OCASA sufre un ransomware en Argentina y se conocen detalles del robo de datos a Santander
La web de la empresa de logística está caída, Wired entrevistó a un miembro de ShinyHunters que hackeó a Snowflake, AMD investiga un breach y banean a Kaspersky en EE.UU.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
14>21
jun
⚡ TL;DR
Semana corta en Argentina (cortísma, tenemos la conmemoración de dos próceres, Güemes y Belgrano, que se traducen en días no laborables y feriados puente) y los reportes sobre incidentes, breaches y hacks estuvieron tranquilos en el plano local. Sin embargo, a mediados de semana empezó a sonar en el ambiente un ciberataque a OCASA, empresa que realiza envíos de tarjetas de crédito, débito, licencias y todo tipo de logística en Argentina.
Pude confirmar que fue un ransomware, a pesar de que la empresa no respondió el pedido de comentarios y tampoco me contaron si se vieron afectadas las operaciones. Están manejando el tema con bastante hermetismo en relación a la prensa, una estrategia que quizás tenga poca vida útil debido a que ya hay usuarios mencionando el tema en redes sociales.
El ataque parece bastante grande, por lo que pude averiguar con otras fuentes y hasta el momento de esta publicación, la web estaba caída.
A nivel global, un muy buen artículo de Wired explicó el paso a paso del hackeo a Snowflake que derivó en una filtración de datos de Santander, Ticketmaster y más de 160 empresas asociadas a este proveedor en la nube. Más allá de recopilar y traducir las partes más relevantes de la entrevista de Wired, complemento con información de las TTPs de ShinyHunters, el grupo que llevó con éxito el ataque, para ver cómo matchean con el arsenal desplegado por los atacantes que se cuentan en la nota (infostealers, spear-phishing y desplazamiento por la cadena de suministro).
Un dato: relacionado con esta cuestión, durante esta semana pude hablar con AWS por el anuncio de que el 2FA será obligatorio en usuarios root y es probable que pronto pueda tener un mano a mano con la compañía para profundizar esta cuestión, que es crucial en el threat landscape actual. Lo menciono porque hubo toda una discusión en torno a Snowflake y su política de autenticación sin MFA.
Además, AMD tuvo que investigar un presunto data breach puesto a la venta en la dark web por un conocido usuario de la dark web (IntelBroker), que también habría filtrado información interna de Apple. También se reportó un presunto data breach en Accenture y un researcher encontró un bug en Outlook que permite hacer email spoofing para suplantar identidades corporativas.
En cuanto a grupos de ransomware, el presunto líder de Scattered Spider, el equipo cibercriminal que logró hackear a gigantes como MGM y Caesars Entertainment, fue arrestado en España: es un británico de 22 años.
Para cerrar, linkeo a un informe de Trend Micro que detecta que en 2023 bajaron los ataques de phishing para su telemetría. Aclaro esto porque tomar a las estadísticas como un todo es engañoso: quizás el dato habla más de los sistemas internos de Trend Micro que del panorama de amenazas, aunque no es menor que una empresa con reputación detecte una baja en un tipo de ataque.
Sobre el final de la semana, Estados Unidos anunció la prohibición de la comercialización de productos Kaspersky en territorio norteamericano.
Dark News #87
Leer este correo te va a llevar 14 minutos.
Bloka, el líder en Servicios de Seguridad Gestionados (MSSP) y SOC-as-a-Service (SOCaaS) en Argentina, ofrece protección continua, inteligente, adaptativa y accesible. Su equipo de expertos garantiza soluciones personalizadas y un acompañamiento integral, protegiendo los activos digitales y la continuidad operativa de sus clientes con calidad y transparencia.
📬 La empresa de logística OCASA sufre un ransomware
OCASA, empresa de transporte y logística, sufrió un ciberataque que dio de baja el sitio web de la compañía. Dark News confirmó que se trata de un ransomware, un programa malicioso (malware) que ingresa a los sistemas, encripta información y pide un rescate en criptomonedas a cambio.
OCASA es conocida por hacer envíos de tarjetas de crédito, débito, documentación como licencias de conducir por correo, además de otro tipo de encomiendas. Por este motivo, los cibercriminales podrían tener en su poder datos personales de ciudadanos argentinos que hayan recibido envíos a sus domicilios.
Su especialidad es lo que se conoce como la distribución “de última milla” (el último tramo hasta el domicilio del comprador), además de la mercadería que pasa por sus dos grandes centros de distribución. Tienen plantas ubicadas en La Plata, Sarandí y Avellaneda, para manejar el proceso conocido como “cross docking”.
