Campaña en contra del reconocimiento facial en Buenos Aires: la respuesta del Gobierno de la Ciudad
Además: condenan a miembros de REvil por extorsión con ransomware, incautan servidores de RedLine stealer y RansomHub, muy activo en México con ataques a aeropuertos y empresas.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
25 oct>
1 nov
⚡ TL;DR
Mala semana para el cibercrimen: dos de las noticias más importantes del mundo de la ciberseguridad tuvieron que ver con detenciones y arrestos.
Por un lado, fuerzas de seguridad dieron de baja la infraestructura de RedLine, uno de los infostealers más populares del mercado, junto a otro llamado Meta. Además de detener a uno de sus desarrolladores, advirtieron que irán por los clientes de este software.
Por otro lado, REvil, uno de los grupos de ransomware que supo dominar la escena antes de LockBit, vio cómo sentenciaron a prisión a cuatro de sus miembros, con la particularidad de que no fue (sólo) por lavado de dinero, sino por hackear y cometer cibercrímenes.
A nivel local, publiqué un artículo sobre una campaña en contra del uso del reconocimiento facial en la Ciudad de Buenos Aires, a partir de los reclamos de diversas organizaciones de la sociedad civil que cuestionan el uso de esta tecnología para la identificación de prófugos. Empapelaron la ciudad con afiches para concientizar, con códigos QR. Más abajo sintetizo por qué se oponen, junto a la respuesta del Ministerio de Seguridad de la Ciudad, que me dijo que “faltan a la verdad”.
Esta semana publiqué además en Clarín un tema que traje de Black Hat este año (es imposible publicar todo mientras ocurre la conferencia). En una de las charlas más interesantes, Infoblox presentó un informe en el cual muestran cómo, a través del análisis de DNS, pudieron detectar un grupo (“Vigorish Viper”) que enmascaró durante los últimos 4 años sitios de apuestas y las patrocinó en equipos de élite como la Selección Argentina o el Manchester United: estos grupos, aseguran, tienen lazos con el crimen organizado de China. Es un tema con bastante desarrollo, dejo el link para leer por si interesa.
Como dato, hubo esta semana varias noticias en esta misma línea: en EE.UU. se detectó una campaña de espionaje chino contra los candidatos y Andy Greenberg de Wired publicó un artículo en el que cuenta cómo la empresa de ciberseguridad Sophos implantó un sistema de rastreo en sus propios dispositivos. ¿El motivo? Un juego del gato y el ratón con -otra vez- China.
A nivel regional, el cuarto banco más grande de Perú, Interbank, sufrió un ciberataque. Además apareció en Chile una nueva campaña del troyano Mekotio apuntando a suplantar la identidad de la aerolínea Latam, además de otras detecciones interesantes en torno a cómo se distribuyen por América Latina (en este caso, via anuncios pagos en Meta).
La perlita: en Japón, condenaron a un usuario por crear un ransomware con inteligencia artificial, en lo que se cree que es el primer caso de una condena de este tipo. Para muchos, el desarrollo de malware asistido por IA es uno de los principales problemas del panorama de amenazas actual. Ahora hay al menos un caso en la Justicia para tener como referencia.
En esta edición:
👮 RedLine y Meta: interrumpen las operaciones de los stealers
⛓ REvil: sentencian a prisión a miembros del grupo de ransomware
🇨🇳 EE.UU. acusa a China de espiar candidatos
📹 “Reconoceme”, una campaña en contra del reconocimiento facial en Buenos Aires
🛬 RansomHub ataca 13 aeropuertos en México
⏰ Substack dice que leer este correo completo lleva 10 minutos
Dark News #109
“Reconoceme”, una campaña en contra del reconocimiento facial en Buenos Aires
Una campaña en contra del uso de sistemas de reconocimiento facial en la Ciudad de Buenos Aires cubrió la calle de afiches en contra de su uso. Se trata de "reconoceme.org", liderada por las organizaciones Democracia en Red y el Observatorio de Derecho Informático Argentino (O.D.I.A.), que apunta a concientizar a través del escaneo de un código QR.
Por qué. El Sistema de Reconocimiento Facial de Prófugos (SRFP), implementado para detectar e identificar a prófugos de la Justicia y delincuentes, se encuentra suspendido por la Justicia porteña en la actualidad. Es por una audiencia con especialistas y representantes del Ministerio de Seguridad porteño que determinó, en marzo de este año, que todavía no hay acuerdo sobre cómo usar y auditar esta tecnología.
