Volvió LockBit: a menos de una semana de la baja de su sitio, ya hay nuevas víctimas del grupo de ransomware
El administrador habló del operativo para desmantelarlos, detectan un nuevo infostealer en México, caos en EE.UU. por un ataque a un proveedor de salud y GitHub suma protección contra leaks.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
23> feb
1 mar
⚡ TL;DR
Luego del takedown que hicieron las fuerzas de seguridad contra LockBit a comienzos de la semana pasada, el grupo de ransomware mostró un nivel de resiliencia pocas veces visto en la escena del cibercrimen profesional: en menos de una semana ya estaba operando de nuevo y uno de sus líderes había publicado un extenso escrito dando a conocer su versión de los hechos (no tiene desperdicio, dejo el enlace).
“El tema es que el negocio del ransomware debe tener cerca de 500 afiliados (pentesters) para todos los grupos en distintas partes del mundo. Por eso a un cartel como LockBit no le cuesta volver a levantarse. Es una empresa cibercriminal que, con poca gente, pone contra las cuerdas a la industria del software”, me dijo una fuente en off, y me pareció interesante el concepto.
De esta manera, está apareciendo una tendencia de persecución estilo gato y ratón entre grupos de cibercriminales y fuerzas del orden que algunos medios como Wired ya identifican como un ida y vuelta que está lejos de terminarse y empeora la situación. [Aclaración: toda la primera parte de esta entrega va a tener mucha cita, pues entre lo que dijo el admin LockbitSupp y la opinión de un especialista, las quotes se terminaron comiendo al cuerpo del texto.]
A nivel regional, se detectó un nuevo stealer activo en México (“Timbre”) y el analista Germán Fernández publicó, vía OSINT, loaders del popular troyano bancario Mekotio apuntando a Chile, México y Argentina. El researcher Agustín Merlo agregó un panel para la primera parte de la distribución, muy usado en Argentina. La campaña fue inicialmente detectada por V3n0mStrike.
Por fuera del mundo troyano, el plano local estuvo relativamente tranquilo, con algunas presuntas filtraciones puestas a la venta en foros de venta de datos, entre ellas el Ministerio de Seguridad y el RENAPER, que sufrió en 2021 sufrió una brecha de seguridad que terminó con datos de 60 mil argentinos a la venta por 17 mil dólares. Me gustó esta nota del colega Mariano Vidal que entrevistó al que hizo el bot para ver cuántos (y cuáles) tuits likeó el presidente argentino, Javier Milei.
En el plano global, Black Cat (también luego del takedown de fines del año pasado) puso contra las cuerdas el sistema online de recetas en Estados Unidos y APT28 (vinculado a Rusia) fue noticia por el abuso de un tipo específico de router.
Además, Estados Unidos emitió una orden ejecutiva en la que “prohíbe vender datos personales de ciudadanos a países hostiles como China, Rusia e Irán” y Lazarus explotó un zero day de Windows durante meses.
Una última, esta semana compré y empecé Tecnofeudalismo: crítica de la economía digital de Cédric Durand. Llegué por un post de
, cuyo newsletter recomiendo. Es un buen libro que explora por qué “la tesis de Silicon Valley se derrumbó” ante un mundo digital que cada vez plantea más preguntas que soluciones. El mundo del hacking tiene bastante que ver en ese proceso, por lo que vengo leyendo.Y el dato de color de una semana magra, pero no por eso menos importante: parece que alguien logró correr Doom en un cepillo de dientes pues, nunca hay que olvidar, Doom runs on everything.
Leer este correo te va a llevar 16 minutos
Esta entrega cuenta con el apoyo de:
Me Filtraron es una instancia de Tero, un motor de búsqueda de filtraciones y enciclopedia de ciberincidentes, con foco en América Latina. Cualquier usuario puede consultar y verificar si sus datos fueron filtrados ingresando su dirección de correo. Tero no conoce ni almacena correos o contraseñas filtradas, ni guarda las búsquedas realizadas.
