Publican credenciales de usuarios: Armada, Cancillería, Diputados y más entidades de Gobierno
Apareció una nueva combolist con datos de casi 90 mil usuarios, cientos de mothers de Gigabyte tienen un backdoor, filtran información de RAIDforums y nueva cepa de ransomware.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
24 may>
02 jun
🔑 Más credenciales de Gobierno publicadas
Más datos de entidades de Gobierno siguen apareciendo en foros especializados de compra y venta de datos. Este jueves, Birmingham Cyber Arms dio a conocer una nueva combolist [usuario y pass] con 89.288 credenciales de Argentina. El dato preocupante -aunque ya no llamativo- es que 304 de ellas pertenecen a entidades de Gobierno.
Entre los dominios afectados se encuentran ANMAT, Armada, Cancillería, Diputados, Ejército, Suprema Corte de la Provincia de Buenos Aires (que sufrió una filtración el año pasado) y otras entidades vinculadas al Estado como el Hospital Garrahan y Lotería Nacional, entre otros.
Emmanuel Di Battista, Analista de Seguridad de BCA, explicó a SecOps qué alcance tiene este posteo y aclaró qué implica para los afectados:
“Implica en primera instancia que sus claves fueron expuestas en texto plano en distintos circuitos dedicados a la cibercriminalidad. Esto propone un peligro importante para aquellos usuarios que no utilizan un segundo factor de autenticación y en especial para aquellos que reutilizan la misma clave en distintas plataformas”
Pero la filtración es mucho más grande que esas 304 entidades afectadas y alcanza a 90 mil usuarios. Según el analista, hay también “credenciales de usuarios comunes de distintos servicios de correo electrónico (Yahoo, Gmail, Hotmail), de instituciones educativas como la UBA (Universidad de Buenos Aires), UNC (Universidad Nacional de Córdoba), UNNE (Universidad Nacional del Nordeste), ITBA (Instituto Tecnológico de Buenos Aires), UAI (Universidad Abierta Interamericana), UNLAM (Universidad de La Matanza), UNLP (Universidad Nacional de La Plata), y de compañías privadas como Andrómaco (laboratorios), ARTEAR (una de las últimas víctimas del grupo de ransomware HIVE), Baggio (alimentaria), Banco Francés, Banco Galicia, Banco Industrial, Banelco, Banco Finansur, Banco de La Pampa, Banco Columbia, Banco Ciudad, Banco Chubut, BGH (tecnología), y OSDE (medicina prepaga), entre otros”.
En este sentido, Marcela Pallero, responsable del Programa STIC de la Fundación Sadosky, explicó a este medio cómo deben proceder las entidades estatales ante este tipo de incidentes:
“A nivel país, un CERT o CSIRT (un equipo de respuesta ante incidentes de ciberseguridad) debería tener mandato para atender esta problemática de los llamados data leak o data breach. Debería contar con capacidades, es decir, con personal técnico y herramientas para encontrar este tipo de filtraciones de datos de organizaciones argentinas públicas y privadas”
Según la experta en seguridad de la información, las empresas privadas también deberían seguir un protocolo:
“En el caso de las empresas grandes, estas actividades deberían hacerlas ellas mismas, identificar los datos filtrados, informarles a los titulares de los datos, validar si hay cuentas, y si se usaron para acceder a la organización. También identificar cómo fue que esos datos se filtraron, sea por un ransomware o un insider. En cualquiera de los casos, debería iniciarse una investigación administrativa para encontrar el origen de la filtración y si corresponde hacer una denuncia penal”
Esta nueva publicación se suma así a la larga lista de datos que se ofrecen en foros especializados en 2023. Argentina, lamentablemente, ya tiene una larga tradición en estos casos.
🚪 Descubren un backdoor en cientos de modelos de motherboards Gigabyte
Eclypsium, empresa experta en análisis y detección de vulnerabilidades a nivel firmware, detectó un backdoor en cientos de modelos de motherboards de Gigabyte.
Las vulnerabilidades en el firmware -software básico que controla el hardware de un dispositivo- son peligrosas porque pueden ejecutar código malicioso antes de que cargue el sistema operativo.
Según explicaron, “el firmware en los sistemas Gigabyte está descargando y abriendo un ejecutable nativo de Windows durante el proceso de inicio del sistema, para luego ejecutar payloads adicionales de manera insegura”.
“Utiliza las mismas técnicas que otras funciones similares a los backdoors OEM, como Computrace (también conocida como LoJack DoubleAgent) abusada por actores de amenazas e incluso implantes de firmware como Sednit LoJax, MosaicRegressor, Vector-EDK”, agregaron.
La publicación del blog de Eclypsium advierte que esta vulnerabilidad de seguridad podría llevar a atacantes a usar esta puerta trasera OEM para cargar código malicioso como rootkits, ya sea directamente en la máquina de un usuario o comprometiendo el propio servidor de Gigabyte.
También son posibles los ataques conocidos como “man in the middle”, donde se puede interceptar el proceso de descarga a través de un vector adicional. Eclysium ofreció tres URL de Gigabyte para que los usuarios o administradores bloqueen las actualizaciones y eviten así descargas maliciosas.
