RainbowEX: filtran datos personales de los usuarios y del panel que gestiona las inversiones en San Pedro
Además: DDoS contra Cancillería y la Corte Suprema de Argentina, Twitter vuelve a Brasil, China logró interceptar el sistema de escuchas de EE.UU. y atacan el Internet Archive.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
Esta edición se adelanta al jueves 10 de octubre por el día no laborable del viernes 11.
4>10
oct
⚡ TL;DR
Esta semana llegó a los medios de comunicación en Argentina, de manera masiva, un presunto esquema ponzi que se hizo muy popular en la ciudad de San Pedro, al norte de la Provincia de Buenos Aires: RainbowEx, una plataforma que opera distintas criptomoendas, sospechada de ser una estafa.
El caso, además de estar bajo investigación de la Justicia, tuvo una filtración de datos tanto de los usuarios que invirtieron -con fotos de DNI- como del panel interno que usa Knight Consortium, la entidad que regentea el sistema. Mariano Vidal viajó a San Pedro para ver cómo estaba el tema y escribimos un reportaje a cuatro manos en Clarín, que más abajo resumo.
Además, durante el fin de semana pasado varios sitios web en Argentina estuvieron bajo ataque de denegación de servicio distribuido (DDoS), entre ellos el Ministerio de Relaciones Exteriores (Cancillería). El ataque lo realizó RTF, un grupo que entre sus mensajes llama a “no ser rusófobo”.
A nivel regional, la pelea entre Brasil y X (Twitter) llegó a su fin, al menos por ahora: Elon Musk pagó las multas y cumplió con lo que pedía el juez Alexandre de Moraes. La red social vuelve a operar en el territorio.
En el plano global, el tema de la semana fue una primicia del Wall Street Journal que parece una serie de netflix: se confirmó que un APT que representa los intereses de China logró hackear el sistema que usa EE.UU. para hacer escuchas telefónicas ordenadas por la Justicia.
Al momento de cerrar esta edición, el Internet Archive se encontraba bajo un ataque de DDoS y un breach.
Dejo una idea interesante sobre las elecciones en Estados Unidos, que se celebran en menos de un mes (5 de noviembre). Jean Easterly, la directora de CISA, reafirmó la idea de que no sufrirán un ciberataque “a gran escala“. Esto no significa que no sea consciente de la complejidad de los procesos electorales. Recuerdo esto que dijo en Black Hat USA este año:
Las cosas van a salir mal. Se los garantizo: van a salir mal. Alguien va a olvidar una llave, va a desconectar una impresora para calentar su almuerzo, va a haber un DDoS o hasta puede haber un ransomware.
La perlita de la semana: hackearon el sitio de Lego y lo pisaron con la promoción de una -oh, sorpresa- criptomoneda.
Dark News vuelve a su esquema habitual el próximo viernes 18 de octubre.
En esta edición:
🪙 Filtran datos internos de RainbowEx
🤖 DDoS contra Cancillería, la Corte Suprema y otros sitios oficiales en Argentina
📖 Internet Archive, bajo ataque
🐦 Twitter vuelve a Brasil
📞 China logró interceptar el sistema de escuchas de EE.UU.
🦝 Un ucraniano, responsable de Raccoon Stealer
🧩 Promueven una criptomoneda el sitio de LEGO
⏰ Leer este correo te va a llevar 14 minutos.
Dark News #106
Faraday es una empresa de ciberseguridad con más de 10 años de experiencia, contribuyendo a un entorno más seguro y previniendo ataques virtuales. Provee su propia plataforma de manejo y mitigación de vulnerabilidades y presta servicios de Red Team y consultoría, ayudando al desarrollo de programas de seguridad a la medida de cada cliente. Para conocer más, clic en el banner.
Estafa piramidal de escala masiva y con filtración de datos en San Pedro
La ciudad argentina de San Pedro, ubicada al norte de la Provincia de Buenos Aires, está envuelta en lo que se sospecha que es una estafa tipo ponzi con una plataforma de compraventa de criptomonedas: Rainbowex. Pero además, desde el fin de semana, aparecieron datos internos de la compañía filtrados.
Las primeras imágenes aparecieron durante el fin de semana, donde el actor de amenazas colocó una muestra con 5.300 fotos de lo que se conoce como KYC: Know Your Customer, esto es, el proceso de verificación de identidad de un cliente. Por este motivo, se ve a usuarios sosteniendo su DNI, con las imágenes de frente y dorso de los documentos.
