Ciberataque contra la Comisión Nacional de Energía Atómica en Argentina: qué se sabe del ransomware y qué dice el Gobierno
Además: bajan 27 sitios de DDoS for-hire, Yahoo despide a su equipo de red teaming y nuevo ataque contra procesadores AMD.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
6>13
dic
⚡ TL;DR
Empezamos a despedir 2024 y, para no perder la costumbre, tuvimos otro caso de ransomware que llegó a titulares de medios masivos de comunicación: la Comisión Nacional de Energía Atómica, entidad encargada de producir y regular la energía nuclear en el país, sufrió un ciberataque.
Por el caso, publiqué un reportaje en Clarín, a partir de la información que pude recopilar: la versión del Gobierno, la cepa que los atacó y cómo está la situación del sector, atravesado por una crisis presupuestaria luego de que el presidente argentino, Javier Milei, suspendiera la construcción del principal reactor (CAREM).
También circuló una presunta base de datos de gob.ar en un foro clandestino, sobre lo que habría sido un breach el pasado 7 de diciembre: “Es nuevo, pero tiene información que ya estaba circulando”, dijo un hacker a Dark News.
A nivel regional, un centro oncológico de Chile también sufrió un ransomware y una inmobiliaria fue víctima de Medusa, el grupo que atacó en Argentina a la Comisión Nacional de Valores. En Perú, dieron de baja un call center de scams (vishing).
Dos recomendaciones de contenidos que pude leer esta semana. Por un lado, recomiendo este perfil de Brian Krebs, uno de los periodistas de ciberseguridad más conocidos del mundo, del Wall Street Journal.
Por otro, un estudio que llevó adelante Mitre ATT&CK en el que evaluó el desempeño de distintas empresas de ciberseguridad (como Check Point, Cisco, ESET, Microsoft, Palo Alto, Bitdefender, SentinelOne y otras) a la hora de detectar vulnerabilidades y el gran problema que generan los falsos positivos. Dijo William Booth, manager general de Mitre:
Algunos proveedores tenían tasas de falsos positivos más altas que las de detección, lo que indica la necesidad de distinguir mejor la actividad legítima de la maliciosa.
Es un problema de la industria que genera fatiga en los trabajadores del rubro. E incluso, agrego: esto desborda hacia el periodismo y lo que se reporta en medios de comunicación, ya que estas empresas envían gacetillas de prensa con titulares sobre sus enormes cantidades de detecciones.
Cyberscoop publicó un reporte con el resumen del estudio y declaraciones de Booth que vale la pena leer.
Hoja de ruta:
La semana que viene publico una recopilación de los ciberataques, filtraciones y casos afines a los temas de este newsletter de 2024. Habrá temas locales y globales, una suerte de Dark News Year-in-Review y algún balance de la situación actual que se pudo plasmar en estas publicaciones.
Tengo varias entrevistas que fui guardando para estas épocas del año en las que hay menos demanda de leer noticias y más ganas de leer ideas. Estos envíos, más estilo long-reads, los voy a hacer los domingos.
En esta edición:
⚛ Ransomware contra la Comisión Nacional de Energía Atómica
🔓 Investigadores abusan el MFA de Azure en una hora
🇨🇳 Estados Unidos sanciona a una empresa china sobre un “posible ciberataque mortal”
🔌 Operación PowerOFF: bajan 27 plataformas para contratar ataques DDoS
🛑 Yahoo despide al equipo de red teaming de su área de ciberseguridad
💻 BadRAM, un nuevo ataque contra procesadores AMD
⏰ Substack dice que leer este correo completo lleva 10 minutos
Dark News #115
Ransomware contra la Comisión Nacional de Energía Atómica
La Comisión Nacional de Energía Atómica (CNEA) sufrió un ciberataque a fines de noviembre y el Gobierno Nacional reconoció el “incidente” de manera oficial esta semana. El evento afectó a todas las sedes del organismo y, además de dejar a la entidad sin red administrativa, generó preocupación por los planos del reactor nuclear CAREM (Central Argentina de Elementos Modulares).
Ransomware. Dark News pudo confirmar que se trató de un ciberataque de ransomware de Money Message, una cepa detectada por primera vez en 2023 por el equipo de investigación de Zscaler. En su sitio en la dark web todavía no hay información del ataque, al menos hasta la publicación de esta nota.
