PAMI: qué datos de los jubilados se filtraron, en detalle
Punto por punto, qué documentación publicó Rhysida, atraparon al hacker de GTA VI y tiene 18 años, atacan el voto electrónico en Ecuador y filtran a usuarios de Duolingo.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
18>25
ago
🕵 Qué datos filtró Rhysida del PAMI: el detalle
El sábado pasado, cerca de las 5.15 de la mañana, el grupo cibercriminal Rhysida publicó los datos que logró copiarle al PAMI tras depositar un ransomware, que la misma entidad reconoció el 2 de agosto. Allí, en Clarín, conté qué tipo de información era: estudios, órdenes médicas y una enorme cantidad de documentación personal y sensible.
Sin embargo, hay bastante más para contar: en primer lugar, dar más detalles del leak. Y en segundo, contar cómo reaccionó el PAMI ante la publicación de los datos por un lado, y de la noticia por el otro.
Empezando por esto último, el PAMI no emitió ningún comunicado oficial para advertir a sus afiliados de esta delicada situación.
Para la publicación del diario me contacté en tres oportunidades con la entidad: el jueves pasado, no recibí respuesta. El viernes, evasivas. Y el sábado, antes de que la nota esté online, volví a insistir con el pedido de una declaración: no respondieron.
Todo esto es relevante, y acá entra el segundo punto, por el detalle de la información filtrada: son 831 GB de datos, repartidos entre 1.6 millones y, hasta este jueves a última hora, es un 75% de la información que tiene el grupo. Esto significa que podrían publicar más.
Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, suele analizar en detalle las filtraciones. Para SecOps, amplió la información filtrada para entender mejor a qué están expuestos los afiliados.
Información médica (2021-2023)
Prácticas realizadas en el UGL 37-Quilmes (Diagnóstico Médico Varela) y otros centros, con detalle de pacientes
Emails del área de auditoria detallando pacientes, requerimientos médicos especiales bajo revisión y resultado de dicha revisión
RTFs (recetas, consignan beneficiario, a su médico prescriptor, y una droga)
Historias clínicas
Fichas de Tratamientos
Bases de datos de médicos de cabecera y especialistas
Informes de Laboratorio
Vacunados a domicilio
Formularios para tratamientos oncológicos
Coronavirus: información de pacientes y casos sospechosos
Estudios (diagnóstico por imágenes como tomografías, mapas retinales, ecografías)
Estudios oncológicos
Además de esto, que corresponde a datos de afiliados, hay información interna del PAMI:
Auditorías
Facturación de centros médicos con detalle de pacientes
Campañas de vacunación
Circulares y otros documentos
Partidas presupuestarias
Contratos con proveedores
Listado de personal
En off, fuentes del PAMI comenzaron a hacer circular la versión de que “no se filtró información” de la entidad. Sin embargo, al momento de publicación de este boletín, no hubo niguna comunicación oficial. En todo caso, si es como dicen detrás de escena, tendrían que explicar con qué sí se corresponde la información leakeada. SecOps sí pudo corroborar que los archivos son de afiliados.
Marcela Pallero, responsable del Programa STIC de la Fundación Sadosky, explicó qué debería hacer el PAMI:
Además de la denuncia penal para encontrar a los autores de este tipo de ataques, debe realizarse una investigación para entender qué pasó y cómo, para evitar que vuelva a ocurrir. Cuando hay datos personales, esta explicación debería ser -idealmente- de conocimiento del público.
El gran problema, a fin de cuentas, es que las filtraciones hacen un daño irreversible: a diferencia de un robo de dinero, donde en todo caso tras un proceso judicial puede haber una reparación, una vez que los datos están circulando no hay forma de deshacerlo.
Además de darles nuevas herramientas a los estafadores, razón por la cual expertos advierten sobre qué cuidados tener a partir de este incidente (ver acá).
Allí estarán, para siempre, listos para ser explotados por algún actor de amenazas o, simplemente, para exponer la intimidad de un adulto mayor afiliado al PAMI.