Explicó a Dark News Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms:
El lunes un actor de amenazas publicó capturas de pantalla internas de este panel de administración, demostrando tener acceso total al mismo. Esto le permitiría ejercer el control absoluto sobre la operación de RainbowEx en todos los aspectos: dar de alta, eliminar o congelar usuarios; aprobar o rechazar transacciones; ver detalles (wallets, montos) y usuarios (documentación de KYC que incluye selfies y documentos personales, información personal de registro como teléfono, email), enviar anuncios y "señales". También manipular el precio de los "activos" que circulan en la aplicación, para arbitrariamente declararlos al alza o a la baja para acompañar la ilusión de "trading".
Dark News pudo saber que el atacante tiene datos de la totalidad de los inscriptos.
Las "señales" son momentos para invertir que, en esta plataforma, las envía un usuario que se identifica como Alí y es la líder del esquema. Entre las 20 y las 22 llega a los miembros de ese grupo de Telegram un mensaje de ella, quien por sus rasgos asiáticos es conocida como "La china" entre los seguidores.
El esquema, operado por “Knight Consortium”, está en la mira porque no está inscripto en la Comisión Nacional de Valores, la entidad que regula los mercados y las inversiones en Argentina, y promete rendimientos muy altos en dólares: 1% en dólares al día (algo similar a lo que sucedió con el caso Generación Zoe).
"Los assets [activos] tradeados en la aplicación suelen ser internos (es decir, no pueden ser encontrados por fuera en otras plataformas), o imitaciones de otros conocidos. No se realiza un trading real", agregó Eldritch.
La aplicación de RainbowEx se descargaba por fuera de las tiendas oficiales de Google Play o de AppStore. Se instalaba en el teléfono, pero hacía falta que un usuario habilitara la nueva alta para poder comenzar a operar. Cualquier nuevo ingresante tiene que ser patrocinado por una persona que ya esté en el grupo.
En el proceso de ingreso se realiza un chequeo de identidad, en el cual le piden al usuario que envíe fotos de su DNI e incluso una foto suya. Es, en parte, el material que se filtró durante el fin de semana y que está a la venta.
Según indicaron usuarios que siguen en los grupos de Telegram donde se envían las órdenes de compra dictadas por Ali, la operatoria seguía de manera normal. Esto a pesar del comunicado lanzado por Knight Consortium avisando que los retiros estarán suspendidos hasta finales de octubre por la intervención de organismos reguladores argentinos. Este miércoles además se ofrecían promociones y sorteos para quienes inviten nuevos inversores.
La fiscalía general de San Nicolás, departamento del que forma parte San Pedro, inició una investigación junto con un equipo especializado en ciberdelito para verificar si cabe encuadrar el hecho en una violación del artículo 310 del Código Penal, donde se penaliza la intermediación financiera sin el correcto registro dentro de la CNV.
Por su parte, la Comisión Nacional de Valores (CNV) confirmó este miércoles que RainbowEx no está autorizada para operar en la Argentina.
Atacan con DDoS a los sitios de Cancillería, la Corte Suprema, INVAP y el Gobierno de la Ciudad de Buenos Aires
El grupo RTF, alineado con los intereses de Rusia, lanzó una campaña de ataques de denegación de servicio distribuido (DDoS) contra distintas entidades argentinas, entre ellas, varios sitios web de Cancillería (relaciones exteriores) y la Corte Suprema de Justicia de la Nación.
El DDoS, -un ciberataque mediante el cual se satura de peticiones a un sitio web o servicio para darlo de baja- fue detectado durante las últimas horas del viernes y se intensificó durante la madrugada del sábado.
La metodología de ataque está alineada con otros conocidos grupos hacktivistas como KillNet. En el posteo en Telegram, se puede leer: “¿Cómo evitar ser hackeado? No siendo rusófobo”.
Entre las TTPs de RTF se encuentran: ataques DDoS volumétricos, ataques a protocolos (TCP, por ejemplo, llamando a un handshake pero sin completarlo para que el servidor quede esperando una respuesta y consumiendo recursos) y ataques a la capa 7 (aplicación, HTTPs floods y ataques DNS).
“Los técnicos del área están capacitados y hacen todo lo posible, pero hay ciertos tipos de ataque que son difíciles de combatir, especialmente sin voluntad política para poder prepararse”, dijo a Dark News una fuente cercana a uno de los sitios afectados.
