Publican un lote de 90 mil credenciales con accesos de Gobierno, ataque a la Universidad Católica en Chile y ransomware a Geocom en Uruguay
Suben una nueva combolist y 907 usuarios y claves son oficiales, TTPs del grupo Cactus, Knight sube 10 GB de la institución universitaria, ataque al ICBC y Signal prueba usernames.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
03>10
nov
⚡ TL;DR
Pasó Ekoparty 19 y luego de tres entregas especiales retomamos la publicación semanal con el resumen de ataques, TTPs, grupos e información filtrada con foco en América Latina. Y esta semana ya viene recargada.
Por un lado, se publicó un nuevo lote de información con usuarios y contraseñas en Argentina, con cerca de 90 mil registros. Además, se supo que la caída del sistema de Geocom en Uruguay se debió a un ransomware (Cactus) y ya se filtraron datos sensibles (pasaportes, información personal y más). Y la Universidad Católica de Chile, que también había caído ante un ransomware, vio sus datos exfiltrados en la dark web y ya están disponibles para ser descargados (10.7 GB).
En cuanto al ámbito internacional, diversos grupos de ransomware están explotando vulnerabilidades en Atlassian Confluence y Apache ActiveMQ. El ICBC tuvo un ransomware e impactó en el Tesoro de los Estados Unidos. Y una buena: Signal ya está probando nombres de usuario para dejar de compartir el número de teléfono para usar la aplicación.
Dos temas de agenda para cerrar: esta semana estuve en la primera misión comercial británica de ciberseguridad, por invitación de la embajadora británica Kirsty Hayes, en su residencia. Fue un buen encuentro para ver cómo maneja Gran Bretaña las cuestiones relacionadas a defensa cibernética, pero sobre todo para conocer nuevas fuentes. Entre los asistentes hubo representantes de empresas públicas de Argentina.
Por otro lado, el lunes viajo con colegas al Foro ESET de Seguridad Informática 2023 en Uruguay, Punta del Este. Será una semana con seminarios y talleres de parte de expertos de la compañía en ciberseguridad. Probablemente vuelva con material para Dark News, que iré publicando a medida que tenga tiempo, entre entrevistas, relevamientos y papers que expongan los expertos de la compañía. Mientras tanto, pueden ir leyendo micro posteos en X Twitter y LinkedIN.
Leer este correo te va a llevar 9 minutos.
💳 El grupo de ransomware Cactus listó a Geocom Uruguay
Luego de una caída masiva en sus sistemas, Geocom, la empresa de soluciones tech que maneja postnets en Uruguay, apareció en la lista de víctimas del grupo de ransomware Cactus. El ataque generó pérdidas económicas significativas para cientos de negocios en suelo uruguayo.
A mediados de octubre, BCA LTD publicó un reporte que arrojaba pistas sobre las conexiones de este caso con un ransomware. Esta semana, se confirmó que se trata del grupo Cactus.
Dark News consultó a Valentina Costa Gazcón, analista de amenazas y CEO de V•ONE Labs, sobre las técnicas de ataque (TTP) de Cactus:
El grupo, cuyo nombre deriva del archivo de su nota de rescate "cAcTuS.readme.txt", se caracteriza por utilizar archivos encriptados con la extensión .cts1, aunque el número final puede variar. En todos los incidentes publicados hasta la fecha, los hackers se infiltraron en la red de sus víctimas explotando vulnerabilidades en dispositivos VPN. Tras realizar tareas de reconocimiento, robo de contraseñas y exfiltración de archivos, despliegan el ransomware a través de tareas programadas (schedule tasks).
El grupo ya tiene anotados varios ataques, entre los que se encuentran entidades comerciales, diversas industrias -Trimaran Capital Partners, West Craft Manufacturing, TORMAX USA- y “Specialized Management Services” (SMS) -Seymours, Groupe Promotrans, MINEMAN systems, Maxxd Trailers, Marfrig Global Foods, UTI Grup, Multi Masters Group, y ahora Geocom Uruguay-.
