Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

31 ene>
7 feb

⚡TL;DR

Los pagos por rescates de ransomware, malware que se usa para cifrar información y sistemas para pedir un rescate a cambio, bajaron en todo el mundo. La información surge de un estudio de Chainalysis que comparó YoY los pagos que pudieron ser trackeados, lo que llama a tomar las cifras con los reparos necesarios de cualquier fenómeno infrarrepresentado.

Entre las razones que encuentra el estudio para explicar el fenómeno está la más visible en el nicho de la ciberseguridad: durante el año pasado, una gran cantidad de bandas cibercriminales fueron desmanteladas, sus operaciones fueron cerradas y sus servidores incautados.

En diciembre de 2024 repasé en esta publicación esos casos (se pueden ver en este enlace), con LockBit a la cabeza (que ya está activo de nuevo), Black Cat y conocidos foros e infostealers que fueron intervenidos.

Sin embargo, los ataques siguen ocurriendo. Para poner un ejemplo, en el plano local, el Hospital El Cruce de Buenos Aires sufrió un ransomware, Akira anunció a 360Energy, dedicada al rubro de la energía solar y MONTI encriptó sistemas de Metalúrgica Roma. En Chile, también estuvo activo Akira con un ataque a EMIN Ingeniería y Construcción S.A.

Por estos motivos, más allá de los números, como advirtió Check Point Research en noviembre de 2024, los grupos siguen activos e incluso empezaron a migrar al modelo de data extortion (ver).

A nivel global, DeepSeek siguió dominando la agenda tech. Durante la semana pasada contamos que tuvo varios problemas en el mundo de la ciberseguridad, uno de ellos, una serie de ciberataques. Esta semana salió un reporte que asegura que los ataques fueron llevados a cabo “con gran pertinencia e iteración táctica”. En cuanto a regulaciones, el curso de las noticias siguió creciendo: en Corea del Sur, Australia y Taiwán también la prohibieron por “riesgos de seguridad nacional”.

Uno de los casos que más eco hizo esta semana fue el de un backdoor monitor de frecuencia cardíaca muy usado en clínicas y hospitales.

Si bien es común que la industria y los hackers encuentren vulnerabilidades y agujeros de seguridad en computadoras, routers y hasta impresoras, estos casos no son tan frecuentes pero sí más preocupantes: la autoridad de ciberseguridad de EE.UU. (CISA) emitió un comunicado llamando a remover el equipo de las salas y desconectarlos de los pacientes.

En cuanto a amenazas, Kaspersky encontró un malware que logró colarse en las stores de Google y Apple. Más abajo están las especificaciones, de la mano de un especialista de América Latina de la empresa rusa.

También hay casos de espionaje en WhatsApp, información expuesta y un ranking de vulnerabilidades más explotadas de 2024. La perlita: hackearon la cuenta de Donald Trump.

Para cerrar, están disponibles las charlas de la conferencia de seguridad BSides London 2024, se pueden ver en YouTube.

En esta edición:

• 📉 Bajan los pagos de rescates de ransomware: de 1.25 mil millones a 812.55 millones

• 🕵 Meta confirma espionaje con spyware Graphite en WhatsApp

• 🔓 Costa Rica: una base de datos expone datos de 600 mil ciudadanos

• 👾 Las vulnerabilidades más explotadas de 2024

• 🪙 Crypto-stealer en Google Play y App Store de iOS

⏰ Substack dice que leer este correo completo lleva 10 minutos

Dark News #125

Bajan los pagos de rescates de ransomware: de 1.25 mil millones a 812.55 millones

Los pagos por rescates de ransomware bajaron en todo el mundo.

Los números. Se trata de una baja de un 35%, de 1.25 mil millones de dólares a 812.55 millones, lo que representa un 35% menos YoY.