“Reafirmamos la capacidad de evolucionar, innovar y proporcionar soluciones logísticas de vanguardia a nuestros clientes en todo el mundo, desarrollando servicios orientados a impactar positivamente en la vida de las personas, brindando soluciones, cuándo y dónde lo necesiten”, explican desde la propia empresa, destacando entre sus especialidades el ecommerce, la trazabilidad y el almacenamiento.
Dark News contactó a la compañía para pedir un comentario y consultar en qué estado se encuentran las operaciones, pero no recibió una respuesta.
El impacto del ataque todavía no está claro, en tanto no hay una comunicación oficial, pero este medio supo que los equipos de IT estuvieron trabajando toda la semana para recuperar la información afectada. Hasta el momento de publicación de esta nota, la web seguía caída.
Además, el ataque impactó a otras empresas del grupo que maneja OCASA como Direxa, una compañía que ofrece “soluciones a medida y exclusivas en servicios integrales de logística, operaciones de importación, exportación y tránsito de mercadería”.
OCASA tiene otros socios estratégicos como Staples, que provee artículos de librería y Brandlive, encargado de proveer a los retails de marcas como Wrangler, Lee y Topper, entre otras.
ACTUALIZACIÓN: Luego de la publicación de esta entrada y del artículo de Clarín, OCASA me compartió el siguiente comunicado vía WhatsApp.
En las últimas horas nuestro equipo de ciberseguridad verificó un intento de vulneración a nuestros sistemas, generando la interrupción de su normal funcionamiento. Activamos el protocolo de seguridad y estamos realizando un análisis exhaustivo al respecto. En función del análisis inicial, no hemos sufrido filtraciones de datos. Nos encontramos monitoreando la situación y tomando las medidas necesarias para resguardar las operaciones y la seguridad de la información.
🥷 Cómo hackearon a Snowflake para robar información de Santander y Ticketmaster
Wired publicó una entrevista esta semana donde se detalla cómo fue uno de los hackeos más resonantes del mes que, de rebote, afectó a Ticketmaster y Grupo Santander. A través de Snowflake, un proveedor en la nube que usan grandes empresas, un grupo de ciberdelincuentes activó un attack chain que, ahora, empieza a ser un poco más claro. En el caso de Santander, anunciaron la venta de datos de clientes y empleados de la subsidiaria bancaria en España, Chile y Uruguay.
La nota, firmada por Kim Zetter -una de las periodistas más importantes del rubro, autora del libro referencia sobre Stuxnet-, es una charla con uno de los miembros de ShinyHunters, el grupo que llevó adelante una campaña contra clientes de Snowflake, en un ataque exitoso que afectó a cerca de 165 targets entre empresas y entidades.
Snowflake es un SaaS (Software as a Service) que brinda no sólo almacenamiento en la nube, sino que explota el procesamiento, análisis y consultas de datos a través de un modelo multi-cluster. Desarrollada por exingenieros de Oracle, la empresa tiene una tradición muy fuerte en el concepto de Data Cloud, motivo por el cual diversas compañías y entidades usan el servicio en todo el mundo para hacer análisis de grandes volúmenes de datos.
Por todo esto, Snowflake es un target más que apetecible para realizar un ciberataque: a través de ella se puede acceder a otros objetivos, en lo que constituye un ataque de supply chain muy popular en la actualidad.
Snowflake no dio detalles del ataque y negó que los hackers hayan accedido a sus cuentas directamente. Esto fue apoyado por un reporte de Mandiant (Google) que señaló que los atacantes lograron atacar a un third-party que trabaja con Snowflake y de ahí llegar al servicio de cloud para, recién ahí, ir a clientes como Santander.
Como la cadena de suministro de este ataque tiene varias partes, resumo punto por punto lo que pudo saber Zetter:
Según la entrevista, ShinyHunters obtuvo acceso a Snowflake dando un paso anterior: primero atacaron a un contractor de la compañía bielorrusa llamada EPAM Systems, empresa de ingeniería de software y servicios digitales que opera en Norteamérica, Europa, Asia y Australia.
El atacante aprovechó información del sistema de un empleado de EPAM para llegar desde ahí a “algunas” cuentas de Snowflake [sin especificar la cantidad exacta]. EPAM le dijo a Wired que duda que haya tenido un rol central en los breaches y desmintió la versión del hacker de ShinyHunters
¿Qué vínculo hay entre ambas empresas? Según el propio sitio de EPAM, les brinda asistencia a cuentas de Snowflake para analizar la información almacenada y hay cerca de 300 empleados especializados en manejar estas cuentas. El vínculo parece ser fuerte.
El hacker de ShinyHunters que habló con Wired contó que infectó un equipo de EPAM con un infostealer a través de un ataque de spear-phishing. El paso del Initial Access Broker (IAB), es decir, quién y cómo puso un pie dentro de este tramo del ataque, no está claro (podría haber comprado un acceso a un tercero para depositar el infostealer, advierte Zetter, en cuyo caso no hubiese sido por spear-phishing).