Otros análisis de las tácticas de ataque de RTF destacan que apuntan a equipos legacy, es decir, que ya no reciben parches o actualizaciones, que por lo general tienen tecnología antigua y pueden representar un riesgo para la ciberseguridad de una institución.
“Esto no es tan fácil. En el Estado, adquirir nueva tecnología es un proceso que solo se facilita frente a circunstancias especiales, como proyectos de alto vuelo o jerarquía, y en organismos que son base para la recaudación o la defensa", agregó el especialista.
En el aniversario número 30 de la asignatura Criptografía y Seguridad Informática, el jueves 18 de octubre se llevará a cabo la 3era Jornada de Ciberseguridad - OWASP DAY. Contará con charlas sobre gestión de incidentes, seguridad en web crawlers y desarrollo de plataformas seguras. Entre los expositores estarán Carlos Isaac Sagrero Campos, Arturo Buanzo Busleiman, Fernando Gleiser, Juan Manuel Caracoche, Hugo Pagola y Rubén Aybar. Será en la Facultad de Ingeniería de la UBA, Paseo Colón 850, Ciudad de Buenos Aires. La entrada es libre y gratuita. Para registrarse, clic en el banner.
Internet Archive, bajo ataque
El archivo de internet “The Wayback Machine” sufrió un compromiso durante las últimas horas del miércoles. Según aseguró un actor de amenazas, logró comprometer datos de 31 millones de usuarios.
La noticia comenzó a circular cuando, al querer entrar al sitio, aparecía un mensaje creado por el atacante, asegurando que el Internet Archive había sido comprometido:
¿Alguna vez sentiste que el Internet Archive pende de un hilo y está constantemente a punto de sufrir un breach catastrófico de seguridad? Acaba de pasar. ¡Nos vemos, 31 millones, en HIBP!
HIBP refiere a Have I Been Pwnd, el sitio más conocido del mundo para chequear datos filtrados, creado por Troy Hunt, que junta todo el material en su sitio.
Según publicó Bleeping Computer, el atacante compartió la información con Hunt hace más de una semana en un archivo SQL de 6.4GB llamado "ia_users.sql", que contiene miembros registrados, mails, passwords y otra información interna del Internet Archive.
Hunt confirmó que hay 31 millones de direcciones de mail únicas en la base de datos y que pronto será agregada a HIBP para que se pueda cotejar la información subida.
La batalla entre Twitter y Brasil llega a su fin
La Corte Suprema de Brasil autorizó este martes el desbloqueo "inmediato" de la red social Twitter (X), después de que la plataforma pagara una multa de 28.6 millones de reales (5.2 millones de dólares) y aceptara cumplir las resoluciones judiciales que había planteado el juez Alexandre de Moraes.
El magistrado responsable del caso le pidió a la Agencia Nacional de Telecomunicaciones que tome las medidas necesarias para restablecer el servicio de X, suspendido desde el 31 de agosto.
De Moraes destacó que el desbloqueo está "condicionado" al "cumplimiento integral" por parte de la red social de la legislación brasileña y a la "absoluta observancia" de las decisiones judiciales sobre la eliminación de perfiles acusados de difundir noticias falsas.
Poco antes del anuncio del magistrado, la Fiscalía General de la República se mostró favorable al restablecimiento de X, propiedad del magnate Elon Musk, al no percibir "asuntos pendientes" que impidieran el regreso de la plataforma.
Musk se negó durante semanas a cumplir las órdenes de eliminar perfiles y, tras recibir un ultimátum por parte de De Moraes, anunció que cerraba la oficina de la red social en Brasil y que prescindía de la representación legal en el país, pese a las exigencias de la ley brasileña.
Un grupo de hackers vinculados a China logra interceptar el sistema de escuchas de EE.UU.
Estados Unidos denunció que el grupo de hackers que representa los intereses de China Salt Typhoon habría entrado en las redes de varios de los principales proveedores de internet de Estados Unidos y habría logrado llegar al sistema de escuchas telefónicas del Gobierno, usado de manera oficial en casos autorizados por órdenes judiciales. La información la publicó el fin de semana el Wall Street Journal.
Durante meses, los atacantes podrían haber tenido acceso a la infraestructura de red utilizada para cooperar con las solicitudes legales de datos de comunicaciones de Estados Unidos, lo que supondría un grave riesgo para la seguridad nacional. Los atacantes también tuvieron acceso a otros tramos de tráfico de Internet más genéricos, asegura la nota.