Las razones. El estudio asegura que la gran cantidad de disrupciones y arrestos que hubo durante 2024 influyeron en la libertad con la que se movían los cibercriminales. Pero hay otros factores:

El ransomware en 2024 reflejó los cambios impulsados por la acción policial, la mejora de la resistencia de las víctimas y las nuevas tendencias de ataque. Las medidas represivas y la colaboración con empresas de respuesta a incidentes y expertos en blockchain ayudaron a desarticular muchos grupos de ransomware, reduciendo su rentabilidad. Las víctimas también demostraron una mayor resistencia a las peticiones de rescate, ampliando la brecha entre las demandas y los pagos.

Mixers. Además, el estudio detectó menos uso de mixers, servicios que se usan para ofuscar movimientos de transacciones en la blockchain.

La disminución del mixing entre los actores de ransomware a lo largo de los años es muy interesante, y es testimonio del impacto perturbador de las sanciones y las acciones policiales, como las adoptadas contra Chipmixer, Tornado Cash y Sinbad. En lugar de los mixers, hemos observado que los operadores de ransomware recurren cada vez más a los bridges cross-chain para facilitar la deslocalización.

Matices. Así como los otros reportes de Chainalysis hablaban de crecimientos en el pago de rescates en 2022 y 2023, estas cifras deben enmarcarse en la complejidad de cuantificar actividades ilegales.

Los reportes se elaboran en base al seguimiento de las transacciones, a partir de wallets marcadas como sospechosas. Esto está lejos de representar el total del panorama del pago de rescates de ransomware, que muchas veces son difíciles de rastrear.

Meta confirma espionaje con spyware Graphite en WhatsApp

Meta confirmó que cerca de 100 periodistas y miembros de la sociedad civil fueron espiados en WhatsApp con spyware de la empresa israelí Paragon Solutions, conocido como Graphite.

Alerta. La app de mensajería alertó a los miembros afectados para advertir de posibles brechas de seguridad en sus cuentas. No está claro quién está detrás del ataque.

Cómo fue. The Guardian reportó que diversos expertos detectaron que el ataque fue a través de un “zero clic”, es decir, los targets no tuvieron que interactuar con un programa o cuenta para ser hackeados.

La confirmación. Un representante de WhatsApp le dijo a Reuters que el ataque apuntó a 90 víctimas, aunque se negó a comentar qué periodistas fueron afectados. La empresa le envió una carta de “cease and desist” y está “explorando las opciones legales” que tiene.

Paragon Solutions terminó contratos con gobiernos como Italia, donde se confirmó que la herramienta se usó para espiar periodistas.

Costa Rica: una base de datos expone datos de 600 mil ciudadanos

Una base de datos de una empresa de telecomunicaciones privada expone datos de 600 mil ciudadanos de Costa Rica. La información se encuentra en Google Storage e incluye cédulas de identidad, documentos y pasaportes.

El reporte. El investigador

Al revisar el storage de Google sin protección, ya detecté un fallo. Pero después me encontré con estos archivos que exponen cédulas de identidad y pasaportes que podrían ser de clientes de una empresa privada de telecomunicaciones. Son 600,000 archivos y, como siempre trato de proteger los datos, envié correos a personas ligadas con esta telecomunicadora en numerosas oportunidades, pero no tuve respuesta. También averigüé si tenían un programa de vulnerabilidades pero no hay nada de eso. Al final el único que me contestó fue el Csirt de Costa Rica.

Las vulnerabilidades más explotadas de 2024

Al menos 768 vulnerabilidades identificadas bajo CVEs fueron reportadas in the wild en 2024, lo que representa un crecimiento de un 20% respecto del año anterior.

Números. Según un reporte de VulnCheck, 2024 fue “otro año excepcional” para la explotación de vulnerabilidades y destacó que el 23,6% de las conocidas como KEV (known exploited vulnerabilities) se weaponizaron el mismo día en el que fueron identificadas o incluso antes.

El informe advierte que, en total, hay cerca de 400.000 sistemas expuestos y susceptibles de sufrir ataques derivados de la explotación de 15 fallos de seguridad en productos de Apache, Atlassian, Barracuda, Citrix, Cisco, Fortinet, Microsoft, Progress, PaperCut y Zoho.

