Ransomware: arrestan a miembros de LockBit y comprueban que no borran los archivos de las víctimas que pagaron
Además: Telegram empezó a reportar cuentas, los lentes smart de Meta te pueden doxear, fallas severas en routers DrayTek y Windows Recall llega a su forma final (y no es por default).
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
20 sept>
4 oct
⚡ TL;DR
Durante el fin de semana volvió a estar online el sitio del grupo de ransomware LockBit, pero hackeado por fuerzas de seguridad internacionales. Otra vez, como ocurrió en febrero de este año, se anunciaron una serie de arrestos con una cuenta regresiva que terminó el martes: dos afiliados de LockBit en Reino Unido, uno en Francia y otro en España que alojaba servicios para el grupo cibercriminal. Otro miembro conectado a los servicios de inteligencia rusos fue vinculado al grupo EvilCorp.
Los arrestos se dieron durante la semana en la que se lleva a cabo en Washington la cumbre anual de la Counter Ransomware Initiative, una coalición establecida en 2021, de la que forman parte países de todo el mundo. Entre los latinoamericanos están Argentina, Brasil, Colombia, Uruguay y México.
Uno de los hallazgos más interesantes fue que la NCA de Reino Unido publicó un reporte técnico en el que pudieron confirmar con certeza absoluta que LockBit nunca borró la información robada de sus víctimas: la encontraron en sus servidores, incluso en aquellos casos en los cuales se habían pagado los rescates. El tema dominó la agenda de los medios especializados pero no llegó a los medios tradicionales, como sí llegó la disrupción de una serie de operaciones atribuidas por Microsoft a Rusia, apuntadas a oficiales militares y la sociedad civil en EE.UU.
A nivel regional, apareció una campaña nueva del troyano bancario Mekotio que apunta a descargar un PDF apócrifo de AFIP para infectar a la víctima en Argentina, hubo a finales de la semana pasada un ransomware que no se hizo público y un usuario tendría datos de una clínica de reproducción asistida. En Chile una empresa cervecera hizo disclosure sobre un incidente de seguridad que ocurrió el 25 de septiembre.
📣 Dos anuncios importantes:
Ekoparty publicó la lista de charlas de su próxima edición
Este sábado es la Flash Party en Buenos Aires: precio de entradas, actividades, en este enlace
En esta edición:
👮 Arrestos en LockBit y EvilCorp
📲 Telegram ya empezó a reportar cuentas
👓 Las gafas de Meta doxean gente
🪟 Windows Recall llega a su forma final
📡 Encuentran 14 fallas en routers DrayTek
🕵️♂️ EE.UU. acusa a los hackers de Trump
⏰ Leer este correo te va a llevar 13 minutos.
Dark News #105
Ekoparty Security Conference, el evento de ciberseguridad más destacado de América Latina, se prepara para celebrar su edición número veinte los días 13, 14 y 15 de noviembre en el Centro de Exposiciones y Convenciones (CEC) de Buenos Aires. Este año, la conferencia promete ser la más grande y emocionante de su historia, con más de 200 charlas y workshops, hacking en vivo, CTF, wardriving y la participación de expertos internacionales en ciberseguridad. Registrate gratis haciendo clic en el banner.
Caen más miembros de LockBit y exponen a un agente de Evil Corp
Un nuevo capítulo de la Operación Cronos, un operativo que se llevó a cabo en febrero para desarticular la base operativa de LockBit, uno de los grupos de ransomware más prolíficos del mundo, se llevó a cabo esta semana y terminó con nuevos arrestos, sitios confiscados, servidores incautados y nueva inteligencia recolectada.
La coalición, conformada por el Departamento de Justicia de EE.UU, la agencia contra el cibercrimen de Reino Unido (NCA) y Europol, junto a otras entidades, logró detener a cinco cibercriminales conectados al grupo y uno también a EvilCorp, otra agrupación de ransomware con mucha historia.
Los dos sospechosos detenidos en Gran Bretaña fueron encontrados luego de analizar la información incautada en febrero que, según la NCA, podría llevar a identificar a 70 cibercriminales que trabajaron en el esquema de RaaS (Ransomware as a Service, sistema con miembros y afiliados) del grupo. El arrestado en Francia se encontraba de vacaciones.