🥷 LockBit vuelve a estar online (o nunca se fue)
Luego de haber visto su infraestructura comprometida, LockBit volvió a realizar ataques a menos de una semana de que una task force conducida por la agencia contra el cibercrimen de Reino Unido (NCA) asegurara que había desmantelado al grupo.
Con encrypters actualizados y notas de rescate que llevan a nuevos servidores, el grupo mostró actividad como si nada hubiese pasado. La semana pasada, la NCA, el FBI y Europol llevaron a cabo una operación coordinada denominada "Operación Cronos" contra el grupo.
Como parte de esta operación, le habían confiscado la infraestructura, recuperado keys y hasta le habían hecho un defacement al sitio de LockBit en la dark web con una humillación pública, donde incluso amenazaban con contar quién era el administrador del sitio: LockbitSupp, de quien sugirieron que había colaborado en el operativo.
Muy pronto, el grupo volvió a levantar una serie de sitios en la dark web y despejaron una de las primeras dudas que había: si el grupo se iba a rebrandear o volver como LockBit. Volvió con el mismo nombre, estética y tácticas de ataque (TTPs).
Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, explicó a Dark News:
LockBit resurgió con nuevos dominios, mirrors y con anuncios de un toolset mejorado que incluye nuevos decrypters y paneles. Siguieron publicándose nuevas víctimas y retomando las negociaciones de aquellas que han quedado en “el viejo” realm de Lockbit.
Durante el fin de semana, el colectivo VX-Underground publicó lo que sería la explicación del administrador de LockBit sobre cómo lograron dar de baja el sitio. El texto es muy largo, pero vale la pena. Desagrego las partes más jugosas, empezando por la vulnerabilidad de PHP sin parchear.
Debido a mi negligencia e irresponsabilidad personal, me relajé y no actualicé PHP a tiempo. Los servidores tenían instalada la versión PHP 8.1.2, la cual fue atacada con éxito muy probablemente por este CVE, como resultado de lo cual se obtuvo acceso a los dos servidores principales donde estaba instalada esta versión. Los nuevos servidores ejecutan ahora la última versión de PHP 8.3.3. Si alguien reconoce un CVE para esta versión, que sea el primero en hacérmelo saber y será recompensado.
Luego de explicar la cuestión técnica, arriesgó el motivo por el cual el FBI decidió hackear el sitio y lo vinculó a una cuestión política y asegura que tenía en posesión documentos robados con casos judiciales de Donald Trump “que podrían afectar las próximas elecciones de Estados Unidos”. Y, de hecho, en el DLS de LockBit está el posteo en el que amenazan con publicar estos documentos.
Sin embargo, las partes más jugosas tienen que ver con LockbitSupp explicando qué implicó el hackeo a su infraestructura:
Como resultado del hackeo de los servidores, el FBI obtuvo una base de datos, fuentes de paneles web, […] y una pequeña parte de decrypters desprotegidos. Ellos afirman que son mil decrypters, aunque había casi 20.000 en el servidor, la mayoría de los cuales estaban protegidos y no pueden ser utilizados por el FBI. Gracias a la base de datos, averiguaron los nicks generados de los socios, que nada tienen que ver con sus nicks reales en foros e incluso en messengers, chats no borrados con las empresas atacadas, y en consecuencia wallets para el dinero, que serán investigados para todos aquellos que no blanqueen cripto, para posiblemente detener a personas implicadas en el blanqueo y acusarlas de ser mis socios, aunque no lo sean. Toda esta información no tiene ningún valor porque todo esto le llega al FBI después de cada transacción a través de agentes de seguros o negociadores, sin que haga falta hackear el panel.
Ahora bien, luego de relativizar la información conseguida por la task force, LockbitSupp sí reconoce la verdadera amenaza contra su modelo de negocio: el compromiso del source code.
Lo único que tiene valor y amenaza potencial es el código fuente del panel, debido a que es posible que haya hacks futuros. Pero ahora el panel se dividirá en muchos servidores, para los socios verificados y para los usuarios al azar, hasta una copia del panel para un socio en un servidor independiente. Antes había un panel para todos […]. La filtración del código fuente del panel también le sucedió a la competencia [y esto] no les impidió continuar su trabajo, no me detendrá [a mí] tampoco.