🚗 Lapsus$: el hacker que filtró datos de Uber y videos de GTA VI es un adolescente de 18 años
Un tribunal de Londres identificó a un joven de 18 años como el autor de las filtraciones de datos que sufrieron Uber y Rockstar Games, desarrolladora de GTA, el año pasado. Se trata de Arion Kurtaj, miembro del grupo Lapsus$, que accedió en Argentina a información de Mercado Libre y Globant, y en el mundo a Nvidia y Microsoft.
Según la Justicia, Kurtaj fue una pieza clave en el grupo, conformado por británicos y brasileros, que a base de ingeniería social (engaños a través de phishing y otras técnicas) extorsionaba a las compañías afectadas a cambio de no filtrar la información robada.
La Justicia británica determinó que, durante el año pasado, el hacker había comprado un Fire Stick de Amazon -un dispositivo que se conecta al puerto HDMI de un televisor para acceder a servicios de streaming- un teléfono nuevo, un mouse y un teclado. Desde allí accedió a servicios de cloud computing y al poco tiempo publicó videos de GTA VI, un juego que todavía no fue lanzado por Rockstar Games.
Brett Callow, analista de amenazas de Emsisoft, explicó a SecOps:
Lapsus$ siempre presentó retos para los casos judiciales. A diferencia de la mayoría de las empresas de ciberdelincuentes, su motivación no era sólo económica, lo que les hacía impredecibles.
Entre los ataques más conocidos del grupo se encuentran gigantes como Microsoft y Nvidia, y, como señala el experto, la motivación del grupo no siempre era económica.
A la compañía que fabrica chips para placas de video le exigían que abrieran el código -es decir, que hicieran open source- de los drivers, algo por lo cual Nvidia ha sido cuestionada por sus prácticas restrictivas para otros sistemas operativos que no son Windows. Agregó Callow:
Es probable que los escenarios de una empresa contemplen las demandas de rescate financiero, pero no estaría tan seguro de que especifiquen qué se debe hacer en caso de una demanda de hacer de código abierto los controladores.
Lapsus$ fue descrito en el juicio como “bandidos digitales”, según publicó la BBC.
Las técnicas de ataque (TTP) de Lapsus$, a diferencia de otros grupos, se basan en ingeniería social con algunos elementos asociados a hacking, pero el fuerte es aprovechar las bajas medidas de seguridad de algunos usuarios. A principios de mes, la Agencia de Ciberseguridad de Estados Unidos publicó un detallado reporte para proteger dispositivos ante el sim swapping, una forma de estafa muy extendida.
Entre las víctimas de Lapsus$ se encuentran gigantes como los mencionados Microsoft y Nvidia, pero también Samsung y Uber. Sus miembros son brasileros y británicos y comunicaban sus ataques en un canal de Telegram.
Kutraj tenía 16 años al momentos de los ataques. En septiembre del año pasado fue arrestado por violar la restricción que la Justicia le había puesto de no usar internet.
Como es un adolescente con autismo, no se presentó al juicio a declarar.
🗳 Ecuador sufrió un ciberataque para los votantes en el exterior
En medio de violencia política, turbulencias sociales y hasta un terremoto, las elecciones en Ecuador estuvieron atravesadas por un ataque contra el sistema electrónico de votación para los ciudadanos que residen en el exterior.
La presidenta del Consejo Nacional Electoral (CNE), Diana Atamaint, confirmó el domingo que la plataforma que serviría para votar fuera del país había sufrido ataques informáticos desde siete países. Pero afirmó que “no existió vulneración de los votos confirmados”:
Según indicó la autoridad electoral, los ataques cibernéticos se emitieron desde India, Bangladesh, Pakistán, Rusia, Ucrania, Indonesia y China. Según el medio ecuatoriano Código Vidrio, “las credenciales para el ingreso se vendieron por la Dark Web”.
Además, el sitio web oficial del Consejo Nacional Electoral con los resultados también se cayó de a momentos el domingo, lo que derivó en mensajes de error para quienes querían consultar los datos.