La Guardia Civil de España detuvo también a un miembro que proveía el hosting de parte de la infraestructura del hosting, lo que llevó a incautar infraestructura antigua de LockBit. Con esta información, la NCA publicó un reporte en el que explican que el grupo no borraba la información de las víctimas que cedían ante la extorsión.
Además de estos arrestos, hubo uno que fue particularmente interesante para el escenario histórico del ransomware: un afiliado de LockBit conocido como “Beverley”, de nacionalidad rusa, llamado Aleksandr Ryzhenkov, vinculado a EvilCorp.
Ryzhenkov está apuntado por haber inyectado el ransomware BitPaymer que, a diferencia del modelo RaaS, tuvo una infraestructura privada que sólo fue utilizada por miembros de EvilCorp y que fue responsable de distintas operaciones de malware. Según EE.UU., era el segundo en la línea de mando.
Dark News contactó a Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, para entender más sobre la historia de este grupo:
Evil Corp, Gold Drake o Indrik Spider es una organización criminal compuesta principalmente por actores de amenazas de Europa del Este, dedicado al ransomware pero también otros tipos de malware. Si bien su motivación es casi exclusivamente financiera, existen vínculos entre el grupo y los Servicios de Inteligencia de Rusia, facilitadas por el pasado laboral en esos mismos organismos de algunos de sus miembros.
En cuanto a los ransomware que usaban y sus afiliaciones a grupos RaaS, agregó:
Las cepas de malware más conocidas utilizadas son Dridex (2014), Bitpaymer Ransomware (2017), SocGholish (2018), DoppelPaymer Ransomware (2019), WastedLocker Ransomware (2020), Hades Ransomware (2020), Phoenix Locker (2020), PayloadBIN Ransomware (2021), Macaw Ransomware (2021), Entropy Ransomware (2022) y LockBit (2022). Muchas de estas, son de su autoría. El uso de Lockbit por parte de Evilcorp no debe ser una sorpresa. Algunos de sus miembros fueron parte o tuvieron relación estrecha con proyectos como Conti; mientras que Macaw Ransomware adopta muchas prácticas de código de proyectos muertos como BlackCat o Egregor, demostrando la experiencia de sus afiliados en el campo del ransomware.
Entre las Tácticas, Técnicas y Procedimientos (TTP) de Evil Corp, destacó el especialista:
La cadena de ataque puede resumirse en: phishing, infección de acceso inicial con Dridex o SocGholish, recopilación de credenciales y activos de valor y despliegue de una cepa de ransomware. Para esto suelen valerse de todos los trucos del manual, desde abuso de JavaScript para desplegar SocGholish, utilización de procesos legítimos y herramientas del sistema como PsExec, WMIC o Powershell para moverse dentro del mismo hasta el uso de herramientas de terceros como Cobalt Strike, para facilitar la manipulación y exfiltración del sistema de la víctima.
El Tesoro de los Estados Unidos sancionó en 2019 a la organización cibercriminal, lo que ocasionó que muchos de sus miembros migraran hacia servicios RaaS como LockBit.
Ahora bien, entre los descubrimientos que llevaron a sancionar a 15 ciudadanos rusos por Reino Unido, seis por Estados Unidos y dos por Australia, se supo que la organización se manejaba por miembros de una familia. Que, según dijeron las autoridades, tenían de su lado a un agente del FSB, el Servicio Federal de Seguridad ruso, Eduard Benderskiy.
La NCA sugirió que, por estos vínculos familiares, el grupo tuviera protección del FSB asegurada.
Toda esta información se conoció mientras se desarrolla la Counter Ransomware Initiative en Washington, donde diversos países discuten sobre el estado actual de esta amenaza. Allí, oficiales de la Casa Blanca coincidieron en que se necesitan “más operaciones de disrupciones” para desalentar a los atacantes a ser parte de estas organizaciones.
Encuentran 14 vulnerabilidades en routers DrayTek: una es un RCE de 10 puntos
DrayTek tuvo que publicar actualizaciones de seguridad para varios modelos de routers luego de que se conocieran 14 vulnerabilidades, entre las cuales hay una ejecución de código remoto (RCE) con 10 puntos CVSS.
Los fallos fueron descubiertos por Forescout Research - Vedere Labs y los researchers advirtieron cerca de 785.000 routers DrayTek podrían ser vulnerables al nuevo conjunto de vulnerabilidades, que afectan tanto a los modelos con soporte activo como a los que llegaron al final de su vida útil.
