Operación "Duck Hunt": así desmantelaron la botnet Qakbot
Cómo operaba y por qué podría no ser su final, atacan el sistema ferroviario en Polonia, Lockbit suma más de 20 víctimas en un día, ciberataque a Musimundo y reporte global de Check Point.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
25 ago
>1 sept
🦆 La botnet Qakbot, desinstalada masivamente en una operación del FBI
El FBI anunció el desmantelamiento de la botnet Qakbot, en una operación global que logró “desinstalar masivamente” el malware de unos 700 mil equipos infectados. Qakbot fue, durante los últimos años, vehículo de ataques de ransomware y fraude financiero que causaron pérdidas de cientos de millones de dólares.
La operación, llamada “Duck Hunt”, redirigió el tráfico de Qakbot a servidores controlados por el FBI que removió las infecciones de los equipos que tenían el malware. La información se puede buscar ahora en Have I Been Pwned.
La botnet, también conocida como Qbot y Pinkslipbot, se encontraba activa desde 2008 y se lanzó inicialmente como un troyano bancario pero mutó hacia un “loader” a mediados de 2010, cuando empezó a infectar equipos vía spam malicioso y luego vendiendo accesos a sistemas comprometidos para otros grupos cibercriminales.
Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica, cuenta las TTP de esta botnet:
Estaba diseñado para robar las credenciales de los usuarios, registrar pulsaciones de teclas, robar cookies de los navegadores, espiar actividades bancarias e instalar malware adicional. Solía distribuirse a través de correos electrónicos de spam y utiliza varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar su análisis y evadir la detección. A partir de 2022, se había convertido en uno de los troyanos más prevalentes.
Durante los últimos años, Qakbot sirvió como puerta de entrada para múltiples grupos de ransomware: Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta, entre otros. En un comunicado, el director del FBI contó que se trató de una operación conjunta con fuerzas de seguridad europeas (Francia, Alemania, Países Bajos, Reino Unido, Rumania y Letonia).
El Departamento de Justicia de EE.UU. también incautó 8.6 millones de dólares de la red, en concepto de beneficios ilícitos, mientras que la policía holandesa obtuvo 7.600 millones de credenciales de los servidores incautados.
Ahora bien, un detalle que no es menor tiene que ver con qué pasa después: ¿implica el final definitivo de Qakbot?
En diálogo con SecOps, una fuente explicó:
Que hayan tomado control de la botnet y hayan desinstalado a la mayoría de los clientes que tenían el paquete no quiere decir que no puedan armarla otra vez, con nuevo código, infraestructura y demás. Sus autores no están en prisión porque es muy difícil determinar quién es quién, pero podrían relanzarse. Emotet se rearmó después de que lo desmantelaran, de hecho.
El tiempo marcará el futuro de Qakbot y algunos advierten que podría volver bajo otro nombre. “En algunos casos, es cierto que no vuelven porque ya sintieron el rigor de la Justicia. Tendrían que reformular la red, volver a infectar máquinas, pero podrían continuar y rehabilitar la botnet”, cierra el experto consultado.
Para más información, la Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) lanzó un informe con los detalles técnicos.
🔒 Lockbit suma 25 víctimas en una hora
El prolífico grupo de ransomware Lockbit publicó cerca de 25 víctimas en el lapso de una hora, durante este miércoles por la tarde, y más de 30 entidades en 48 horas.
El grupo, si bien nunca estuvo desactivado y hasta tuvo actividad -no registrada en su sitio- en América Latina, se encontraba en un impasse de publicaciones en su sitio en la dark web.
Entre las víctimas que apareció una entidad energética de Montreal (electricidad), sistemas de comunicaciones, instituciones educativas, una autopartista de Francia y una cadena de hoteles de Perú. Estados Unidos encabeza la lista de países más atacados y le sigue Francia.
Coincidentemente, la Policía de España emitió un comunicado con la advertencia de una gran cantidad de emails con phishing asociados a Lockbit para desplegar ransomware.
Esta semana, Kaspersky detectó diversas intrusiones con de Lockbit 3.0 (cuyo builder fue leakeado el año pasado) con demandas de recompensas diferentes a las ya conocidas.
Por este motivo, advierten que podrían proliferar más variantes de este ransomware, uno de los más prolíficos del mundo, a pesar de haber mostrado algunos puntos débiles durante los últimos meses.
🕵 El grupo Akira apunta a VPNs ASA de Cisco
Una investigación de Rapid7 advirtió un aluvión de ataques del grupo Akira contra VPNs de Cisco, muy usadas en ambientes corporativos. La empresa reconoció y dijo estar al tanto del problema por el cual los actores maliciosos apuntan a las redes internas para instalar ransomware.
El ataque, puntualmente, es contra Cisco Adaptive Security Appliance (ASA) SSL, un dispositivo que permite a usuarios remotos navegar de manera segura.
Según explicó Cisco, los ataques son por fuerza bruta, o simplemente comprando credenciales Cisco VPN comprometidas en la dark web. Aprovechan las redes de Cisco en las que no se está habilitada la autenticación en dos pasos, el método que eleva la protección contra accesos no autorizados.
Rapid7 arriesga que Akira muy probablemente esté explotando nombres de usuario comunes de Cisco ASA como “admin, developer, test, guest” y otros. La lista completa de usuarios se puede ver en su blog.
