"Ransomware hacktivista" contra Baggio, LockBit se endurece y YouTube carga contra ad-blockers
Un ataque contra la empresa alimenticia argentina demanda como rescate una donación, piden unificar criterios de IoC, el DOJ incauta 9 millones en cripto y Encuentro Federal Cyberciruja.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
17>24
nov
⚡ TL;DR
Promediando el final de noviembre, los casos de ransomware se recalentaron durante esta última semana en el panorama global de ciberataques. Además de los que salieron en medios especializados, algunos lograron saltar el cerco para llegar a medios tradicionales, pero uno que voló bajo en el radar llamó particularmente la atención por su componente hacktivista: Malas Locker, que atacó a la empresa alimenticia argentina Baggio y en lugar de pedir un botín como hacen todos los grupos, pide una donación a una tercera entidad.
Es raro encontrar esta dinámica entre los grupos de ransomware actuales, que, en general, extorsionan sobre un pago para ellos mismos (y para mantener la estructura cibercriminal). En este ámbito,LockBit cambió la forma de operar con sus afiliados e impuso condiciones más duras de negociación, en tanto el cártel consideró que estaban siendo un poco blandos con los montos que estaban pidiendo. Al margen, como los ataques fueron tantos, los recopilo al final de esta entrega, bajo la sección de Más info.
Por el lado más técnico, Gran Bretaña presentó un compromiso para unificar los indicadores de compromiso (IoC), lo cual es una discusión más específica pero que sirve para mirar más de cerca el trabajo de los threat analysts. Y que, de obedecerse, podría simplificarles el vocabulario que usan en su trabajo (o al menos normalizarlo).
Otra noticia que venimos siguiendo en esta publicación tuvo que ver con la guerra que YouTube viene librando contra los adblockers: los videos reproducidos en navegadores con bloqueadores de anuncio cargan más lento (pero no en Chrome, ejem).
El news cierra esta semana con el anuncio del Encuentro Federal de Cybercirujas, un colectivo que lucha contra la obsolescencia programada y defiende el derecho a reparar. Será en Córdoba, mañana y pasado. Al final dejo más información, pero recomiendo darse una vuelta para quienes estén por ese radio.
Leer este correo te va a llevar 10 minutos.
🥷 Malas Ransomware: el análisis del caso de Baggio
Un grupo de ransomware nuevo publicó información interna de la compañía alimenticia argentina Baggio, conocida por sus jugos, en abril de este año. A pesar de que el ataque ya lleva varios meses, pasó casi desapercibido en la conversación local, pero por las condiciones en las que se llevó a cabo, el ataque tendría un móvil hacktivista, ya que no piden un botín propio, sino para terceros. Explicó a Dark News Mauro Eldritch, analista de amenazas de BCA:
Malas, también conocido como Malas Locker, es un grupo de ransomware que emergió a principios de 2023, destacándose por su enfoque hacktivista. Su sitio dedicado a filtraciones presenta un manifiesto centrado en la lucha de clases, y para no publicar la información robada a la víctima, el grupo solicita donaciones a entidades benéficas específicas. Su lema: "Somos malas... podemos ser peores".
No hay mucha información del grupo publicada: en lo que va del año aparecieron dos artículos en medios especializados, uno de Cyberscoop (que fue levantado por un reporte de Check Point Research) y otro de Cyber Security News. En cuanto a las TTPs, Eldritch explicó:
Malas ataca servidores de correo Zimbra para obtener acceso inicial a la infraestructura de sus víctimas. Según su propio manifiesto, su objetivo principal son empresas de gran y mediano tamaño a nivel mundial, evitando específicamente África, Ucrania y Latinoamérica, salvo en casos excepcionales.
En abril de este año publicaron los datos de Baggio, entre los que había configuraciones, contraseñas y datos internos.
Hay un archivo de configuración de Zimbra que incluía contraseñas en texto plano y direcciones de correo electrónico de todos los usuarios de la empresa, junto con los hashes correspondientes a sus contraseñas, configuración de carpetas y hasta sus mensajes para responder automáticamente durante ausencia por vacaciones.
El actor de amenazas atacó directamente a la empresa argentina, que no pagó el rescate y la información está disponible en la dark web.