De hecho, en 2022 el código fuente de LockBit 3.0 fue filtrado. Quizás el tramo más llamativo del posteo es la referencia directa al defacement del sitio:
Probablemente, todo el mundo ya se ha dado cuenta de lo bien que el FBI cambió el diseño del blog, nunca se había dado a nadie tales honores, por lo general suben una imagen con el elogio de todas las fuerzas especiales del mundo. Aunque en realidad sólo una persona de todo el planeta merece elogios, [y esa persona es] la que hizo un pentest a mi sitio y explotó la CVE pública. Pero me pregunto, ¿cuánto le pagaron? ¿De cuánto fue su bono? Si es menos de un millón de dólares, entonces ven a trabajar para mí, probablemente ganarás más conmigo. O simplemente háblame en tox, recuerda que siempre tengo un programa de bug bounty activo y pago dinero por los bugs encontrados. El FBI no aprecia tu talento, pero yo sí y estoy dispuesto a pagarte generosamente.
También se refiere a los arrestos que hicieron las fuerzas de seguridad (a las que se refiere constantemente como “FBI”, aunque no “se olvida del resto” de ellas) y no sólo les baja el precio, sino que asegura que no son afiliados de LockBit:
Un par de mis socios fueron arrestados, para ser honesto lo dudo mucho, probablemente son sólo personas que están lavando criptomonedas, tal vez estaban trabajando para algunos mixers y exchanges, es por eso que fueron detenidos y considerados mis socios. Sería interesante ver el video de la detención, en sus casas, ver sus Lamborghinis y laptops con pruebas de su participación en nuestras actividades, pero de alguna manera creo que no lo veremos, porque el FBI arrestó gente al azar para obtener un certificado de merito de la administración, decir “miren hay arrestos” […], cuando los verdaderos pentesters siguen tranquilamente con su trabajo. Basssterlord no fue arrestado, yo sé el nombre real de Basssterlord, y no es ese pobre tipo que arrestó el FBI.
Finalmente, LockbitSupp anunció cambios en la forma de trabajo con los afiliados (a quienes se refiere como “postpaid pentesters”, es decir, “investigadores” que encuentran vulnerabilidades y cobran por su trabajo), como si Operación Cronos hubiese fortalecido al cartel.
Incluso después del hackeo del FBI, los datos robados serán publicados en el blog, no hay posibilidad de destruir los datos robados sin pagar. Y después de introducir la máxima protección en cada build de locker, no habrá ninguna posibilidad de descifrado gratuito, ni siquiera para el 2.5% de las empresas atacadas. Los nuevos afiliados pueden trabajar en mi programa de afiliados si tienen una reputación en los foros, pueden demostrar que son pentesters con post-pago, o haciendo un depósito de 2 bitcoins, el aumento se debe a la prueba y la hermosa publicidad del FBI, que es que mis afiliados y yo ganamos juntos cientos de millones de dólares, y que el FBI no puede asustarme y detenerme. La estabilidad del servicio está garantizada por años de trabajo continuo.
En conclusión, los interrogantes sobre qué pasará con el grupo, en menor o mayor medida, ya están contestados. Cerró Eldritch:
El código fuente puede “ayudar” a encontrar vulnerabilidades a futuro en el producto, porque da indicios de cómo está construido, pero no es un hecho de que a partir de esa filtración la operación se vea comprometida. De hecho LockBit anunció una nueva versión de sus paneles, ahora descentralizados.
El extenso posteo de LockbitSupp y las modificaciones en el programa de afiliados demostraron esta semana que la operación del que quizás sea el grupo cibercriminal más organizado tiene vida incluso después de la que fue la operación más grande que se haya conocido contra un grupo de ransomware.
🔏 Nuevo stealer detectado en México: Timbre
Researchers de Cisco Talos detectaron una campaña de un infostealer nuevo en México llamado “Timbre Stealer”, muy utilizada por atacantes en Centroamérica, que aprovecha vía phishing la temporada de cobro de impuestos (que se solapa con la de Estados Unidos).
