Operación Cronos: la trama detrás del golpe a LockBit, uno de los grupos cibercriminales más grandes del mundo
Confiscaron el sitio en la dark web, audiencia en Buenos Aires por el reconocimiento facial, leak espía chino (i-Soon), se define el destino de Assange y multa multimillonaria contra Avast.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
16>23 feb
⚡ TL;DR
Finalmente pasó: la operación de LockBit, uno de los grupos de ransomware más grandes del mundo, fue interrumpida luego de que fuerzas de seguridad confiscaran los mirrors de sus sitios en la dark web, dos miembros fueran arrestados y las llaves para desencriptar (acá) los sistemas cifrados fueran publicadas.
El grupo, activo desde hace casi 5 años, constituyó un antes y un después en la escena del ciberdelito. Profesionalizó el modelo de Ransomware as a Service (RaaS) al punto de tener diversos departamentos dentro de su estructura cibercriminal, al menos cerca de 200 afiliados conocidos y una actividad constante que signó a las noticias del mundo infosec durante el último lustro.
El lunes, una operación conjunta liderada por la National Crime Agency (NCA) de Gran Bretaña anunció que el sitio estaba confiscado. Después se comenzaron a suceder una serie de anuncios que tuvieron al sitio de LockBit como principal protagonista: las fuerzas del orden le hicieron un defacement para mostrar toda la información que habían recopilado en la “Operación Cronos”, en una clara provocación y una suerte de payback más digno del mundo underground que del de la seguridad profesional.
La noticia impactó en medios de todo el mundo, por fuera del cerco de la ciberseguridad, desde Bloomberg hasta la agencia de noticias Reuters. Y no es para menos: se trata de la que para muchos es la operación más grande contra el cibercrimen de la historia.
El plano global estuvo agitado también por el juicio de extradición de Julian Assange, fundador de WikiLeaks, y diversas manifestaciones de apoyo en su favor.
En el plano regional, Akira Ransomware atacó un proveedor tecnológico de Chile, DTS, un usuario puso a la venta información de tres compañías de renombre (NaranjaX, Movistar y Aerolíneas Argentinas) y en la Ciudad de Buenos Aires hubo una audiencia pública por el reconocimiento facial.
Además, una filtración de una compañía que se cree que espía para China acaparó la atención de los analistas de inteligencia y Avast fue multada por comercializar información de sus usuarios.
Leer este correo te va a llevar 15 minutos
Esta entrega cuenta con el apoyo de:
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
👮♀️ Cayó LockBit: ¿cayó LockBit?
LockBit fue desarticulado a comienzos de esta semana luego de la operación conjunta de once países contra el cibercrimen más grande de la historia.
El Departamento de Justicia de EE.UU, la agencia contra el cibercrimen de Reino Unido (NCA) y Europol, junto a otras entidades, lideraron la baja el sitio en la dark web y, desde entonces, empezaron a desplegar una serie de medidas que podrían cambiar el mapa global del negocio del ransomware.
Según la información oficial, LockBit infectó más de 2 mil víctimas y recolectó no menos de 120 millones de dólares. El grupo, conocido en todo el mundo, también puso un pie en Argentina durante estos años, cuando atacó a empresas de la envergadura de Osde, La Segunda e Ingenio Ledesma.
Las primeras operaciones de LockBit se registraron en 2019. El grupo atravesó distintos momentos de crecimiento, con algunas turbulencias como la filtración de su código fuente en 2022, cuando los desarrolladores se reagruparon y lanzaron LockBit 3, con un sitio que incluso permitía navegar archivos robados sin descargarlos, dentro del browser. En total, hasta el final de sus operaciones, LockBit llegó a reunir al menos 193 afiliados conocidos su servicio de ransomware.
El grupo siempre tuvo reglas: tras la negociación, no sólo se devuelve la información, sino que se destruye la copia de la entidad afectada. Sin embargo, las fuerzas de seguridad que llevaron adelante la operación descubrieron información de víctimas que habían pagado, lo que verificó que, al menos en ciertos casos, el grupo no cumplía con su palabra.
Pero esta semana, una “task force” liderada por la National Crime Agency de Gran Bretaña, dio a conocer la llamada Operación Cronos, que terminó con un tremendo golpe a LockBit: incautaron la infraestructura de los servidores, congelaron wallets de criptomonedas donde cobran sus pagos, lanzaron herramientas para desencriptar a víctimas, impusieron sanciones internacionales y arrestaron a dos miembros.
Aunque muchos hablan del “final” de LockBit, debido al gran poder de fuego de la operación de las fuerzas de seguridad, especialistas advierten que la disrupción de la operación actual podría no indicar necesariamente la desaparición de la banda.
Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica, explicó a Dark News:
El arresto podría provocar una desestabilización temporal en la operación de LockBit. Podría haber una interrupción en la comunicación y coordinación entre el grupo principal y sus afiliados, lo que podría afectar la eficacia y la eficiencia de los ataques. Además, el arresto podría disuadir a otros posibles miembros de unirse al grupo, lo que eventualmente podría afectar su capacidad para reclutar nuevos afiliados y expandir sus operaciones.
Sin embargo, el analista advirtió que el modelo de negocio que usa el grupo limita, en cierta forma, el éxito del operativo.
Debido a que LockBit opera con un modelo de afiliados, es posible que los efectos del arresto no sean inmediatamente catastróficos para el grupo en su conjunto. Debemos entender que los afiliados de LockBit son actores independientes que operan bajo la marca y la infraestructura proporcionada por el grupo principal. Estos afiliados son responsables de llevar a cabo los ataques y ejecutar la extorsión en nombre de LockBit a cambio de una parte de los rescates obtenidos. Por lo tanto, es probable que continúen operando de manera independiente, incluso después del arresto de los miembros clave.
En esto coincidió Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms:
Como capítulo en la historia de la lucha contra el crimen organizado, y en particular contra el cibercrimen, Operación Cronos es un hecho importantísimo y un esfuerzo de coordinación internacional como pocas veces se ha visto. Pero, en perspectiva de lo que es la historia del ransomware, es un capítulo más. Si bien durante la operación se secuestraron servidores, código fuente (en particular builders para variantes de LockBit - ESXi, Red, Black - y StealBit), chats y negociaciones y algunos decrypters, en lo tangible la realidad es muy diferente.
En cuanto a los miembros apuntados, agregó:
Se llevaron a cabo sólo dos arrestos de afiliados menores en Ucrania y Polonia, y se emitieron sanciones económicas (muy taxativas) por parte del Tesoro estadounidense sobre dos individuos de Lockbit, uno de ellos el conocido Bassterlord (que ya anunció su retiro hace un año). Esta sanción no modifica en absoluto la vida actual -en plena libertad- que lleva el afiliado. Lo mismo sucede con otros miembros "núcleo" del grupo como Matveev (Wazawaka) que continúa en libertad y hasta vende merchandising con su cartel de ‘Se Busca’ del FBI, o el mismo LockbitSupp (administrador de Lockbit).
Un párrafo aparte merece la reacción conjunta de las fuerzas del orden, que básicamente “trollearon” a Lockbit en dos frentes. Por un lado, el colectivo de VX-Underground aportó la captura que veían los afiliados en el panel: allí hicieron una modificación en el mensaje de bienvenida que habla de “la precaria infraestructura” del sitio administrado por “LockBitsupp”:
Y, por otro lado, el defacement del sitio web (imagen más arriba, en la apertura de este apartado) donde publicaron todas las acciones ejecutadas, entre ellas:
34 servidores confiscados
Identificación y cierre de más de 14 mil cuentas de hosting usadas en ataques anteriores de LockBit
Confiscado de más de 200 cuentas de criptomonedas usadas en ransomware anteriores
Detención de dos afiliados en Polonia y Ucrania
Acusación de dos ciudadanos rusos, también afiliados
Eldritch cerró:
Mientras los miembros apuntados continúen en libertad en países que no tienen tratados de extradición, podrán desmantelar el producto pero no va a pasar mucho tiempo hasta que lo ‘rebrandeen’ y formen un nuevo grupo. Hace unas semanas sucedió algo similar con BlackCat, donde Lockbit decidió darle su apoyo y deslizaron la posibilidad de una alianza entre ambos. Esa posibilidad está más viva que nunca.
De hecho, los casi 200 afiliados que trabajaban con LockBit, seguramente, ahora buscarán un nuevo servicio de ransomware para seguir haciendo lo mismo que venían haciendo: extorsionar empresas, gobiernos y todo lo que pueda dejar un beneficio económico.
El futuro de LockBit queda, mientras tanto, en suspenso. Su infraestructura está dada de baja tal y como el mundo del cibercrimen la conocía. Y Operación Cronos quedará en la historia por ser la acción conjunta contra el ciberdelito más grande hasta el momento.
Y también por ser una burla al modelo de negocio del ransomware que, todavía, podría terminar por volverse en contra.
📹 Audiencia por reconocimiento facial
Luego de que la jueza en lo Contencioso Administrativo de la Ciudad de Buenos Aires, Elena Liberatori, declarara la inconstitucionalidad del Sistema de Reconocimiento Facial de Prófugos (SRFP) implementado por el Gobierno porteño en septiembre de 2022, una audiencia pública revisó esta decisión el miércoles de esta semana.