Antecedentes. Su uso es cuestionado por organizaciones de la sociedad civil que han resaltado falencias en el sistema. El caso emblema que citan ocurrió en 2019, cuando un ciudadano pasó casi una semana preso porque lo confundieron con un delincuente que tenía su mismo nombre, Guillermo Ibarrola.
A fines del año pasado, el tema volvió a estar en agenda, esta vez nacional, cuando el Gobierno de Javier Milei apuntó a implementar este tipo de tecnologías biométricas para identificar a manifestantes y penalizarlos con el retiro de planes sociales.
Respuesta. Dark News se contactó con fuentes del ministerio de Seguridad de la Ciudad de la Ciudad de Buenos Aires, que aseguraron que la campaña “falta a la verdad”:
El sistema no opera buscando o rastreando caras de civiles sino que impacta contra una base donde están los registros de los ciudadanos prófugos de la justicia. Esto es el núcleo del proyecto y es importante aclarar que nosotros pretendemos buscar prófugos. Es tal el compromiso que durante su uso detuvimos a más de 1700 personas que estaban siendo buscadas por el sistema judicial.
Además, esperan que se levante la suspensión judicial: "En definitiva se trata de cumplir con la ley y apresar a quienes están en este momento incumpliendo con ella: seguiremos trabajando junto a la justicia para darle más herramientas para avanzar", cerraron.
Reportaje en profundidad. En este enlace.
RedLine y Meta: interrumpen las operaciones de los stealers
La Policía Nacional de Países Bajos incautó la infraestructura de los servidores de RedLine y Meta, dos populares infostealers, en un operativo llamado “Operación Magnus” -con sitio propio-.
Qué pasó. “El 28 de octubre de 2024, la Dutch National Police, en estrecha colaboración con el FBI y otros socios de la fuerza internacional de seguridad Operación Magnus, desbarató la operación de los infostealers RedLine y Meta”, aseguraron en el comunicado publicado el lunes de esta semana.
Las fuerzas involucradas (Países Bajos, Gran Bretaña, EE.UU., Portugal y Bélgica) confiscaron tres servidores en Países Bajos, dos DNS y arrestaron a dos sospechosos en Bélgica -presuntos usuarios-. Además, el Departamento de Justicia de EE.UU. acusó al ciudadano ruso Maxim Rudometov por desarrollar y administrar RedLine. También publicaron un video (ver arriba) trolleando a los desarrolladores de los stealers pero también a los usuarios.
Qué significa. El comunicado asegura que se pudo recuperar información de los servidores incautados, tanto de las víctimas como de los clientes que usan estos stealers.
“Se registraron nombres de usuario, direcciones IP, contraseñas y detalles de pago”, motivo por el cual aseguraron que irán por los que usaron este tipo de software malicioso.
También accedieron al código fuente de los stealers, paneles de administración y APIs, además de accesos a bots de Telegram donde se comercializaban estos stealers.
Contexto. Los infostealers son una de las principales amenazas en el escenario de los ciberataques de la actualidad. Sirven para robar datos personales de los navegadores, por lo general, credenciales de acceso y cookies de sesión. Esos datos robados se comercializan en el underground (ver más).
Si bien la Operación Magnus puede dificultar el acceso a estos infostealers, en muchos casos siguen operativos incluso a pesar de estas acciones de las fuerzas de seguridad.
Dos datos. El researcher Baptiste Robert publicó un trabajo de OSINT sobre uno de los detenidos. El FBI ya desbarató 30 organizaciones cibercriminales este 2024.
REvil: sentencian a prisión a miembros del grupo de ransomware
Cuatro miembros de REvil, uno de los grupos cibercriminales históricos más grandes del mundo, fueron sentenciados a entre cuatro y seis años de prisión por autoridades rusas. La noticia fue dada a conocer por la Corte Militar de San Petersburgo y replicada por medios especializados.
Quiénes. Artem Zayets fue sentenciado a 4 años y medio, Alexey Malozemov a 5, Daniil Puzyrevsky a 5 y medio y Ruslan Khansvyarov a seis años de prisión. Los cuatro habían sido arrestados en enero de 2022. Desde entonces, el caso pivoteó entre una corte militar y una criminal.
Por qué. Los sentenciados están acusados de haber estado involucrados en el ciberataque contra Kaseya, un proveedor de servicios gestionados (MSP), que arrastró a más de mil empresas por cadena de suministro.
Ataques. REvil, también conocido como Sodinokibi, fue uno de los grupos más grandes de la escena del ransomware.
