
China Daily News, atacado también por Lockbit
Apple bloquea 3.9 millones de tarjetas de crédito por fraude
Bélgica reporta 97 casos de ransomware y espera que en 2023 sean más
El Departamento de Defensa de EE.UU. va a usar Microsoft Defender
Detalles sobre el exploit de Wordpress de XSS