Según el fallo, el gobierno de la Ciudad estaba utilizando el sistema “sin cumplir con los recaudos legales de protección de los derechos personalísimos de los habitantes de la Ciudad”. “El sistema fue implementado por el Gobierno porteño para identificar prófugos de la Justicia pero, entre otras cosas, sirvió para vigilar a personas públicas y se nutrió de datos de personas sin antecedentes”, había advertido la Fundación Vía Libre.
Dark News habló con Beatriz Busaniche, presidenta de la Fundación y especialista en privacidad y derecho a la información, para consultarle sobre qué sucedió en la audiencia de esta semana. Primero, el estado de la cuestión:
El reconocimiento facial en Buenos Aires está suspendido por la Justicia. Hay un fallo de Cámara que está firme, que prohíbe la utilización del sistema de reconocimiento facial hasta tanto no se cumplan con las especificaciones legales de los mecanismos de contralor. Según la ley, hay dos órganos que están encargados del control de esta tecnología. Uno es una comisión de la Legislatura, una comisión ad hoc que se constituyó en su momento, pero ahora con el cambio de autoridades habrá que ver quiénes componen esa comisión. Y el otro órgano de contralor es la Defensoría del Pueblo de la Ciudad. El fallo de la Cámara ordena que la Defensoría del Pueblo de la Ciudad haga una auditoría de los sistemas y la Defensoría del Pueblo.
El gran problema es quién y cómo hace la auditoría.
Lo que sucedió este miércoles fue que las distintas partes involucradas -el Gobierno de la Ciudad, la Fiscalía y la Defensoría- no se pusieron de acuerdo en cómo auditar el sistema, razón por la cual la jueza local decidió pasar a un cuarto intermedio.
“El Ministerio de Seguridad porteño dijo que ellos estaban a disposición para todas las auditorías, así que ayer pidieron activar el sistema y auditarlo en funcionamiento. Eso no prosperó, o sea que el sistema está apagado y no lo pueden volver a prender”, explicó Busaniche.
En los hechos, para Busaniche, la conclusión es que “está todo parado: el sistema de reconocimiento facial en la Ciudad de Buenos Aires va a seguir apagado”, pero “surgieron algunas cuestiones interesantes” en la audiencia pública (que pronto estará online para poder verla), como que “el Gobierno de la Ciudad “no sabe cómo funciona, ellos mismos dijeron que compraron una lata con el sistema” sin conocer su funcionamiento.
El tema llegó a medios de alcance internacional como Wired y mantiene en vilo a organizaciones como O.D.I.A., que reportan y siguen estos temas de derechos de los usuarios de cerca, en tanto hubo casos de ciudadanos identificados y detenidos por errores del sistema de reconocimiento facial.
💰 Multan a Avast por vender información de sus usuarios: 16.5 millones de dólares
Avast se enfrenta a una multa de 16.5 millones de dólares de la Comisión Federal de Comercio después de que la agencia presentara una denuncia este jueves en la que acusa a la empresa de vender datos de los consumidores a terceros.
La FTC afirma que la empresa, que promete proteger los datos de los consumidores del rastreo en línea, hizo todo lo contrario, recopilando y vendiendo datos de navegación de los usuarios sin conocimiento ni consentimiento, al tiempo que engañaba a sus clientes.
En la denuncia, la agencia dice que Avast Limited, con sede en el Reino Unido y a través de su filial checa, aseguró bloquear las cookies de rastreo que recopilan datos y evitan que otros rastreadores sigan la actividad en línea sólo para luego vender esos datos a terceros, incurriendo en este comportamiento desde al menos 2014.
"El historial de navegación de una persona puede revelar información extraordinariamente sensible. Un registro de los sitios web que visita una persona puede divulgar cualquier cosa, desde sus intereses románticos, sus problemas financieros y sus opiniones políticas impopulares hasta sus esfuerzos por perder peso, sus rechazos laborales y su adicción al juego", declaró el miércoles Lina Khan, presidenta de la FTC.
Avast Respondió, en un comunicado: "Si bien no estamos de acuerdo con las acusaciones de la FTC y la caracterización de los hechos, nos complace resolver este asunto y esperamos continuar sirviendo a nuestros millones de clientes en todo el mundo”.
🐉 Filtración de “i-Soon”, una presunta compañía que espía para China
Una filtración de una empresa china que desarrollaría malware y lleva a cabo operaciones de ciberespionaje en nombre de la República Popular China se dio a conocer en GitHub esta semana.
La filtración de la compañía, llamada i-SOON y con sede en Chengdu (cuarta ciudad más grande del país), incluye chats internos, presentaciones comerciales, documentación sobre productos de la empresa y lo que parecen ser datos de víctimas robadas. A pesar de estar alojado en GitHub, no hay repositorios de código fuente.
