La filtración de 10 mil millones de contraseñas es más ruido que amenaza: que hay detrás de RockYou2024.txt
Nuevo update de la lista de passwords, Ticketmaster enfrenta hackers que descubren cómo generar boletos y bloquean sitios pirata para ver fútbol en vivo en Argentina.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
5>12
jul
⚡ TL;DR
Esta semana volvió a ocurrir: una noticia de ciberseguridad un poco vieja y un poco irrelevante se adueñó de titulares de medios, no sólo especializados, sino generalistas. Me refiero a la actualización de la lista de contraseñas RockYou.txt.
Bajo la premisa de “la mayor filtración de la historia”, la novedad fue que al conocido leak se agregagan más passwords para llegar al exorbitante número de 10 mil millones de claves filtradas. Y, sin embargo, es muy probable que una gran parte de esa información no sirva para nada.
La pregunta es por qué hablar de un tema de poca relevancia (la “no noticia”, una discusión recurrente en redacciones). Y la respuesta se encuentra en que, entre tanto ruido, a veces hay que intentar traer un poco de claridad sobre la mesa, motivo por el cual hablé con un especialista para entender qué es RockYou, qué implica y, en todo caso, qué sí se puede extraer del nuevo posteo que sumó miles de millones de claves a una lista que se engorda año tras año, pero que viene desde 2009.
En el plano local, el escenario argentino estuvo tranquilo, con pocos reportes de ransomware y filtraciones, pero sí una noticia que replicaron todos los medios nacionales: dieron de baja 50 dominios que ofrecían transmisiones pirata de fútbol en vivo. Los populares sitios Fútbol Libre (o Libre Fútbol) y Megadeportes, con mirrors que respawneaban constantemente, llegaron a ser un dolor de cabeza para operadoras grandes como DirecTV y otros jugadores grandes del mercado.
A nivel regional, en Chile, datos de 34 mil usuarios quedaron expuestos por una mala configuración de MongoDB de la aplicación MiPlay (intel vía
, que lo reportó a la empresa). Además, una compañía financiera chilena fue posteada por Akira, que viene jugando fuerte en Sudamérica (OCASA fue afectada por esta cepa de ransomware).En Uruguay, detectaron una nueva campaña de estafas que se sirven de deepfakes del presidente Lacalle Pou y el exministro de Salud Daniel Salinas. La particularidad es la cantidad de trabajo que tienen encima, con el resultado de un engaño muy convincente.
En el ámbito global, Evolve Bank reconoció que el breach de la semana pasada (que pegó en Wise) afectó al menos a 7.6 millones de personas, Apple volvió a enviar notificaciones advirtiendo sobre spyware y una noticia más vinculada a Defensa y el tablero geopolítico tensó más la cuerda entre Estados Unidos y Rusia: el Departamento de Estado norteamericano comunicó que dio de baja una botnet de cuentas fake en Twitter que, dicen, manejaba el medio ruso RT.
La narrativa norteamericana se apoya en el análisis de casi mil cuentas y es consonante con una denuncia que hizo a fines del año pasado, cuando EE.UU. apuntó a una red de desinformación activa en América Latina.
Dark News #90
Leer este correo te va a llevar 14 minutos.
Faraday es una empresa de ciberseguridad con más de 10 años de experiencia, contribuyendo a un entorno más seguro y previniendo ataques virtuales. Provee su propia plataforma de manejo y mitigación de vulnerabilidades y presta servicios de Red Team y consultoría, ayudando al desarrollo de programas de seguridad a la medida de cada cliente.
🔑 RockYou2024: se suman passwords a la conocida lista
Un usuario subió un archivo con 9,948,575,739 contraseñas a un popular foro de hacking y compraventa de datos personales. Son 45 GB de información comprimida que, según el propio actor de amenazas (usuario “ObamaCare”), salen de filtraciones pasadas de hace dos décadas, compiladas en el famoso “Rockyou.txt” de 2021. A este set de hace tres años se agregarían 2 mil millones de claves nuevas, llegando al número de casi 10 mil millones que llegó a titulares en diversos medios de comunicación.
La nueva lista se titula RockYou2024 y fue tomada por sitios de noticias generales y especializados con una serie de advertencias sobre los peligros que podría representar esta nueva filtración. Sin embargo, a pesar de tener contraseñas usadas por usuarios en algún contexto real, el uso que tiene este archivo en el mundo del cibercrimen es relativo.
RockYou.txt es , originalmente, un data breach muy famoso. Ocurrió luego de que, en 2009, la plataforma social Rock You sufriera una filtración de 32 millones de contraseñas de usuarios que estaban guardadas en texto plano. Estas passwords se compilaron en archivo de texto con el nombre de RockYou.txt, que fue engrosándose con los años.
En el caso del nuevo archivo que apareció la semana pasada se trata de una recopilación de contraseñas de diferentes servicios y personas de todo el mundo que extiende la última actualización de 2021.