Se trata de una nueva cepa “de amplio espectro” que primero se empezó a difundir vía mails maliciosos para propagarse a organizaciones de diversas industrias, pero por sobre todo manufacturas y transporte. Recordó a Dark News Joaquín Rodríguez Varela, cofundador e investigador en seguridad de Patagonia Security:
Un infostealer es un un malware que originalmente fue un agregado al ransomware, en el cual no solamente se cifraban los datos, sino que también se exfiltraba un montón de información del target afectado. Esa información robada sirve además para sacar otros provechos, por eso muchas veces se vende en la dark web. Lo que más se suele robar son credenciales de acceso porque son muy útiles; cookies, porque pueden levantar sesiones iniciadas y controlar cuentas; wallets de cuentas bancarias y lo que más interesa son cuentas corporativas, accesos a redes de empresas.
Al ejecutarse, Timbre Stealer determina en primer lugar si la máquina recién infectada es “de interés”. Específicamente, revisa que el idioma del sistema no sea ruso y que su zona horaria esté alineada con América Latina.
A continuación, comprueba que el sistema no haya sido infectado previamente y que no se esté ejecutando en un entorno sandbox. Otros mecanismos de ocultamiento incluyen el uso de loaders personalizados, llamadas directas al sistema que eluden la supervisión estándar de API y la restricción del acceso a su infraestructura sólo a usuarios de una región geográfica específica.
"Vemos con frecuencia que los ciberdelincuentes utilizan técnicas anti-análisis; esto es un esteroide", explica en el reporte Guilherme Venere, investigador de amenazas de Cisco Talos. "Los autores detrás de esta amenaza implementan tantas capacidades anti-análisis como pueden, lo que aumenta la dificultad del investigador para desmontarlo, así como de la tecnología para detectarlo."
Esta semana, Kaspersky publicó un reporte sobre la preocupante cantidad de filtraciones que producen los infostealers, en particular, en Roblox, donde registraron 34 millones de registros filtrados.
😼 Black Cat vuelve a mostrarse activo y ataca una multinacional de salud
Ciberdelincuentes del grupo de ransomware Black Cat (ALPHV) atacaron un sistema que maneja la entrega de recetas en Estados Unidos, UnitedHealth's Group, y obligaron a pasar a mano parte de los trámites. El grupo se atribuyó el ataque en su DLS (dedicated leak site) en la dark web.
Según publicó Reuters, los problemas comenzaron hace una semana, luego de que los atacantes tuvieran acceso a servidores con información de Change Healthcare. La gestión del incidente está a carago de Mandiant (Google), quien confirmó en un comunicado que "ha participado en la respuesta al incidente".
El ataque llegó a medios nacionales de Estados Unidos y agencias de noticias debido al rol central que tiene UnitedHealth en la industria farmacéutica. Según reportaron diversos sitios y periodistas infosec, muchos usuarios no pudieron comprar sus medicamentos porque los sistemas estaban caídos (problema similar a lo que sucedió con Farmalink en Argentina en mayo de 2023).
Circularon versiones de que ALPHV aprovechó la vulnerabilidad de ConnectWise, pero el grupo mismo lo desmintió en su sitio.
El ataque también cobra relevancia en la escena del ransomware luego de que Black Cat haya sufrido la baja de su sitio, a fines de 2023, tras haber cobrado notoriedad pública por atacar a los gigantes hoteleros MGM Resorts International y Caesars Entertainment en Las Vegas.
A mediados de diciembre, el Departamento de Justicia de Estados Unidos anunció la interrupción de la operación del grupo de ransomware y publicó una herramienta decrypter para que más de 500 víctimas afectadas pudieran recuperar el acceso a los archivos encriptados.
De hecho, luego del takedown, Black Cat había advertido que volvería a operar y, esta vez, sin respetar las restricciones por ellos mismos autoimpuesta de no atacar centros de salud. Este ataque confirma la dirección de las TTPs que está tomando el grupo.
El posteo sobre UnitedHealth fue dado de baja, lo cual abre a dos posibilidades: o bien se pagó el rescate, o que Black Cat se haya arrepentido de atraer demasiada atención, algo que, a partir de estos casos como el de MGM y Caesars, demostró jugar en contra de los grupos de ransomware.