Uno de los “pitches” comerciales de la compañía para agencias gubernamentales chinas anuncia específicamente los servicios de su "Equipo APT", según se ve en la información filtrada, aunque distintos researches esperan para conectar a la empresa con un grupo APT específico.
Malwarebytes publicó un informe con el análisis del leak, en el que aseguran:
Se cree que el proveedor, i-Soon (también conocido como Anxun), es un contratista privado que opera como una amenaza persistente avanzada (APT) por contrato, prestando servicios al Ministerio de Seguridad Pública (MPS) de China. Según los datos filtrados, i-Soon se infiltró en varios departamentos gubernamentales, incluidos los de India, Tailandia, Vietnam, Corea del Sur y la OTAN.
Entre las técnicas usadas destacan stealers de información de Twitter, RATs para Windows e iOS, dispositivos portátiles para hackear redes, equipo especial para conectarse desde diversos puntos del globo y frameworks de pentesting automatizados.
La mayoría de las notas y análisis publicados de este lado del globo coincidieron en que llevará tiempo traducir y analizar la información, pero está la sensación de que podría ser una filtración con implicancias jugosas para quienes estudian actores patrocinados por estados.
El periodista infosec Catalin Cimpanu publicó un informe detallado en Risky Biz Briefing, el analista Will Thomas también hizo su contribución.
🧑⚖️ Julian Assange, a un paso de la extradición o la libertad
El Tribunal Superior de Londres escuchó hoy los argumentos de los representantes de Estados Unidos en el segundo y último día de la audiencia para resolver si el periodista australiano Julian Assange, fundador de WikiLeaks, podrá evitar su extradición a ese país, que lo acusa de filtrar documentos secretos.
Los magistrados anunciaron que se tomarían un tiempo para deliberar, por lo que el australiano podría tener que esperar semanas o meses para conocer si su apelación es aceptada por la justicia del Reino Unido.
"Nos reservaremos nuestra decisión", dijo la jueza Victoria Sharp al concluir las audiencias, dejando pendiente la fecha en la que ella y el juez Jeremy Johnson emitirán el fallo.
Durante la audiencia, Clair Dobbin, abogada que representa a Estados Unidos, argumentó que el caso contra Assange está "basado en la ley y en pruebas" y no en opiniones políticas.
Dobbin enfatizó que Assange comprometió la seguridad de muchas personas al publicar "indiscriminadamente" documentos clasificados que incluían nombres de individuos que colaboraban con Estados Unidos.
El caso, al filo de su momento más álgido, contrapone el derecho a la información con el derecho a la privacidad. El periodista argentino Santiago O’Donnell publicó esta semana una perspectiva del caso interesante:
La información no se puede robar. Se sabe o no se sabe, se accede a ella o no se accede a ella. La información no tiene dueño. Los gobiernos y las corporaciones utilizan distintas herramientas legales e informáticas para prevenir que cierta información sea conocida por fuera de un círculo cerrado de personas supuestamente autorizadas a acceder a esa información.
💻 ConnectWise tiene una falla “trivial y muy fácil de explotar”
Analistas advirtieron sobre una vulnerabilidad de alto riesgo en una herramienta de acceso remoto “ampliamente utilizada”: ConnectWise. Según explicaron, es "trivial y vergonzosamente fácil" de explotar, ya que el desarrollador del software confirma que atacantes ya están aprovechando el exploit.
La vulnerabilidad, calificada como crítica, afecta a las versiones 23.9.7 y anteriores de ScreenConnect (anteriormente ConnectWise Control), un programa de acceso remoto que permite a los proveedores y técnicos IT brindar soporte técnico remoto en tiempo real en los sistemas de los clientes.
La falla se describe como un bypass autenticación que podría permitir a un actor de amenazas robar de forma remota datos confidenciales de servidores vulnerables o implementar código malicioso, como malware. La vulnerabilidad se informó por primera vez a ConnectWise el 13 de febrero y la compañía reveló públicamente los detalles del error en un aviso de seguridad publicado el 19 de febrero.
ConnectWise inicialmente dijo que no había indicios de explotación pública, pero señaló en una actualización el martes que confirmó que había "recibido actualizaciones de cuentas comprometidas que nuestro equipo de respuesta a incidentes pudo investigar y confirmar".
La compañía también compartió tres direcciones de IP que, según dice, "fueron utilizadas recientemente por actores de amenazas".
CISA emitió un comunicado llamando a agencias federales a arreglar el problema en una semana.
🔗 Más info
Nuevo análisis técnico de Akira Ransomware
Una vulnerabilidad zero clic en shortcuts de Apple permite robar información
BitWarden suma “resistencia” contra phishing en autofill
La Unión Europea avanza en una investigación contra TikTok
Arrestan a un hacker en Ucrania
Una botnet abusa de un RCE de TP-Link