ShinyHunters dijo que, una vez dentro del sistema de EPAM, depositó un troyano RAT para tener acceso completo al equipo de ese empleado.
Con este acceso, encontraron una lista de usuarios y passwords sin encriptar, en texto plano, usados por EPAM para entrar a cuentas de Snowflake, incluyendo una cuenta de Ticketmaster. “Las credenciales estaban alojadas en la computadora de un empleado, dentro de herramienta de project managment llamada Jira”, explicó el atacante.
Y acá viene el punto más conflictivo, que dejaría a Snowflake muy complicado: según los atacantes, las cuentas de Snowflake no requerían MFA para loguearse. Por eso fue tan fácil entrar de EPAM a Snowflake.
En algunos casos, el hacker reconoció que no necesitó usar el archivo con contraseñas almacenadas por EPAM, sino que usó credenciales robadas en breaches anteriores adquiridas por un infostealer en 2020. Esto fue confirmado por Mandiant en su reporte: “La fecha de infección de infostealer más antigua observada asociada a una credencial aprovechada por el threat actor se remontaba a noviembre de 2020.
¿Había datos dando vueltas desde antes, entonces? Sí: otra vez, confirmó Mandiant: “En total, identificamos cientos de credenciales de clientes de Snowflake expuestas a través de infostealers desde 2020”.
Según Wired, una vez llevado a cabo el ataque, llegaron a pedir miles de dólares y hasta más de un millón a cambio de la información robada.
Paralelamente se empezaron a conocer data breaches de distintas empresas de peso. Allí cayeron las operaciones de España, Uruguay y Chile de Santander, un jugador clave en la banca hispana, y Ticketmaster.
Se estima que el total de cuentas de clientes comprometidas es de 165, pero apenas unos pocos fueron identificados. Además de Ticketmaster (cuya empresa matriz, Live Nation, reconoció que la información fue robada a través de Snowflake) y Santander, dos pesos pesados en sus rubros, está Lending Tree, una aplicación financiera, y Advance Auto Parts, que presentó un formulario 8-K ante la SEC en Estados Unidos.
Según la investigación de Wired, “hay 30 millones de clientes, que incluyen 6 millones de números de cuenta y balances, 28 millones de números de tarjetas de crédito [probablemente robadas de sesiones de navegadores] y recursos humanos como información del staff.
Sobre el threat actor, ShinyHunters, o ShinyCorp, es un grupo cibercriminal que surgió en 2020 y se motiva principalmente por lo financiero. Según analistas, se trata de uno de los administradores del foro underground BreachForums, cerrado hace un mes pero con constantes respawneos.
En relación a sus tácticas, técnicas y procedimientos (TTPs) se encuentran diversas estrategias para acceder a las bases de datos de las organizaciones, como la inspección de repositorios de GitHub para identificar vulnerabilidades, la explotación de depósitos en la nube no seguros y el empleo de tácticas de ingeniería social como correos electrónicos de phishing.
Entre los ataques que llegaron a la prensa se encuentran AT&T, Tokopedia, Pizza Hut Australia y Wattpad.
Dentro del MITRE framework, operan bajo esta estructura:
Acceso Inicial (TA0001): A través de relaciones de confianza (T1199).
Impacto (TA0040): Robo financiero (T1657).
Colección (TA0009): Extracción de datos de sistemas locales (T1005).
En cuanto a las regiones atacadas, manejan América del Norte, América Latina, Asia y Europa. Y los sectores más targueteados incluyen la comercial, educación, servicios financieros, entretenimiento, telecomunicaciones y tecnología.
Más allá de toda esta información, recomiendo leer la nota de Kim Zetter en Wired.
💻 AMD investiga un data breach
El fabricante de microprocesadores y placas de video AMD investiga un posible data breach, luego de que el prolífico usuario de la dark web IntelBroker publicara esta semana un posteo en el que asegura que tiene información confidencial de la empresa, datos de empleados, financieros y más documentación interna.
"Somos conscientes de que una organización cibercriminal afirma que tiene datos robados de AMD. Estamos trabajando estrechamente con las fuerzas de seguridad y un socio third-party para investigar la reclamación y la importancia de los datos”, comunicó de manera oficial la empresa.
Los datos supuestamente robados incluyen información sobre futuros productos, bases de datos de empleados y clientes, archivos de propiedad, firmware, código fuente y documentación financiera.
El vendedor afirma que los datos comprometidos de los empleados incluyen nombres y apellidos, puestos de trabajo, números de teléfono y direcciones de correo electrónico. El atacante compartió capturas de pantalla de la información supuestamente robada.
