Nueva campaña de phishing imita a la AFIP, detienen a 5 operadores de ransomware y roban datos de clientes de Okta
El troyano bancario Grandoreiro sigue muy activo en Latinoamérica, Europol captura a exmiembros de Hive, el breach de Okta es más grave de lo que se pensaba y día de la ciberseguridad.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
24 nov>
1 dic
⚡ TL;DR
Se va noviembre y, con un pie en el último mes de 2023, tuvimos ayer el “día mundial de la ciberseguridad”. Los “día de” son particulares porque, en general, no rinden en métricas en medios de comunicación: no generan clics, no interesan. Y, para peor, las bandejas de entradas de los periodistas se nos llenan de gacetillas de prensa con propuestas de entrevistas a voceros e información refurbished.
Quizás por esto me resisto bastante a escribir contenidos relacionados a las efemérides. Pero hay algo que es cierto: sirven para concientizar. Y esto no es menor a la hora de escribir en un diario generalista como Clarín. Así que esta vez, hice un mix: junté información de Kaspersky y ESET, junto a otros testimonios expertos, para dar un panorama de tendencias en ciberataques para 2024.
Creo que salió algo interesante. El dato de color es que la fecha tiene que ver con uno de los primeros virus que se detectó en el ambiente “informático”, en 1988, en la Universidad de Cornell, en EE.UU. Y el 30, con que los usuarios no tienen la cabeza en su higiene digital, sino más bien en hacer compras por las fechas que se avecinan.
Ahora sí, las noticias. A nivel local, una discusión del ámbito fintech volvió a esconder una cuestión importante de seguridad: otro round entre el Banco Central y Mercado Pago. En Dark News toqué el tema en septiembre, cuando se puso en cuestión el sistema de fondeo de cuentas DEBIN. Ariel Setton, economista, es muy bueno explicando así que refloté el artículo de aquel entonces, actualizado, para explicar qué cambiaba. De todos modos, el BCRA tiró para atrás la decisión al dar una prórroga más, dando como ganador de la batalla a Marcos Galperín, fundador de Mercado Libre.
Por la región siguieron apareciendo rewashes de información (en Chile por ejemplo), Grandoreiro empezó a apuntar a Colombia (según reportó el analista Germán Fernández en ambos casos) y aparecieron indicadores de compromiso de este malware bancario brasileño en relación a la AFIP de Argentina.
En el universo del ransomware hubo novedades importantes, además de la usual cantidad de casos registrados: arrestaron a 5 operadores de bandas de peso. En cuanto a breaches, Okta dio más detalles de la última filtración.
Por último, dos recursos interesantes que me topé: esta semana se subieron las charlas de las villages de la edición 2023 de Ekoparty. Se pueden ver en este enlace.
Y el researcher Bushido Token armó un registro de compañías que dan a conocer las técnicas mediante las cuales fueron atacados -TTPs- luego de sufrir un ciberataque.
Leer este correo te va a llevar 9 minutos
👮 Detienen a cinco miembros de bandas de ransomware en Ucrania
Una operación coordinada de Europol y Eurojust detuvo a cinco miembros de grupos cibercriminales en Ucrania que, según creen, son operadores de ransomware de cepas como LockerGoga, MegaCortex, HIVE y Dharma. En total, afectaron a cerca de 1800 víctimas.
El arresto incluyó a uno de los líderes de estos grupos, de 32 años, junto a su equipo, en lo que fue un raid por más de 30 propiedades alrededor de Ucrania. Según otro comunicado -Policía ucraniana- incautaron equipos, autos, tarjetas SIM y telefónicas y docenas de discos rígidos y otros soportes electrónicos.
La policía también incautó activos en criptomonedas, entre ellos casi 110.000 dólares y hasta subió un video -bastante bizarro, atención a la escalera- con los operativos.
Entre estos grupos, Hive quizás sea uno de los más prolíficos que, a principios de año, fueron desmantelados por el FBI. En Argentina habían logrado atacar a Artear a mediados del año pasado y a Telecom en diciembre.
Se cree que las personas investigadas forman parte de una red responsable de una serie de ataques de ransomware de gran repercusión contra organizaciones de 71 países. Estos ciberdelincuentes son conocidos por atacar específicamente a grandes empresas, paralizando sus negocios. Utilizaban los ransomware LockerGoga, MegaCortex, HIVE y Dharma, entre otros, para llevar a cabo sus ataques.
Se cree que los detenidos están conectados a un grupo de 12 sospechosos que fueron arrestados en junio de 2021.
🥷 Nueva campaña imita a AFIP con el troyano bancario Grandoreiro
Una nueva campaña usa el troyano bancario Grandoreiro para hacerse pasar por la Administración Federal de Ingresos Públicos (AFIP), apuntando principalmente a usuarios argentinos que intentan acceder al sitio web de la entidad.
Ernesto Bernal, investigador independiente, explicó a Dark News:
Grandoreiro es un malware de origen brasileño, distribuido en forma de falsas multas o deudas. En este caso particular, se envía como un documento emitido por AFIP y, una vez infectado el equipo de la víctima, el operador del malware toma control de la PC y envía comandos para desplegar formularios falsos, simulando pedidos del 2FA de su entidad bancaria.