Al parecer, los atacantes se dedicaron a recopilar una gran cantidad de tráfico de proveedores de servicios de Internet que tienen como clientes a empresas grandes y pequeñas y a millones de estadounidenses. Además, hay indicios de que la campaña se dirigió a un pequeño número de proveedores de servicios fuera de Estados Unidos.
Wall Street Journal confirmó que las empresas afectadas son Verizon Communications, AT&T y Lumen Technologies, que no hicieron comentarios al respecto.
“Por lo general, las empresas están obligadas a revelar a los reguladores bursátiles las intrusiones importantes en un plazo breve, pero en raras ocasiones las autoridades federales pueden concederles una exención de hacerlo por motivos de seguridad nacional”, remarca el medio.
Un ucraniano se declaró responsable de gestionar Raccoon Stealer
Un ucraniano se declaró culpable ante un tribunal federal de EE.UU. de operar el malware Raccoon Infostealer, según un comunicado del Departamento de Justicia. Mark Sokolovsky, de 28 años, aceptó pagar al menos 910.844 dólares en concepto de restitución como parte del acuerdo. Raccoon es uno de los stealers más populares del mercado.
“Los agentes del FBI identificaron más de 50 millones de credenciales y formas de identificación únicas (direcciones de correo electrónico, cuentas bancarias, direcciones de criptomonedas, números de tarjetas de crédito, etc.) en los datos robados de lo que parecen ser millones de víctimas potenciales en todo el mundo”, dice el comunicado del DoJ.
Sokolovsky ya había sido acusado anteriormente de ser uno de los administradores clave de este stealer que roba información personal, como direcciones de correo electrónico, números de identificación, datos de cuentas bancarias e información sobre criptomonedas.
Sokolovsky fue detenido en los Países Bajos y extraditado a Estados Unidos en febrero de 2024. Tras su detención, el FBI recopiló datos robados de equipos que habían sido infectados con el malware Raccoon, un malware-as-a-service que se vende por 200 dólares al mes
En marzo de 2022, el FBI, en cooperación con las fuerzas del orden de Italia y los Países Bajos, desmanteló la infraestructura digital que daba soporte a Raccoon Infostealer, dejándolo offline. Sin embargo, en abril de este año, los operadores anunciaron su regreso, introduciendo características que lo hacen más fácil y cómodo de usar, a la vez que más difícil de detectar.
De hecho, hace dos semanas varios infostealers dieron a conocer que ya pueden eludir las nuevas protecciones de Google Chrome y operar con normalidad.
Promueven una criptomoneda el sitio de LEGO
Un banner de una promoción de una criptomoneda apareció en el sitio oficial de LEGO. Durante el cambio, lograron sustituir el banner principal del sitio web oficial de LEGO por una imagen que mostraba supuestos criptoactivos con el logo de la empresa fabricante de bloques de construcción con el logotipo y el anuncio de una “LEGO Coin” que, en realidad, era apócrifa.
Según el moderador de LEGO Reddit mescad, el breach duró cerca de 75 minutos, momento en el cual los usuarios que visitaron el sitio se vieron expuestos posiblemente a esta criptoestafa.
En este caso, la dinámica del engaño no llevaba a un drainer -programas maliciosos que roban activos digitales-, sino que apuntaba a un enlace de la plataforma de criptomoneda Uniswap, donde podían comprar el token de la estafa LEGO utilizando Ethereum.
La empresa de Dinamarca confirmó el breach a Bleeping Computer pero no compartió más detalles sobre los posibles atacantes.
🔓 Breaches y hacks
Venden una base con 345 mil datos de una agencia de viajes en Chile
La empresa más grande de agua de EE.UU. sufrió un ciberataque
🔒 Ransomware
Comcast confirma que luego del ransomware se robaron datos de 235 mil clientes
La agrupación Trinity se suma a los grupos que atacan hospitales
💣 Exploits y malware
Encuentran un zero day en Qualcomm que fue explotado en distintas campañas
Una plataforma de Phishing as a Service, Mamba 2FA, apunta contra cuentas Microsoft 365
🔍 Threat intel
Dr. Web da detalles sobre el nuevo criptominero SilentCryptoMiner
Deloitte+The Female Qoutient, Tenable, FalconFeeds, Portnox+Wakefield Research, Imperva, PwC, Secureworks, y Tenable publican reportes esta semana
🛠️ Tools y updates
Microsoft parchea 5 zero days y 118 fallos de seguridad
Palo Alto arregla una vulnerabilidad crítica en su firewall