Según el posteo, la información sale de un breach de la empresa en junio de este año: “En junio de 2024, AMD, una gran empresa informática sufrió un data breach. Datos comprometidos: Futuros productos de AMD, hojas de especificaciones, bases de datos de empleados, bases de datos de clientes, archivos de propiedades, ROMs, código fuente, firmware y finanzas”, escribió.
IntelBroker tiene una reputación online por haber atacado un proveedor de la Cámara de Representantes de Estados Unidos que terminó con datos personales de legisladores norteamericanos, además de un breach a un sitio web de Europol.
No es la primera vez que AMD sufriría un breach. En 2022, el grupo de ransomware RansomHouse aseguró que pudo robar 450 GB de datos internos de la compañía.
IntelBroker también subió esta semana un posteo en el que asegura haber filtrado información interna de Apple.
👾 Encuentran un bug en Outlook que permite hacer email spoofing
Un investigador encontró un bug que permite hacer email spoofing, esto es, imitar direcciones de correo corporativas, una herramienta muy útil para iniciar un ataque contra redes empresariales o institucionales a través de phishing.
Durante la semana pasada, el investigador Vsevolod Kokorin, conocido también como Slonser, mostró en Twitter cómo podía imitar al equipo de seguridad de Microsoft para enviar un correo. El researcher lo reportó, pero la empresa con sede en Redmond le contestó que no podían reproducir el bug. Esta semana, TechCrunch publicó un artículo en el cual el hacker le demostró al medio el paso a paso de la imitación del correo de Microsoft:
Según Kokorin, el bug funciona sólo al enviar el correo a cuentas Outlook, lo que implicaría un set de 400 millones de usuarios alrededor del mundo (según la propia Microsoft).
"Muchos me malinterpretan y piensan que quiero dinero o algo así. En realidad, solo quiero que las empresas no ignoren a los investigadores y sean más amables cuando intentás ayudarlos”, dijo al medio tech el researcher.
Por el momento no se sabe si el bug se está explotando de manera maliciosa, o si hay alguna campaña activa. Hasta el momento, el bug no fue parcheado.
📧 Trend Micro registra una baja en phishing en 2023
Trend Micro publicó un reporte en el que aseguran que bajaron las detecciones de phishing durante 2023. “El año pasado detectamos y bloqueamos 14.7 millones de ataques de phishing, lo que representa un descenso del 31%. También se produjo un descenso del 45% en los ataques de phishing detectados a través del recuento de spam, con 8 millones de detecciones”, aseguraron.
El reporte asegura que, a pesar de esta baja, el correo sigue siendo un gran vector de ataque:
A pesar de tener más de cinco décadas de antigüedad, el correo electrónico sigue siendo la herramienta de comunicación preferida por la mayoría de organizaciones y grupos. De hecho, el correo electrónico fue destacado como la actividad más popular de Internet en 2023. Y debido a su amplia base de usuarios -con aproximadamente 4.370 millones de cuentas en todo el mundo el año pasado- sigue siendo un vector de ataque favorito para la ciberdelincuencia. Un informe lo considera la "herramienta de comunicación y colaboración más vulnerable en el entorno empresarial".
En el reporte, Trend Micro destaca los ataques BEC (Business Email Compromise):
Una persistente campaña de RedLine Stealer a través de spear-phishing
Hershey reportó un número de correos internos afectados por una campaña que terminó en un data breach
Campañas de “approval phishing” (engañar a un usuario a firmar un contrato cripto fraudulento) llevaron a robos por al menos 374 millones de dólares en criptomonedas
La compañía de software Retool fue targueteada por una campaña por SMS que afectó a 27 de sus clientes cloud
Como siempre, hay que tomar estos números como lo que son: telemetría interna de una compañía de la industria. No son cifras absolutas, sino que hablan más de los sistemas que aplican las empresas de antivirus que de la totalidad del threat landscape, sus fortalezas y debilidades.
El reporte completo se puede leer en este enlace.
Telecom ofrece servicios de Firewall para Empresas y Pymes, orientados a resolver las principales necesidades de seguridad dentro de una red.
🔗 Más info
La cadena Panera Bread habría pagado un ransomware
Multan a una empresa de software en California por el comunicado de prensa que emitió tras un ransomware
Parchean una vulnerabilidad en Chrome 126
MITRE le advierte al Gobierno de EE.UU. que se focalice en infraestructura crítica
Acusan a dos usuarios por manejar un gran mercado underground: Empire Market
Un error de Google Chrome engaña a usuarios y corre scripts maliciosos de PowerShell
La versión Linux de RansomHub apunta a máquinas virtuales VMware ESXi
Atlassian arregla seis bugs severos