En cuanto al despliegue del payload, Costa Gazcón explicó:
El ransomware se autoencripta para evitar su detección, utilizan herramientas propias de los administradores de sistemas para moverse lateralmente por la red, como AnyDesk, Splashtop, SuperOps o PowerShell. Este último también lo usan para las tareas de reconocimiento e incluso para desactivar aquellas soluciones de ciberseguridad que pudieran detectar sus movimientos dentro la red de sus víctimas.
La especialista confeccionó un reporte muy completo por el pedido de esta publicación, que se puede consultar en este enlace. En cuanto a persistencia y exfiltración, cerró la threat analyst:
Finalmente establecen persistencia mediante un backdoor SSH y utilizan Cobalt Strike o Chisel para el comando y control del ransomware. Una vez que la exfiltración y la encriptación es exitosa, las víctimas son publicadas en su ‘leak site’ de la dark web y amenazadas no sólo con la pérdida de sus datos, sino también con su publicación, lo que se conoce como un mecanismo de doble extorsión.
Es un período de bastante movimiento en la zona. A principios de mes, ESET publicó una lista de cinco grupos muy activos en América Latina. La semana pasada, Dark News confirmó que detrás del ataque a la aseguradora médica Avalian está el cártel Akira y circularon versiones de que también atacaron al frigorífico Areebeef.
🔑 Nueva combolist con datos de Gobierno en Argentina
Un nuevo lote con información interna de usuarios fue colocado en un foro de compraventa de datos personales. Entre la información hay organismos dependientes del Estado argentino. Dark News consultó a Emmanuel Di Battista, de Birmingham Cyber Arms, que dio a conocer la información en X.
Nuestro software de Inteligencia Sheriff analizó la publicación de una nueva combolist con usuarios -mayormente- de Argentina, detectada este martes. Contiene casi 90.000 usuarios con sus correspondientes contraseñas, de los cuales 907 pertenecen a organismos gubernamentales como AFIP, Presidencia, Fiscalía, Diputados, Ministerio de Seguridad y Defensa, entre otros.
Las credenciales, aclara, “suelen ser tomadas vía infecciones de stealers o phishing y no necesariamente significan un compromiso de cada una de las plataformas mencionadas”.
En muchos casos, este tipo de información es un reciclaje (rewash) de combolists viejas, pero esto tampoco significa que no sirvan o que, en última instancia, no denoten malas prácticas en la gestión de datos sensibles por parte de estas entidades estatales. Por eso, se torna clave mantener siempre un segundo factor de autenticación.
Además, esta semana un actor de amenazas (ThreatSec) comprometió el sitio oficial de la Provincia de Chaco.
🏫 Universidad Católica de Chile, afectada por Knight Ransomware
La Universidad Católica de Chile apareció listada la semana pasada en el sitio del grupo de ransomware Knight. Esta semana apareció un enlace de descarga en su sitio en la dark web que, comprimido, pesa 10.7 GB.
Los ataques a las instituciones educativas en Chile vienen siendo una constante, según explicó a Dark News Germán Fernández, Líder de Threat Intel en CronUp Ciberseguridad.
A nosotros nos toca ver muchas instituciones del sector educativo vulnerables. Es sabido que los actores de amenaza aprovechan distintos vectores de acceso, como por ejemplo los ataques de fuerza bruta o la utilización de credenciales corporativas filtradas. Sin embargo, quizás uno de los más importantes tiene que ver con las vulnerabilidades y, en este caso, creo que las instituciones del sector no se han comprometido con la ciberseguridad: su negocio es la educación, entonces han descuidado este frente.
En general, la infraestructura de los sistemas tiende a estar "desactualizada" o "mal configurada", explicó. En cuanto a la puerta de entrada de los ataques, Fernández agregó:
En nuestro monitoreo continuo vemos muchas instituciones que son vulnerables a fallos de seguridad críticos y emergentes: Fortinet, Citrix, plataformas de correo como Exchange o Zimbra, son tecnologías que, generalmente, instituciones de este tipo se demoran en parchear y ahí es donde dejan una "ventana de exposición" importante. Hoy en día, con la rapidez con la que actúan los agentes de amenazas, 2 o 3 días de ventana de exposición es suficiente para considerarte comprometido.