El equipo de Huntress publicó un reporte esta semana donde analiza la actividad de los afiliados de Black Cat y describe el mapeo del ataque (MITRE ATT&CK):
Initial Access - T1190, Exploit Public Facing Application (likely); T1078. 002, Valid Domain Accounts
Execution - T1059. 003, Windows Command Shell
Defense Evasion - T1562. 001, Disable/Modify Tools
Privilege Escalation - T1078. 002, Valid Domain Accounts
Impact - T1486, Data Encrypted For Impact
Impact - T1490, Inhibit System Recovery
Los ataques al sector salud están causando estragos, con el caso de un hospital de niños en Chicago que están generando titulares desgarradores, como el de una familia que necesita de manera urgente acceder a la historia clínica de su hija para poder continuar un tratamiento crítico.
ALPHV lanzó, esta semana, una nueva cepa de su ransomware (ver en este enlace).
🐙 GitHub suma protección de cambios vía push para evitar filtraciones
GitHub activó protección push por default en los repositorios públicos para proteger la exposición accidental de información privada como tokens y claves API a la hora de pushear código nuevo.
“Desde el pasado agosto, todos los usuarios de la nube de GitHub podían optar por la protección push de escaneo de secretos, que bloquea automáticamente las confirmaciones cuando se detecta uno. Ahora, hemos habilitado por defecto la protección push contra el escaneo de secretos para todos los envíos a repositorios públicos”, explicó la empresa en un comunicado.
Incluso con la protección push activada por defecto para todos los repos públicos, los usuarios de GitHub pueden bypassear el bloqueo automático de confirmaciones. Aunque no es recomendable, pueden desactivar completamente la protección push en su configuración de seguridad.
Según explicó la empresa, durante los dos primeros meses de 2024, GitHub detectó más de un millón de secretos filtrados en repositorios públicos.
🐻 Advierten que hackers vinculados a Rusia (APT28) comprometen routers
El FBI, la NSA y otras entidades internacionales publicaron un aviso conjunto en el que advierten que actores de amenazas vinculados a Rusia (APT28, Fancy Bear) están utilizando routers EdgeRouters de Ubiquiti comprometidos para eludir detecciones.
Los hackers habrían usado una botnet de dispositivos EdgeRouters comprometidos, llamada Moobot, para recopilar credenciales, proxies de tráfico de red y herramientas personalizadas.
"Los routers EdgeRouter se venden con contraseñas predeterminadas y protecciones de firewall limitadas o inexistentes para adaptarse a los proveedores de servicios de internet inalámbricos (WISP). Además, no actualizan automáticamente el firmware a menos que un administrador los configure para hacerlo", advirtió el FBI.
"En resumen, con acceso root a los Ubiquiti EdgeRouters comprometidos, los actores de APT28 tienen acceso sin restricciones a los sistemas operativos basados en Linux para instalar herramientas y ofuscar su identidad mientras llevan a cabo campañas maliciosas”, cierran en el informe.
APT28 es un conocido grupo de hackers rusos apuntados por ciberataques de alto impacto. Lograron entrar al Parlamento Federal Alemán (Deutscher Bundestag) y estuvieron detrás de los ataques contra el Comité Demócrata de Campaña del Congreso (DCCC) y el Comité Nacional Demócrata (DNC) antes de las elecciones presidenciales estadounidenses de 2016.
🔗 Más info
Epic Games dice que hay “cero evidencia” de que haya sufrido un ransomware
Black Basta Ransomware ya está explotando la vulnerabilidad de ScreenConnect
Suben información que contendría 2.5 millones de registros del aeropuerto de Los Ángeles
Tumblr y Wordpress van a vender datos de sus usuarios para entrenar herramientas de IA
Encuentran un backdoor en Tornado Cash
Actualizan el framework NIST
La ciudad de Oakley, en California, sufrió un ransomware
Europa apunta a LinkedIn por violar normas de privacidad
Infoblox encontró un nuevo threat actor, Savvy Seahorse