Más matices. Como en el caso de Chainalysis, conviene relativizarlo: hacia el final del informe aparecen las consideraciones sobre posibles sesgos (que, en general, muchas veces tienen que ver con que estos reportes encuentran lo que quieren buscar). Se pueden leer hacia el final en este enlace.

Crypto-stealer en Google Play y App Store de iOS

Kaspersky descubrió un programa que roba criptomonedas disponible para ser descargado en el App Store de iOS (Apple), llamado SparkCat.

Troyano. Se trata de un malware que toma fotos de la galería del teléfono y las escanea con un módulo OCR para extraer texto que pueda aparecer en cualquiera de las imágenes.

Qué busca. SparkCat está particularmente interesado en frases en diferentes idiomas, lo que puede indicar que se trata de métodos de recuperación de billeteras de criptomonedas. Si lo encuentra, envía la información al servidor que lo controla.

El nombre. Kaspersky lo bautizó SparkCat por el SDK malicioso usado para aplicaciones de Android, llamado Spark, y el de iOS, llamado bigCat.

Dark News se contactó con Leandro Cuozzo, analista de malware de Kaspersky Latinoamérica, quien explicó la diferencia específica de este malware:

“Este es el primer caso conocido de un troyano basado en OCR que ha logrado infiltrarse en AppStore. En cuanto a las aplicaciones infectadas en AppStore y Google Play, por el momento no está claro si las mismas fueron comprometidas mediante un ataque a la cadena de suministro o a través de otros métodos. Algunas de las aplicaciones maliciosas detectadas, como los servicios de entrega de alimentos, parecen legítimas pero que han sido comprometidas, mientras que otras están claramente diseñadas como troyanos.

Además, según el analista, esta campaña “tiene algunas características únicas”:

En primer lugar, se propaga a través de tiendas de aplicaciones oficiales y opera sin señales evidentes de infección. La sigilosidad de este troyano dificulta su detección tanto para los moderadores de las tiendas como para los usuarios de dispositivos móviles. Además, los permisos que solicita parecen razonables, lo que facilita que se pasen por alto. El acceso a la galería que el malware intenta solicitar puede parecer esencial para el correcto funcionamiento de la aplicación, al menos desde la perspectiva del usuario. Este permiso se solicita normalmente en contextos pertinentes, como cuando los usuarios se comunican con el servicio de atención al cliente.

Kaspersky detectó además que se trata de un troyano avanzado por distintas razones, como el uso de Rust en su construcción, su base de datos encriptada y el hecho de que pueda targuetear tanto a dispositivos Apple como Android.

🔓 Breaches y hacks

• Los servicios de inteligencia de Ucrania habrían llevado a cabo un DDoS contra Gazprom

• Nueva falla en procesadores AMD: permite inyectar microcódigo malicioso

• Filtran documentos de 21 ministerios y agencias del régimen talibán

🔒 Ransomware

• El grupo WantToCry explota misconfigs NAS

• Tata, una de las compañías más grandes de India, sufrió un ransomware

• Deloitte paga 5 millones de dólares en EE.UU. para cubrir los costos de un ransomware

💣 Exploits y malware

• Malwarebytes descubre una campaña de malvertising en Google Ads

• Explotan una falla en 7-Zip para bypassear Windows Defender SmartScreen

• Encuentran decenas de sitios falsos de DeepSeek usados para credential phishing y criptoestafas

🔍 Threat intel y vulnerabilidades

• Palo Alto publica un reporte detallado sobre la escena infostealer en macOS

• Cisco da a conocer dos vulnerabilidades críticas en su Identity Services Engine (ISE)

• Reportes: Contrast Security, Palo Alto, Picus Security, VulnCheck.

🛠️ Tools y updates

• VMware actualiza Aria

• Google parchea 47 fallas de seguridad en Android

• Firefox se actualiza a la versión 135 con parches de seguridad

📋 Privacidad y regulaciones

• Texas prohíbe cualquier aplicación china en teléfonos oficiales

• Investigan a la firma de ciberseguridad Atos por posibles backdoors conectados a Rusia

• EE.UU. busca prohibir DeepSeek en dispositivos oficiales

Share