Por último, el experto advirtió que esto “no es un problema sólo de Chile, sino que es la realidad que se ve en todo América Latina, tanto en la educación como el sector público en general".
La universidad no emitió comentarios públicos al respecto. El caso tuvo cobertura casi nula en medios de comunicación.
💻 Vulnerabilidad crítica en Atlassian Confluence
Un actor de amenazas está explotando una vulnerabilidad (CVE-2023-22518, ya parcheado) en los sistemas de la herramienta de espacios de trabajo Atlassian Confluence para saltarse la autenticación y cifrar servidores con el ransomware C3rb3r.
Esta versión de C3rb3r se basa en el código filtrado del ransomware Conti y no está relacionado con el antiguo y más infame ransomware, Cerber de mediados de la década de 2010.
El ataque, que comenzó el fin de semana, fue reportado por las empresas de ciberseguridad Red Canary, Huntress, y Rapid7. “Con privilegios de administrador, las capacidades de un atacante en una instancia comprometida se extienden mucho más allá de la pérdida de datos para incluir la entrega de malware y ransomware, desactivar medidas de seguridad, configurar cuentas para acceso a largo plazo y más”, advirtió uno de los reportes.
Atlassian actualizó la severidad del bug de 9.1 a 10/10.
🏦 Ransomware al ICBC afecta al Tesoro de los Estados Unidos
Un ataque de ransomware contra el ICBC, el mayor banco de China, impactó en el mercado del Tesoro de los EE.UU. al obligar a los clientes a desviar sus operaciones.
La Asociación de la Industria de Valores y Mercados Financieros de Estados Unidos comunicó el jueves a sus miembros que el ICBC había sido afectado por un ransomware y que estaba todo paralizado “a menos que se pagara un rescate”, según fuentes no reveladas del Financial Times.
“El ataque impidió al ICBC liquidar operaciones del Tesoro en nombre de otros participantes en el mercado, según operadores y bancos. Los participantes en el mercado, incluidos los fondos de cobertura, estaban redirigiendo las operaciones debido a la interrupción, pero dijeron que el efecto de los ataques en el funcionamiento del mercado del Tesoro parecía ser limitado”, explicaron.
El sector bancario no suele ser de los más afectados por ataques de ransomware, en tanto invierte fuertemente en recursos de ciberseguridad. Aún así, la ingeniería social como puerta de entrada a actores maliciosos se ha mostrado muy efectiva para aprovechar zero days, y ha podido bypassear medidas de seguridad en más de una oportunidad.
📲 Signal empieza a testear nombres de usuario para más privacidad
La aplicación de mensajería Signal comenzó a probar nombres de usuario para que no sea obligatorio exponer la línea telefónica. Esto implica un avance grande en la privacidad, en tanto hasta ahora la única forma de usar el programa era compartiendo el número de teléfono.
El problema de compartir el número de teléfono es la exposición a menor privacidad por un lado y menor seguridad por el otro: en muchos casos, saber una línea puede llevar a su compromiso.
Signal es una de las pocas aplicaciones de mensajería que no sólo encripta los mensajes de punta a punta sino que no almacena información confidencial que no necesita para operar, además de garantizar que borra los chats de los servidores si el usuario los elimina de su dispositivo.
Si hasta ahora no había nombres de usuario, explican desde la compañía, es porque “se trata de una importante reforma en la arquitectura” del código fuente del programa.
🔗 Más info
Cl0p está explotando un zero day en servidores SysAid IT
DDoS afectó ChatGPT (OpenAI)
Un presunto breach en Linkedin terminó siendo un web scrapping mezclado con información falsa
El FBI detalla las nuevas tendencias del ransomware
KELA repasa el desmantelamiento de Qakbot
Microsoft se une al club de Oracle y AWS: ahora pedirá MFA obligatorio en cloud para admins
Discord empieza a tomar medidas contra la difusión de malware: los archivos se hostearán en urls temporales
WhatsApp ahora deja ocultar ubicación en llamadas
Shimano, fabricante de bicicletas y componentes, afectado por un ransomware
IBM X-Force detectó un nuevo componente del malware GootLoader en redes corporativas que facilita el movimiento lateral