Los fallos mencionados afectan a 24 modelos de routers, de los cuales 11 ya no tienen actualizaciones de seguridad, aunque así y todo recibieron actualizaciones por la gravedad de las vulnerabilidades.
En agosto de este año, dos hackers argentinos expusieron una serie de fallos de seguridad que afectan al menos a 500 mil routers de la marca taiwanesa DrayTek. Fue en una charla presentada en “La Villa Hacker”, un espacio en español que debutó este año en DEF CON.
En este caso, se trataba de varias vulnerabilidades que son graves porque, mediante ellas, un atacante podría obtener acceso a una red interna, interceptar y manipular el tráfico. El trabajo fue presentado por Octavio Gianatiempo, investigador de la empresa de ciberseguridad argentina Faraday, junto al investigador Gastón Aznarez, además de explicar el problema, demostraron el paso a paso de la explotación.
Según Gianatiempo, esta nueva investigación “este bug y el que descubrimos es el full chain: el paso de acceso remoto a persistencia”. Amplió en diálogo con Dark News:
En nuestro research encontramos una serie de vulnerabilidades que pueden ser usadas por un atacante que ya tuvo un acceso inicial al router para persisitr sin ser detectado. A raíz de esto hicimos una herramienta para poder detectar si esto estaba pasando en un router y para poder analizar estos firmwares ya que entendíamos que seguramente había más vulnerabilidades que nosotros nos estábamos perdiendo, porque es una superficie de ataque muy compleja. Ahora, un par de semanas después, salen estas vulnerabilidades que permiten que un atacante pueda tener ese acceso inicial: usadas en conjunto con las nuestras, permitirían que un tercero gane acceso al dispositivo y no sea detectado.
La vulnerabilidad más grande que se descubrió ahora quedó registrada como FSCT-2024-0006, un buffer overflow en la función "GetCGI()" que maneja los requests al HTTP, que puede llevar a una denegación de servicio o ejecución de código remoto: tiene 10 puntos de gravedad.
Gianatiempo cree que por la publicación de los trabajos, es probable que hayan estado trabajando a la par con los investigadores de Forescout Research. El argentino explicó el porqué de su investigación junto al hacker Gastón Aznarez:
Este research lo hicimos porque hay muchos de estos dispositivos dando vueltas y por la complejidad y el OS que tienen era probable que hubiese otras vulnerabilidades, motivo por el cual queríamos facilitar una herramienta que permitiera encontrarlas.
Este trabajo, a cargo de los dos investigadores locales, será presentado también en Ekoparty en noviembre.
Telegram entregó información de sus usuarios a las autoridades en EE.UU.
Telegram confirmó que entregó datos de más de 100 usuarios a las autoridades en Estados Unidos -IP o número de teléfono-. La información fue publicada por el bot de Transparencia de la compañía, que se puede ver online dentro de la plataforma misma.
Esto confirma el cambio de rumbo de Telegram, aplicación de mensajería que estuvo en el ojo de la tormenta este año luego de la detención de su CEO y fundador, Pavel Durov, en Francia el pasado sábado 24 de agosto.
En un mensaje de este bot se puede leer el “Informe de transparencia para el periodo 01.01.24-30.09.24”, donde se especifica que afecta a 108 usuarios. Además, desglosa datos de distintos países, entre ellos, Brasil: “Revelamos datos de 75 solicitudes legales en el primer trimestre (enero-marzo) de 2024, 63 en el segundo y 65 en el tercero. En la India, nuestro mayor mercado, atendimos 2.461 solicitudes legales en el primer trimestre, 2.151 en el segundo y 2.380 en el tercero”.
Esto se condice con una modificación en la actitud de Durov y una acción concreta del cambio que introdujo la plataforma, luego de actualizar su política de privacidad a fines del mes pasado.
Durov había sido acusado de “complicidad en la difusión de material de abuso sexual infantil”, así como de facilitar el crimen organizado, transacciones ilícitas, tráfico de drogas y fraude. Luego fue liberado.
Durov mismo dijo que quiere limpiar a la plataforma y que este tipo de actividades son “una pequeña porción” dentro de los casi mil millones de usuarios que tiene Telegram.
Los lentes de Meta te pueden doxear
Dos alumnos de Harvard crearon una demo sobre cómo los lentes inteligentes de Meta pueden doxear a cualquier desconocido: con mirarlos, se puede saber identidad, número de teléfono y hasta dirección de las víctimas.