El backdoor está completamente in the wild, es decir, disponible en equipos de usuarios. La lista completa de modelos afectados se puede revisar en este enlace.
🏛 Atacaron el Internet Archive
Internet Archive, la biblioteca digital que preserva páginas web y contenido online, afirmó que su servicio público sufrió un ataque coordinado desde 64 hosts virtuales alojados en AWS.
Esto dio como resultado la caída del sitio durante una hora: “Incluso para los estándares web, decenas de miles de solicitudes por segundo es mucho. Recuperamos el servicio bloqueando esas direcciones IP. Pero otras 64 direcciones iniciaron el mismo tipo de actividad un par de horas después. Descubrimos cómo bloquear este nuevo conjunto, pero nuevamente, con una interrupción de aproximadamente una hora”, explicaron.
Un miembro del equipo de Internet Archive explicó en Mastodon que el caso pareció haber sido “sólo una exagerada exuberancia y no de naturaleza maliciosa”. Sin embargo, diversos expertos no descartaron un ataque DDoS dirigido.
El sitio ya está online.
🔓 RAIDforums: filtran información del sitio
Una copia de la base de datos de usuarios de RAIDForums fue filtrada en línea en un foro de ciberdelincuencia nuevo: Exposed.
Esto confirma lo esperable desde que el cierre de Breach Forums -ex RAIDForums- por el arresto de Pompompurin, su administrador: la posible filtración de la base de datos de los usuarios que compraban y vendían información robada.
Los archivos filtrados contienen detalles de cuentas de usuarios que se registraron en el sitio entre marzo de 2015 y septiembre de 2020, además de información de más de 478.000 cuentas de usuario.
RAIDForums fue cerrado en abril de 2022, cuando también detuvieron a su administrador principal. Tras ese cierre, un nuevo sitio llamado BreachForums (o Breached) se había transformado en el sitio de compra y venta de datos filtrados más grandes del mundo.
A estas dos páginas les siguió Exposed, que hoy parece ser el nuevo hub de la comunidad de ciberdelincuentes para traficar datos.
Ahora, reportes sugieren que este sitio ya recaudó cerca de 4.500 dólares a partir de la venta de información, entre la que estaría la filtración de la base de datos de RAIDForums.
🦉 Nueva cepa de ransomware desde Irán: Moneybird
CheckPoint Research descubrió una nueva cepa de ransomware por parte del grupo iraní Agrius: Moneybird. Se trata de un encriptador escrito en C++.
Presentado por primera vez en 2021, Agrius es un actor de amenazas alineado con Irán que opera principalmente en Medio Oriente. El actor ha estado vinculado a varios ataques de ransomware y wipers, con un enfoque principal en las instituciones israelíes.
CheckPoint explicó:
“Mientras respondía a un ataque de ransomware contra una organización israelí, el Equipo de Respuesta a Incidentes de Check Point identificó una nueva variedad de ransomware llamada Moneybird. Aunque la payload en sí era única, los TTP [tácticas, técnicas y procedimientos] demostrados en el ataque se superponían claramente con un actor de amenazas conocido como Agrius. Los datos finalmente fueron filtrados por una entidad con uno de los alias conocidos del grupo”
Según CheckPoint, la afiliación del grupo dentro de Irán no está clara, aunque informes recientes lo vinculan con el Ministerio de Inteligencia y Seguridad iraní (MOIS).
Entre sus ataques hay universidades y entidades públicas. Más detalles técnicos, en este enlace.
🤖 “Terminator”, un nuevo malware descubierto por Crowdstrike
Crowdstrike descubrió esta semana un nuevo tipo de malware que puede bypassear más de 20 antivirus y herramientas de detección de amenazas: lo llaman Terminator.
“El 21 de mayo de 2023, un usuario llamado spyboy comenzó a anunciar una herramienta de evasión de defensa de endpoints para el sistema operativo Windows a través del foro rusófono Ramp. El autor afirma que el software, que en un video de demostración se titula "Terminator", puede eludir veintitrés (23) controles EDR y AV”
La información fue publicada en el subreddit de la compañía este miércoles y advierte del peligro de esta amenaza: no solo afectaría sistemas EDR y XDR, sino que también saltearía a Windows Defender, el antivirus que viene por default en el sistema operativo. Terminator promete además bypassear a los OS desde Windows 7 en adelante.
Según Crowdstrike, el precio del software de spyboy oscila entre los 300 dólares (un solo bypass) y los 3.000 dólares (para puentear todo en uno).
🔗 Más info
Un grupo disidente hackeó la dependencia presidencial de Irán
Siguen mostrando abusos de las extensiones de dominio .zip
Nuevo reporte de amenazas de CheckPoint hasta el 29 de mayo
Crowdstrike publicó su reporte global de amenazas 2023 (requiere mail corporativo)
Una campaña pide frenar “premios tontos” en seguridad informática
MOVEit, un programa para transferir archivos, tiene un zero-day que se está explotando masivamente
Ataque DDoS contra la plataforma educativa en Grecia afecta exámenes
CryptoClippy altera la información copiada cuando un usuario copia la dirección de una wallet
Kaspersky anunció un nuevo exploit en iOS: zero clic, zero day