El caso enciende las alarmas para sus usuarios por la cantidad de servicios para los que se usa el dispositivo: acceso remoto, autenticación, control de acceso, comprobaciones de endpoints y transmisión cifrada de datos, entre otros.
🚊 Polonia: hackers atacan el sistema ferroviario
Un grupo de hackers logró interrumpir el sistema ferroviario del noroeste de Polonia. Durante el fin de semana, la comunicación pública del transporte se intercaló con la grabación del himno nacional de Rusia y un discurso del presidente Vladimir Putin.
El incidente del sábado se produjo cuando los atacantes transmitieron una señal que provocó una parada de emergencia de los trenes cerca de la ciudad de Szczecin. Unos 20 trenes quedaron paralizados, pero el servicio se restableció en cuestión de horas.
El ataque ocurre en un momento de alta escalada de tensión en la zona por el contexto de la guerra Rusia-Ucrania, en tanto Polonia es un importante centro de tránsito para las armas occidentales enviadas a Ucrania, explica la BBC.
El sector tecnológico industrial, conocido como OT (Operation Technology), es uno de los más atrasados del mercado en materia de seguridad informática.
Como contexto, el año pasado pude hablar con Hernando Castiglioni, senior manager de Fortinet para Argentina, Uruguay, Paraguay, Bolivia y Venezuela, en la edición 2022 del Xperts Summit y contó algo interesante:
La industria tuvo, históricamente, redes que vienen del mundo serial, que estuvieron siempre separadas del mundo tradicional IT: las redes de internet, el mail, el intercambio de archivos. Existe lo que nosotros llamamos un “air gap”, una separación entre la industria y las comunicaciones ethernet con el mundo de internet. Esas redes manejan muchos sensores, actuadores, formas de medir y de controlar procesos, con sistemas que vienen de los años 60 o 70. Una red de transporte, eléctrica, de petróleo, manufacturas: todos esos sistemas no fueron pensados ni nacieron con una lógica de protección desde la ciberseguridad. La mayoría de los protocolos son viejos.
Por este motivo, no es atípico que casos como el de Colonial Pipeline en 2021 se repitan cada vez más seguido y con peores consecuencias.
La Policía polaca arrestó a dos sospechosos.
🤖 Wired contó la historia de Trickbot
Wired publicó este miércoles un reportaje en profundidad sobre Trickbot, el conocido troyano lanzado en 2016 que ha sido utilizado para robar credenciales, escalar privilegios, instalar backdoors y bajar e instalar cepas de ransomware como Conti y Ryuk.
En un artículo que lleva el sello del medio norteamericano, sus dos autores dieron, a partir de una investigación de documentos subidos por un autor desconocido, no sólo con un retrato de la organización que causó estragos sino también con uno de sus miembros principales:
Galochkin puede parecer el típico oficinista, pero en realidad está en el camino adecuado para ganar mucho dinero. Según varios investigadores del cibercrimen, es un miembro clave del famoso grupo ruso de ciberdelincuentes Trickbot, que ha lanzado miles de ciberataques en los últimos años, paralizando empresas, hospitales e incluso gobiernos de todo el mundo. Dentro de Trickbot, sus colegas le conocen por sus alias en Internet: Bentley y Manuel.
Según cuentan, la investigación de Wired llevó meses y participaron múltiples fuentes de ciberseguridad y expertos en cibercrimen ruso. Y llegan a conectar a los actores con el gobierno de Rusia. [versión sin paywall]
🔍 Checkpoint publica su reporte global de mitad de año: 8% más de amenazas
Checkpoint Research publicó el informe de medio año de ciberataques globales de 2023, con algunas tendencias destacables. El dato con el que se encabeza la información es el de un incremento global del 8% de ataques (siempre tomando con reservas lo de “global”, en tanto es la telemetría de una empresa en particular).
Destaca el reporte:
Los grupos de ransomware intensificaron su juego, explotando vulnerabilidades en programas de software corporativos de uso común y cambiando su enfoque del cifrado de datos al robo de datos.
Los dispositivos USB resurgieron como amenazas importantes, ya que tanto los grupos defensores del Estado como los ciberdelincuentes utilizan las unidades USB como vectores para infectar empresas de todo el mundo.
El hacktivismo experimentó un auge, con grupos de motivación política que lanzan ataques contra objetivos seleccionados.
El uso indebido de la Inteligencia Artificial se amplificó, con herramientas de IA generativa que se utilizan para crear correos electrónicos de phishing, malware de control de pulsaciones de teclas y código básico de ransomware, lo que exige medidas reguladoras más estrictas.
El reporte completo se puede leer en este enlace de manera directa (Check Point pide mail corporativo en su sitio).
🔗 Más info
Musimundo tuvo un incidente y se habla de ransomware
Cloudflare presentó su reporte de phishing 2023 y las detecciones superan al ransomware
Data Breach en Paramount afecta pocos usuarios
Firefox actualiza a su versión 117 con nuevas funciones de seguridad
Forever 21: data breach afecta a 500 mil empleados y hay información bancaria
Hackers conectados a Rusia apuntan a militares ucranianos
Apple invita a investigadores a participar del Programa de Investigación 2024 para iPhone