⏸ YouTube enlentece la carga de videos para quienes usen ad-blockers
Un artículo de Android Authority dio a conocer que Google está enlenteciendo intencionalmente la carga de videos en la página de YouTube para usuarios que instalan bloqueadores de anuncios. Con una particularidad: no afecta al navegador Chrome, propiedad de Google, sino al resto de los browsers.
Para apoyar un ecosistema diverso de creadores en todo el mundo y permitir que miles de millones de personas accedan a sus contenidos favoritos en YouTube, hemos puesto en marcha un esfuerzo para instar a los espectadores con bloqueadores de anuncios activados a que permitan los anuncios en YouTube o prueben YouTube Premium para disfrutar de una experiencia sin anuncios. Los usuarios que tengan instalados bloqueadores de anuncios pueden experimentar una visualización subóptima, independientemente del navegador que utilicen.
Esta misma semana, el laboratorio de amenazas de Malware Bytes publicó un artículo en el que analiza cómo Google sigue con su plan de limitar a los ad blockers en un futuro próximo.
Todo este tema se intensificó cuando, en julio de este año, cuatro ingenieros de la compañía publicaron en GitHub una nueva API que apuntaba a bloquear cualquier modificación de código de una página web. Incluidos, por supuesto, este tipo de plugins.
💻 Gran Bretaña pide unificar los IoC
La agencia de ciberseguridad de Reino Unido (National Cyber Security Centre) emitió un documento formal en el que le pide a la Internet Engineering Task Force, organización internacional abierta de normalización, que estandarice los indicadores de compromiso (IoC).
Los IoC son “huellas” que deja una intrusión en la red: puede ser una IP, un hash, un nombre de dominio o una técnica en particular. Lo que hace el documento es introducir un formato común para compartir estas herramientas de detección de malwares y ataques para mejorar la interoperabilidad entre los diferentes proveedores.
Valentina Costa Gazcón, analista de amenazas y CEO de V•ONE Labs, explicó estos cambios a Dark News:
Lo que hicieron fue unificar la teoría en torno a indicadores de compromiso y los metieron dentro de un estándar: es decir, la formalizaron. No añadieron nada realmente nuevo, pero está bien para unificar un método de estudio sobre IoCs. Básicamente tomaron lo que se hace en la práctica y lo regimentaron en un texto, con el aval de la IETF. Pero no entraron en detalles respecto del tiempo de validez, dejando este aspecto a criterio del analista y en base a la naturaleza del indicador en sí.
Según la agencia, este trabajo ya lleva más de tres años y el estándar es el RFC9424, que se podrá comentar públicamente antes de un proceso de votación.
🪙 Incautan 9 millones en cripto de una estafa “pig-butchering”
El Departamento de Justicia de los Estados Unidos (DOJ) incautó 9 millones de dólares en criptomonedas al desmantelar una estructura de estafas “pig-butchering”, un estilo de estafa donde se engaña a las víctimas “engordando” su confianza en Internet para convencerlas de que transfieran grandes sumas de dinero y luego las "descuartizan" fugándose con el botín.
El caso se produjo sobre la red Tether y registró un total de 70 víctimas. El DOJ envió un mensaje, además, a los ciberdelincuentes que usan criptomonedas para hacer transferencias y lavar dinero:
Esta incautación también debería servir para recordar a los ciberdelincuentes que, aunque el panorama actual del ecosistema de las criptomonedas pueda parecer una forma ideal de blanquear ganancias mal habidas, las fuerzas del orden continuarán desarrollando la experiencia necesaria para seguir el dinero y confiscarlo.
Theter también emitió un comunicado destacando la “colaboración” con el DOJ.
💰 LockBit cambia sus reglas de negociación y Play ahora ofrece RaaS
LockBit, uno de los grupos de ransomware más prolíficos del mundo, anunció un nuevo sistema para sus afiliados y las negociaciones con las víctimas que extorsionan al robar, encriptar o duplicar sus datos. ¿El problema? Los afiliados estaban haciendo descuentos muy grandes.
Lockbit se maneja con el modelo de RaaS, un sistema mediante el cual hay un equipo que se encarga de desarrollar, mantener y actualizar el código fuente del malware y otro grupo que está conformado por los afiliados, quienes se llevan un porcentaje del pago del rescate de la información robada.