Para evitar futuros incidentes, el Consejo Nacional Electoral informó que la web donde se publicarán los resultados sólo podrá consultarse desde Ecuador.
🦉 Filtran información de 2.6 millones de usuarios de Duolingo
Un actor de amenazas puso a la venta datos extraídos de 2.6 millones de usuarios de Duolingo, una plataforma de aprendizaje de idiomas de las más grandes del mundo.
En enero de este año la información se vendía en el ahora cerrado foro Breached, por 1.500 dólares. Estos datos incluyen inicios de sesión públicos y nombres reales, pero también información no pública, como direcciones de correo electrónico e información interna relacionada con el servicio DuoLingo.
Dentro de este leak, las direcciones de correo electrónico son más preocupantes ya que abren la puerta a que que estos datos públicos se utilicen en ataques.
VX-Underground confirmó que el conjunto de datos extraído de estos usuarios se publicó ayer en una nueva versión del foro Breached por 8 créditos de sitio, lo que repreenta un valor de apenas 2,13 dólares.
"Hoy he subido Duolingo Scrape para que lo descargues, ¡gracias por leer y disfrutar!", dice el posteo.
Duolingo tiene cerca de 74 millones de usuarios y el bug, según explicaron, estaba en la API de la aplicación.
🪙 Lazarus se prepara para retirar cerca de 40 millones de dólares robados en cripto
El FBI detectó que Lazarus (APT38) está por retirar cerca de 40 millones de dólares que habrían salido de robos a wallets, bridges y plataformas de criptomonedas.
En junio de este año se produjeron tres incidentes notorios: un hackeo de Atomic Wallet por 100 millones de dólares el 2 de junio, dos ataques el 22 de junio en los que robaron 60 millones de dólares de Alphapo y 37 millones de dólares de CoinsPaid.
“El FBI está advirtiendo a las empresas de criptomonedas sobre la reciente actividad de blockchain relacionada con el robo de cientos de millones de dólares en criptomonedas. Durante las últimas 24 horas, el FBI rastreó las cripto robadas por actores afiliados a Lazarus, de la República Popular Democrática de Corea (RPDK)”, dijo el la entidad.
La firma de investigación de blockchain Chainalysis descubrió que 2022 fue un año excepcional para los ciberdelincuentes, que apuntan a empresas de criptomonedas, con alrededor de 3.8 mil millones de dólares robados de empresas de la industria, frente a 3.3 mil millones en 2021.
💧 IBM Security: esto cuestan las filtraciones de datos
IBM Security publicó su reporte anual Cost of a Data Breach, que analiza el costo que deben asumir las organizaciones por las filtraciones de datos.
Según explican, las filtraciones de datos alcanzaron un máximo histórico en Latinoamérica de 2.46 millones de dólares en promedio, lo que constituye un incremento de 76% desde 2020.
“Con el phishing convirtiéndose en el vector de ataque más usado para las filtraciones de datos en la región, las empresas están luchando para hacer frente a los crecientes costos y la frecuencia de las filtraciones”, explican.
Los vectores de ataque iniciales más comunes en la región fueron el robo o compromiso de credenciales y el phishing, que representan el 16% de las infracciones estudiadas. Desde la perspectiva de la industria, Finanzas (USD 2,99 millones), Industrial (USD 2,82 millones) y Servicios (USD 2,78 millones) fueron los sectores con los costos promedio de filtraciones de datos más altos en la región.
El, analizado por la compañía, está conducido por el Ponemon Institute.
🔗 Más info
El fabricante de relojes Seiko fue atacado por BlackCat (ALPHV)
Ransomware VC es un nuevo grupo que extorsiona con las multas de GDPR
Una empresa de hosting perdió toda la información por un ataque de ransomware en medio de una migración
Lazarus se prepara para retirar 41 millones de dólares en cripto robadas, advierte el FBI
Roban datos de la Policía de Berna, Suiza
Excel ahora tiene soporte para Python y algunos expertos advierten futuros problemas de seguridad
KittenSec, un grupo que quiere “hackear todo lo que se les cruce” para exponer corrupción