La nota. "Tus archivos han sido cifrados por la organización lucrativa 'Money message' y ya no se puede acceder a ellos. Si pagas el rescate, obtendrás un desencriptador para descifrarlos. No intentes desencriptar los archivos tú mismo, en ese caso se dañarán y serán irrecuperables", es la nota que, según Sophos, dejan al desplegar el ataque.
Qué dijo el Gobierno. “Detectamos un incidente, la situación fue contenida de acuerdo al protocolo correspondiente, no se comprometió la seguridad de ninguna instalación y la infraestructura base de equipos y servidores está funcionando normalmente”, comunicó de manera personal a los periodistas que consultamos, la jefatura de Gabinete (de ahí depende la CNEA). Además, aseguran que “no se robaron información”.
Dark News confirmó que desde la Agencia de Acceso a la Información Pública se abrió una investigación de oficio para darle seguimiento al tema del hackeo a la CNEA.
Contexto político. El ciberataque ocurre en un momento de convulsión política para la CNEA, que atraviesa un proceso de ajuste. "La nueva gerenta del área del CAREM anunció la decisión de no seguir avanzando en la construcción civil, frenando la obra por completo. Se frenan los trabajos, lo que genera el despido de la mayoría de los obreros y la paralización del proyecto", remarcó por aquel entonces la Asociación de Trabajadores del Estado (ATE) en un comunicado.
Para leer más sobre este tema, clic en este enlace.
Investigadores abusan el MFA de Azure en una hora
Investigadores encontraron un método para abusar la autenticación multifactor (2FA o MFA) de Microsoft Azure en una hora, debido a una vulnerabilidad crítica.
El descubrimiento. El equipo de investigación de Seguridad de Oasis descubrió la falta de límites a los intentos fallidos para el segundo factor a la hora de iniciar sesión, lo que abrió la puerta a bruteforcear el proceso de logueo. Así pudieron entrar a mails de Outlook, archivos de OneDrive, chats de Teams, sesiones de Azure Cloud y más. Explicaron:
El bypass fue sencillo: tardó alrededor de una hora en ejecutarse, no requería la interacción del usuario y no generaba ninguna notificación ni proporcionaba al titular de la cuenta ningún indicio de anomalías.
Parcheado. “Oasis informó del fallo a Microsoft y colaboró con ellos para resolverlo”, aseguraron. Luego del informe, Microsoft impuso un límite de intentos mucho más estricto para prevenir que esta falla pueda ser explotada. El reporte completo de este exploit se puede leer en este enlace.
MFA. En agosto de este año, Microsoft anunció que haría obligatoria la autenticación multifactor en cuentas admin de Azure.
Estados Unidos sanciona a una empresa china sobre un “posible ciberataque mortal”
Estados Unidos sancionó a una empresa china de ciberseguridad por un ambicioso ciberataque que, según funcionarios del Tesoro estadounidense, “podría haber matado a personas”. Junto al departamento de Justicia, apuntaron a uno de los empleados de la compañía como autor del exploit de un zero day en el firewall de Sophos.
La empresa. En un comunicado emitido este martes, el Tesoro dijo que la empresa Sichuan Silence Information Technology, con sede en Chengdu, y uno de sus empleados, Guan Tianfeng, desplegaron malware en más de 80.000 firewalls gestionados por miles de empresas de todo el mundo en abril de 2020.
Ransomware. En la acusación se señala que además de robar datos se desplegó ransomware sobre “tres docenas de firewalls que protegían los sistemas de empresas de infraestructuras críticas” y que, de no haberse frustrado o mitigado el hackeo, el impacto potencial “podría haber provocado lesiones graves o la pérdida de vidas humanas”.
El acusado. Guan Tianfeng fue acusado por conspiración para cometer fraude informático y electrónico. El FBI ofrece 10 millones de dólares por información sobre el joven de 30 años, su empresa o sus presuntas actividades en el mundo del hacking.
Operación PowerOFF: bajan 27 plataformas para contratar ataques DDoS
Fuerzas de seguridad de 15 países dieron de baja 27 sitios para contratar ataques de Denegación de Servicios Distribuido (DDoS), arrestaron a tres administradores e identificaron a 300 usuarios de la plataforma.
Operación PowerOff. Europol emitió un comunicado de prensa en el que detalló las entidades involucradas, además de los sitios que fueron dados de baja que, ahora, muestra el banner del sitio confiscado. Uno de los arrestados llevó adelante más de 4 mil ataques DDoS.