Sin embargo, desde octubre, los administradores de LockBit impusieron las normas después de ver que los afiliados pedían pequeños rescates a las víctimas y ofrecían grandes descuentos. Esta información sale de una investigación de Analyst1, que explica que ahora los afiliados se verán obligados a utilizar un sistema escalonado basado en porcentajes para las tarifas de los rescates, en función de los ingresos anuales de la víctima.
Además, prohibirán ofrecer descuentos mayores al 50% de la petición de rescate inicial y hasta una escala porcentual según las ganancias de cada víctima:
Ingresos de hasta 100 millones de dólares, pagarán del 3% al 10%
Ingresos de hasta mil millones de dólares, pagarán del 0,5% al 5%
Ingresos superiores a mil millones, pagarán del 0,1% al 3%
Todo esto denota un refinamiento en la organización criminal del grupo.
Por otro lado, otro grupo que estuvo en el centro de la escena esta semana fue Play, conocido en Argentina por haber afectado a la Justicia de Córdoba, Arsat y la Legislatura de la Ciudad de Buenos Aires. Adluminum publicó un reporte en el que detecta que ya están operando bajo un modelo RaaS, es decir, con afiliados.
🪛 Encuentro Federal de Cybercirujas en Córdoba: por el derecho a reparar
Cybercirujas, un movimiento que defiende el derecho a reparar equipos electrónicos, desde computadoras y teléfonos hasta dispositivos considerados “obsoletos”, realizará su primer encuentro federal el 25 y 26 de noviembre en la Biblioteca “Manuel Belgrano” de la Facultad de Ciencias Económicas de la Universidad Nacional de Córdoba.
Se trata de una reunión en persona de los diversos nodos que hay a lo largo y ancho del país, que actualmente se comunican por canales online como Telegram y su foro online. Gran parte del sentido del colectivo tiene que ver con la defensa de lo que se conoce como “derecho a reparar”, un movimiento internacional que intenta combatir la así llamada obsolescencia programada.
“Cybercirujas combate la idea de la obsolescencia programada, que se puede entender bien con lo que pasa actualmente con los celulares: todos los años sale uno nuevo porque el que tenés ya funciona lento y es obsoleto” explicó Emanuel Berdichevsky, arquitecto informático y parte del grupo.
El movimiento que defiende el derecho a reparar es global: esta semana, un grupo de consumidores firmó una petición con una solicitud al gobierno federal de los Estados Unidos en esta línea. Nicolás Wolovick, Doctor en Ciencias de la Computación por la Universidad Nacional de Córdoba, explicó a Dark News:
Hay que educar a la gente en todas estas tecnologías, lo están haciendo los Estados de manera muy parcial pero me parece que nosotros como representantes de la sociedad civil tenemos que estar ahí, ponerle el cuerpo y mostrarle a la gente que la computadora es tuya y que hacés lo que querés. Y que si la computadora no la usás hoy se pone vieja, no le sirve a nadie y en definitiva todos perdemos porque ya el impacto ambiental ya fue pagado: mejor usarla todo el tiempo que se pueda, de la forma que se pueda.
El encuentro federal de cybercirujas se llevará a cabo el 25 y 26 de noviembre en la Biblioteca “Manuel Belgrano” de la Facultad de Ciencias Económicas de la Universidad Nacional de Córdoba, en la provincia de Córdoba. La entrada es gratuita.
🔗 Más info
Polonia va a investigar los casos de espionaje vía Pegasus
Gran Bretaña da 30 días a sitios grandes para ajustar sus políticas de cookies
“Nothing” iba a permitir mensajes de iMessage en Android pero no duró ni un día por un problema de privacidad
Citrix recuerda actualizar NetScaler
Encuentran una nueva variante del stealer Agent Tesla
Rhysida se atribuyó el ataque contra la Biblioteca Británica
LockBit atacó otra empresa financiera de EE.UU. tras atacar ICBC
Black Cat se atribuye el ataque a la aseguradora Fidelity National Financial (FNF)
Crean un ransomware que usa el nombre de Vx-Underground, un conocido sitio de threat intel, y Vx sale a aclarar
El Gobierno de Canadá comunica un data breach
La estafa de Team Viewer, recargada y en un noticiero local