En mayo de 2020 le demandaron 42 millones de dólares a Donald Trump tras robar información.
En 2021, lograron hackear a Acer y a Quanta Computer, un fabricante de Taiwán, al que le robaron planos de productos de Apple todavía no lanzados al mercado.
El 2 de julio de 2021, el ataque de ransomware supply chain contra Kaseya levantó mucho ruido en medios de todo el mundo. El 13 de ese mismo mes, los servidores del grupo desaparecieron de internet.
En septiembre de 2021, Bitdefender publicó un desencriptador universal.
Contexto. El caso enfrentaba la dificultad de que en Rusia la ley no permite criminalizar ciberataques contra empresas extranjeras. Por esto, los acusados contaban con ciertas garantías, que ahora fueron levantadas.
EE.UU. acusa a China de espiar candidatos
Un grupo de hackers que representa los intereses de la República Popular China habría interceptado conversaciones de figuras políticas en Estados Unidos, entre ellos, un asesor de campaña de Donald Trump, según el Washington Post.
Qué pasó. El Post publicó una investigación donde se afirma que el grupo de ciberdelincuentes identificado como Salt Typhoon apuntó a registros telefónicos, SMS y apps de chat como iMessage y WhatsApp. También se habrían movido por empresas de telecomunicaciones como AT&T y Verizon.
Contexto. El caso trae la discusión sobre el uso de aplicaciones de chat no encriptadas (SMS) para comunicaciones entre perfiles de alto rango. Algunos especialistas cuestionaron que no usen apps como Signal.
Dato. China cuestiona este tipo de reportes. A mediados de agosto, se publicó un reporte -Lie to me- donde se afirma que Volt Typhoon es una invención de las agencias gubernamentales de EE.UU. Además hablan de un “orientalismo” por los nombres usados para estereotipar a los actores de amenazas (Panda, Typhoon, Dragon, etc.).
RansomHub apunta contra 13 aeropuertos en México
El Grupo Aeroportuario del Centro Norte (OMA), administrador de 13 aeropuertos de México, comunicó un incidente de seguridad que impactó en 13 aeropuertos de México, incluido del de Monterrey. Los vuelos no se vieron afectados.
Qué pasó. El grupo de ransomware RansomHub se hizo responsable del ataque y asegura tener 3 terabytes de información robada a OMA. Ahora dan como deadline para hacer públicos los datos el 3 de noviembre.
Contexto. RansomHub es uno de los grupos dominantes de la escena del ransomware actual, luego de las caídas de LockBit y Black Cat. Las agencias estadounidenses FBI y CISA advirtieron este martes sobre la preponderancia de RansomHub, y Microsoft confirmó esta tendencia en un reporte de esta semana.
Durante el jueves también agregaron a la empresa mexicana Mabe a su lista de víctimas.
🔓 Breaches y hacks
DarkRaaS pone a la venta 8TB que asegura que pertenecen a información confidencial del gobierno argentino
Ataque contra DHL borra información del sistema de tracking
Un atacante robó 20 millones en cripto de una agencia gubernamental de EE.UU. y los devolvió
🔒 Ransomware
RansomHub encripta datos de una zona de Bucarest
Ataque contra la universidad de Maribor en Eslovenia
“Sadism”, detalles de una nueva cepa
💣 Exploits y malware
JP MOrgan demanda a clientes que explotaron un “infinite money glitch”
Una popular extensión de Chrome es maliciosa: Hide YouTube Shorts
Bytedance echa a un empleado que habría explotado una vulnerabilidad de HuggingFace
🔍 Threat intel
Black Basta está usando ingeniería social vía Teams
Akira Ransomware está explotando SonicWall SSL VPN
Reportes: Arctic Wolf, Check Point, Cloudflare, AuditBoard, ENISA, HYPR, Red Canary, Sysdig y Wordfence.
🛠️ Tools y updates
Apple parchea 70 vulnerabilidades en iOS, macOS y otros productos
Firefox lanza la versión 132, con parches de seguridad
qBittorrent parchea una vulnerabilidad de 14 años
📋 Privacidad y seguridad
Multan a Vodafone por sistemas inseguros y escuchas
Microsoft acusa a Google de hacer lobby en su contra
Canales de TV rusos demandan a Google por una cifra irrisoria: 20,000,000,000,000,000,000,000,000,000,000,000 dólares
Este newsletter fue escrito por un humano. Para cualquier comentario, corrección o sugerencia de cobertura de temas, podés responder este mail. Se acepta (y agradece) todo tipo de feedback.