Además de las detenciones, la policía de Países Bajos avisó que los usuarios de estos sitios recibirán advertencias directas en sus domicilios por carta o mediante visitas de agentes, mientras que otros serán procesados, dependiendo de la magnitud de sus actividades.
Yahoo despide al equipo de red teaming de su área de ciberseguridad
Yahoo echó cerca del 25% de su equipo de ciberseguridad, específicamente, el sector de Red Team. Según TechCrunch, a nivel interno les decían “los paranoicos”.
Despidos. La empresa con sede en Sunnyvale, California, despidió a cerca de 50 personas de un total del equipo de 200 que conforman la división de ciberseguridad, desde principios de 2024.
“‘Los Paranoicos’ no son el único equipo afectado por los despidos. Valeri Liborski, que fue nombrado director de tecnología de Yahoo en septiembre, envió un correo electrónico esta semana a los empleados anunciando cambios en la unidad de tecnología más amplia, incluida la productividad empresarial y los servicios básicos”, reportó TechCrunch (que es propiedad de Yahoo).
El fundamento. Brenden Lee, vocero de Yahoo, explicó: “El programa de seguridad de Yahoo maduró significativamente en los últimos siete años y es reconocido como una operación de clase mundial, líder en la industria. Como parte de esta evolución, hemos realizado ajustes estratégicos, incluida la transición de las operaciones de seguridad ofensiva a un modelo externalizado”.
Algunos especialistas señalan que mantener equipos de pentesting internos es muy caro y que es más eficiente contratar servicios de empresas que se dedican a ofrecer plataformas de red teaming y pentesting.
Yahoo, histórico buscador y portal de los 90 fundado por David Filo y Jerry Yang, fue vendida en 2016 a Verizon por 4.800 millones de dólares. En 2014 y 2016 sufrió dos filtraciones masivas de datos de sus usuarios.
BadRAM, un nuevo ataque contra procesadores AMD
Investigadores académicos descubrieron un nuevo tipo de ataque que necesita equipo muy barato para proveer información falsa al sistema de un procesador AMD durante el booteo y romper los permisos del entorno de ejecución.
BadRAM. Llamado “BadRAM”, el ataque se sirve de equipamiento de no más de 10 dólares para vulnerar el AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging), sistema que reposa en el encriptado y aislamiento para prevenir filtraciones y ataques basados en hipervisores.
El research. La investigación completa, por parte de académicos de KU Leuven, Universidad de Lubeck y la Universidad de Birmingham, se puede leer en este PDF.
Contexto. Este año, un investigador argentino y uno polaco presentaron una forma de explotación de todos los AMD Ryzen que fue luego parcheada por la empresa: Sinkclose, un trabajo que se dio a conocer en DEF CON 32 (ver más en este enlace).
🔓 Breaches y hacks
El servicio de email encriptados Tuta sufre un DDoS
Artivion, fabricante de equipamiento médico, reportó un breach ante la SEC
Aplicaciones de dating cierran tras filtraciones (Senior Dating y Ladies.com)
🔒 Ransomware
Lynx ransomware ataca a uno de los principales proveedores de energía de Rumania
Un nuevo grupo explota la herramienta de transferencia de archivos Cleo
Kadokawa (empresa madre de FromSoftware -Dark Souls-) paga un ransomware pero le filtran los datos igual
💣 Exploits y malware
Abusan de la herramienta de red teaming de Cobalt Strike
Google pagó 55 mil dólares por un bug de alta severidad en Chrome
IOCONTROL, un nuevo malware usado en infraestructura industrial
🔍 Threat intel
CyFirma publica un análisis técnico de SpyNote RAT
Nuevo reporte actualizado sobre TrickBot
Check Point, Positive Technologies y ZDI publicaron reportes
🛠️ Tools y updates
Apple lanza actualizaciones de seguridad en iOS y macOS
Let’s Encrypt va a dejar de soportar OCSP en 2025
Snowflake va a bloquear el inicio de sesión por un sólo factor
📋 Privacidad y regulaciones
TikTok todavía puede ser prohibido en EE.UU.
Apple se adueña de un add-on muy popular de Firefox: iCloud Passwords
La Justicia determina que Automattic debe dejar de bloquear WP Engine (el caso, explicado, acá)
Este newsletter fue escrito por un humano. Para cualquier comentario, corrección o sugerencia de cobertura de temas, podés responder este mail. Se acepta (y agradece) todo tipo de feedback.