Dark News contactó a Federico Pacheco, manager de I+D+i en Base4 Security, para entender el alcance de este tipo de filtraciones de contraseñas. Lo primero que advirtió es que suelen tratarse de una suerte de collage:
Las listas de este estilo se obtienen mayormente por compilación de listas filtradas de distintos momentos. A su vez, pueden contener directamente contraseñas, o bien "hashes", que son básicamente representaciones criptográficas de las contraseñas, que para revelar su contenido requieren ser procesadas de una forma específica por medio de lo que se denominan ataques de fuerza bruta. En pocas palabras, es un collage de otras listas y bases de datos preexistentes.
En este sentido, según Pacheco, es relativo el uso que puede hacer un atacante con esta información. Y esto tiene que ver con cambios en las prácticas de uso de las contraseñas:
Por otra parte, los grupos organizados de cibercriminales no necesitan RockYou2024 para cometer sus delitos, y cualquier persona que quiera darles uso por curiosidad, difícilmente encontraría un caso de éxito. Las listas así pueden tener cierto valor por el hecho de contener contraseñas reales, pero considerando que cada vez se utilizan más passwords generados por gestores de claves, tampoco dan tanta información sobre el usuario como ocurría años atrás, cuando las contraseñas solían ser generadas manualmente por las personas.
Pero además su uso es limitado para llevar a cabo un ataque:
Dado que los servicios online pueden limitar con mucha facilidad la cantidad de intentos de accesos, en la práctica no son viables los ataques. En caso de contar con listas de filtraciones propias, los ciberdelincuentes podrían contrastarlas con esta lista y aprovecharse de las contraseñas reutilizadas. En pocas palabras, los titulares suelen exagerar con estas cosas por tratarse de números grandes (normalmente sin contexto ni criterio) que en general asustan.
Sin embargo, la utilidad que el especialista ve en estas noticias está más relacionada a la concientización:
Más allá de eso, cualquiera de estas publicaciones puede funcionar como llamada de atención para revisar nuestra "ciber higiene" (las buenas prácticas de ciberseguridad cotidiana). Para el usuario de a pie, el riesgo es que si usa contraseñas repetidas entre servicios, al conocerse una de ellas por medio de estas listas, se puedan intentar ataques dirigidos a otros de sus servicios. Por esto es que se recomienda no repetir contraseñas, y utilizar mecanismos de doble autenticación.
Para resumir, si no se reutilizan contraseñas y se siguen ciertas prácticas básicas como usar un gestor de claves para generar passwords robustas de 20 caracteres, con mayúsculas, números y caracteres especiales, una noticia como RockYou2024 no debería ser un problema, sino más bien una anécdota.
⚽ Golpe al fútbol pirata: bajan dominios de Fútbol Libre
La Justicia argentina bloqueó, tras un operativo en la Provincia de Mendoza, más de 50 dominios de Fútbol Libre y Megadeportes, dos sitios web para ver partidos de fútbol online.
Luego de una denuncia de la Alianza Contra la Piratería Audiovisual (Alianza), las empresas dueñas de los derechos de las transmisiones lograron desarticular una estructura con la que vienen luchando desde hace tiempo para combatir la pirtería.
El allanamiento en el Departamento Godoy Cruz, provincia de Mendoza, fue liderado por el fiscal de Cibercrimen Alejandro Musso, de la Unidad Fiscal Especializada en la Investigación de Ciberdelitos (UFEIC), con el apoyo de la Policía Federal y de la Ciudad Autónoma de Buenos Aires. Además, detuvieron a un joven de 23 años de Mendoza.
Fútbol Libre es uno de los sitios más populares para ver partidos de fútbol. Ante la proliferación de servicios de streaming, muchos fanáticos decidían no pagar múltiples plataformas e ir por la opción pirata que, a cambio de un triple clicjacking, permitía ver los partidos en alta calidad, aunque con delay (igual que las plataformas pagas).
El 3 de abril de este año, un partido de Boca Juniors por la Copa Sudamericana generó un revuelo interno en DirecTV, cuando directivos de Latinoamérica redoblaron sus esfuerzos para cortar estas transmisiones ilegales: el streaming pirata había marcado en su contador de viewers más de 3 millones de concurrentes. Desde entonces, los esfuerzos de la Alianza Contra la Piratería Audiovisual se hicieron más marcados para dar de baja los contenidos.
Esta semana llevaron adelante el operativo con éxito, aunque diversos usuarios advirtieron en redes sociales que la medida restrictiva se puede bypassear cambiando los DNS.
🧾 Filtración en Ticketmaster: hacen ingeniería inversa del sistema de boletos para replicarlos
Luego del ataque a Snowflake que impactó en Ticketmaster, hackers descubrieron cómo extraer información del sistema que maneja la parte “intransferible” de los tickets para conciertos, eventos deportivos y más. Las entradas digitales tienen un sistema de unicidad para evitar, precisamente, usuarios no autorizados (o validados en más de una ocasión). Según publicó esta semana 404 Media, “los scalpers lograron regenerar los tickets de Ticketmaster” y esto se descubrió a partir de una demanda presentada por AXS, otra empresa que vende entradas, en California.