A través de la descarga de “un ejecutable que simula ser un PDF y tiene un falso captcha que evade servicios tipo sandboxing para detección de amenazas”, el atacante puede “realizar transferencias a otros destinatarios, cuentas mula, sin restricciones”, desarrolla Bernal. Una vez que el malware se instaló correctamente, se emite un cartel de que no puede mostrarse el PDF, “para evitar sospechas”.
Grandoreiro ha sido objeto de diversos análisis, uno de ellos por parte del laboratorio de amenazas de ESET: “Ha estado activo al menos desde 2017 apuntando a Brasil y Perú, expandiéndose a México y España en 2019. El hecho de que ataque a sus víctimas mostrando ventanas emergentes falsas que intentan persuadir a las víctimas para que divulguen información confidencial no debería sorprender”, en tanto esa es su forma de despliegue.
Los troyanos bancarios siguen siendo una amenaza latente en América Latina, según insistió la empresa eslovaca de ciberseguridad en el pasado Foro ESET Latinoamérica en Punta del Este, al cual pudo asistir Dark News. Garandoreiro lidera la lista en su telemetría:
🔑 Okta: robaron datos de los usuarios tras el segundo breach del año
El gestor de accesos e identidades digitales Okta reconoció que los ciberdelincuentes que entraron a su sistema el pasado octubre lograron robar información de todos los usuarios desde su sistema de atención al cliente.
La compañía con sede en San Francisco notificó a sus clientes que los atacantes descargaron un informe que contenía datos como nombres y direcciones de correo electrónico de todos los clientes que utilizan su sistema de atención al cliente, dijo la compañía en un comunicado enviado por correo electrónico a Reuters.
El incidente se consolidó como el segundo hackeo grave luego del que tuvo la empresa en enero del año pasado, cuando 366 empresas que usan sus servicios se vieron comprometidas.
En este caso, diversos clientes que usan el sistema se vieron comprometidos, como el gestor de contraseñas 1Password, Cloudflare y BeyondTrust.
"Aunque no tenemos conocimiento directo ni pruebas de que esta información esté siendo explotada activamente, hemos notificado a todos nuestros clientes que este archivo supone un mayor riesgo de seguridad de phishing e ingeniería social", explicó la compañía en su comunicado.
Como Okta ofrece servicios de identidad, el impacto del breach puede ser un eslabón sensible en la cadena de suministro. OpenAI, una de las empresas más codiciadas del momento (ChatGPT), usa Okta para autenticar.
🔌 Falla en Google Workspace y chrome
Investigadores de ciberseguridad de Hunters encontraron una “falla grave de diseño" en la función de delegación a nivel de dominio (DWD) de Google Workspace, que puede ser explotada para facilitar el escalado de privilegios y obtener acceso no autorizado a las API de Workspace.
"Tal explotación podría resultar en el robo de correos electrónicos de Gmail, la exfiltración de datos de Google Drive, u otras acciones no autorizadas dentro de las API de Google Workspace en todas las identidades en el dominio de destino", explicaron los researchers.
El problema seguía activo esta semana y fue bautizado “DeleFriend” por su capacidad para manipular las delegaciones existentes en Google Cloud Platform (GCP) y Google Workspace sin tener privilegios de superadministrador.
Google respondió a medios especializados como The Hacker News: "Este informe no identifica un problema de seguridad subyacente en nuestros productos. Como práctica recomendada, sugerimos a los usuarios que se aseguren de que todas las cuentas tienen la menor cantidad de privilegios posible (link). Hacerlo es clave para combatir este tipo de ataques”, explicaron.
Esta falla coincide con una enorme cantidad de usuarios reportando que sus archivos de Google Drive no están disponibles desde mayo de 2023 en adelante, lo cual tuvo que ver con la aplicación para escritorio.
🪙 Cierra un imperio de cripto-phishing
Inferno Drainer, una plataforma de phishing especializada en imitar sitios y plataformas legítimas de criptomonedas, dejó de operar esta semana tras robar más de 71 millones de dólares en los últimos nueve meses.
Activa desde febrero de este año, fue detectada por la plataforma de seguridad ScamSniffer, y permitía crear páginas de phishing para más de 220 marcas de criptomonedas.
Bajo un modelo de Phishing as a Service (PhaaS), los atacantes creaban páginas de phishing, atraían a los usuarios a los sitios e Inferno Drainer automatizaba el hackeo y posterior vaciado de criptowallets de las víctimas. La plataforma se quedaba con el 20% de los fondos.
Los investigadores de ScamSniffer afirman que Inferno Drainer fue responsable de más de 10.000 sitios de phishing y ayudó a los ciberdelincuentes a robar criptomonedas a más de 103.000 víctimas desde su lanzamiento.
El sistema de phishing como servicio es un ejemplo más del “commodity malware” del que también habló ESET en el foro de hace dos semanas y es congruente con el crecimiento de Telegram como un bazar para el ciberdelito: Inferno Drainer se despidió mediante un mensaje en esta plataforma.
🔗 Más info
Slack guarda cookies en texto plano en el disco y esto puede ser abusado
Google Chrome da a conocer un zero day
Check Point Research analiza el backdoor SysJoker
Apple investiga casos de spyware en India
Un nuevo actor de amenazas entra en la escena y les roba a otros cibercriminales: MadCat