AnhPhu Nguyen, uno de los estudiantes, bautizó a esta tecnología I-XRAY y mostró cómo mediante IA podía extraer esta información.
El video que subieron es bastante explicativo, así que lo comparto y, para más información, se puede leer la nota original de 404Media.
La versión final de Windows Recall: optativa y desactivada por defecto
Microsoft publicó un reporte a fines de la semana pasada con una actualización sobre Windows Recall, la polémica función que saca capturas de pantalla de todo lo que hace el usuario, en su última actualización de Windows 11 (24H2). En principio será optativa, no vendrá activada por defecto y estará encriptada y vinculada al TPM (Trusted Platform Module, un requisito de hardware para poder instalar Windows 11).
Llamada a ser una función para recordar (“recall”) lo que hace el usuario, tiene el sentido de asistir en la búsqueda de información y funciona mediante capturas de pantallas tomadas cada pocos segundos, pero también representa un desafío para la privacidad del usuario y un potencial riesgo de seguridad.
Lo más polémico era que iba a venir activada por default, además de dar pocas precisiones sobre dónde se alojaría esa información y cuán segura estaría. Ahora Microsoft explicó cómo funcionará, con el detalle de que la información estará asociada a la seguridad del hardware de los equipos (el TPM).
La empresa dijo que, además de haber hecho las pruebas de seguridad correspondientes (red teaming) correspondientes, Recall va a avisar cada vez que tome una captura de pantalla del equipo y hasta brindar una función de pausa para que se detenga. Y los usuarios sólo podrán ver las capturas de pantalla de Recall después de autenticarse con las credenciales biométricas de Windows Hello. Campos sensibles como contraseñas y datos de tarjetas de crédito no se guardarán.
Esta función se va a ir habilitando como opción en distintos equipos para llegar en Windows 11 de manera más masiva.
EE.UU. acusa a los hackers de Trump
El Gobierno de los Estados Unidos acusó a tres ciudadanos iraníes por el hackeo a la campaña del expresidente y actual candidato Donald Trump en agosto de este 2024. Los tres sospechosos son Masoud Jalili, Seyyed Ali Aghamiri y Yasar Balaghi.
Por aquel entonces, EE.UU. concluyó que Irán estaba detrás del ciberataque que apuntó a Trump y que había llegado también a la dupla Biden-Harris. El FBI y otras agencias de inteligencia norteamericanas le informaron al equipo de Trump que habían detectado casos de spear phishing (dirigido) hacia un funcionario de alto rango de la campaña.
Lo interesante del reporte del Departamento de Justicia (DOJ) es que señala que el hackeo formó parte de una campaña más amplia que habría llevado a los atacantes más de cuatro años y también apuntó a miembros del Congreso, la Casa Blanca y altos funcionarios del Gobierno.
Según el DOJ, la campaña fue en represalia por el asesinato del general iraní Qasem Soleimani por parte de la administración Trump en 2020.
🔓 Breaches y hacks
Hackean el estudio francés de videojuegos Red Barrels (Outlast)
La agencia de noticias AFP sufrió un ciberataque
Atribuyen a Norcorea un ataque a un fabricante de armas alemán
🔒 Ransomware
Storm-0501 ahora apunta a ecosistemas híbridos
Nuevo grupo: Nitrogen Ransomware
Un ataque en un proveedor de salud de Texas obliga a relocalizar pacientes
💣 Exploits y malware
El stealer Rhadamanthys ya funciona con OCR para reconocer criptowallets guardadas en imágenes
Falla crítica en Zimbra permite ejecución de código remoto
CISA advierte sobre un RCE en Ivanti EPM
🔍 Threat intel
Mandiant, AppViewX,Dr.Web, Ping Identity, Sucuri, Trend Micro y la CISA publicaron reportes de tendencias
Kaspersky publicó un reporte sobre Key Group
Qualys publica nuevos indicadores de compromiso (IOC) de Akira
🛠️ Tools y updates
Microsoft Defender va a avisar cuando el usuario se conecte a una red de WiFi insegura
Firefox lanza la versión 131.0 y Thunderbird saca su versión beta para Android
saw-your-packet: detección de información sensible en Amazon Machine Images (AMI)
📋 Privacidad y seguridad
En Irlanda, sancionan a Meta por almacenar contraseñas en texto plano
La Comisión Europea les pide explicaciones sobre su algoritmo a TikTok y YouTube
California votó una ley de IA