La operación conjunta entre scalpers y hackers implica una ingeniería inversa para descubrir cómo manejan el sistema de tickets empresas como AXS y Ticketmaster para “regenerar” entradas a partir de tickets legítimos. En la demanda se acusa a los hackers de proveer servicios para ofrecer entradas que, en los hechos, no cuentan como contrabando sino que pueden ser consideradas legítimas, en tanto son generadas por el sistema y los lectores de códigos de barras no los identifican como falsos.
Explica 404:
Dos investigadores de seguridad con los que hemos hablado han hecho ingeniería inversa del modo en que Ticketmaster genera los códigos de barras de las entradas y han demostrado cómo los revendedores pueden generar ellos mismos entradas auténticas para los conciertos. Es probable que el sistema que funciona para Ticketmaster también funcione para las entradas de AXS, que utilizan "códigos de barras rotativos" similares que cambian cada pocos segundos.
El problema para el negocio es que los usuarios que compran entradas están llegando por sitios alternativos a los oficiales de Ticketmaster y AXS y, en rigor, tampoco tienen problemas en entrar a sus shows, en tanto los boletos son leídos como legítimos. Con el detalle de que el ticket no fue vendido por la entidad oficial y el dinero se lo está quedando un tercero no autorizado.
AXS reconoció que no entiende cómo lograron generar el sistema para replicar los tickets, pero lo interesante del caso es que este tipo de movimientos con tickets demuestran que las medidas anti-scalping que usan las compañías pueden ser bypasseadas y que esto puede derivar en un problema tanto para la industria como para los usuarios. En este caso, al menos, los compradores de entradas no se están viendo afectados.
A principios de la semana, Bleeping Computer reportó que se habían publicado casi 40 mil tickets para 150 conciertos y eventos, entre ellos, Pearl Jam, Phish, Tate McCrae y Foo Fighters. Ticketmaster había respondido que la información subida por ShinyHunters (el actor de amenazas) no se podía usar, a lo que el grupo respondió con la subida de 139 mil códigos de barra para shows de Taylor Swift, subiendo la demanda de la extorsión a medio millón de dólares.
Por otro lado, esta semana se supo que Snowflake, la empresa por la que empezó el breach que afectó vía cadena de suministro a Ticketmaster y Grupo Santander, permite ahora a administradores que hagan obligatorio el MFA.
Y Ticketmaster empezó a notificar individualmente a los usuarios que vieron sus datos comprometidos en la filtración.
🤖 Estados Unidos da de baja una botnet apuntada por fake news: RT
El Departamento de Estado de Estados Unidos comunicó esta semana que dio de baja una botnet de desinformación en Twitter que, acusan, pertenecía al medio ruso RT. EE.UU llevó a cabo una operación conjunta con agencias de seguridad de Países Bajos y Canadá.
Según explicaron, la red estaba conformada por 968 cuentas y era operada por el jefe de redacción del medio ruso en Moscú, “desde al menos 2022”.
La botnet puso en práctica varias estrategias para evitar ser descubierta, como hacer que los bots siguieran a grandes cuentas con más de 100.000 seguidores y usuarios con opiniones que coincidieran con sus puntos de vista políticos, utilizar direcciones IP proxy individuales para cada una y eludir las medidas de identificación de bots de X. Sin embargo, la granja de bots dejó pistas: registró sus 968 cuentas de Twitter a través de dos dominios de propiedad asociada a RT.
El caso es una pieza más que encaja con una denuncia casi permanente de Estados Unidos contra Rusia respecto de redes de desinformación, algo que no tiene a América Latina por fuera de la pelea. En noviembre de 2023, Estados Unidos denunció una “campaña de desinformación rusa” en Latinoamérica, apuntó contra una empresa que, decían, escribía “noticias pro-rusas” en medios de dudosa procedencia y hasta llegaron a señalar a un periodista.
“Hay actores conocidos en la región con el objetivo de lavar la imagen pro-rusa, los ‘temas de conversación del Kremlin’ y empujarlos a través de una red preexistente de periodistas independientes y personas influyentes”, habían explicado desde el Departamento de Estado de EE.UU. en este artículo que publiqué en Clarín.
El Kremlin había respondido a estas acusaciones, negando la versión de EE.UU: “Son los países del Occidente y sus empresas trasnacionales quienes poseen o controlan los principales medios de comunicación del mundo. Éstos nunca apreciaban mucho a Rusia pero después del inicio de la Operación Militar Especial comenzaron una campaña coordinada para desacreditar todo lo ruso con el objetivo final de cancelar no sólo la cultura de nuestro país sino también a la propia Rusia”.
La botnet que se dio de baja esta semana seguramente genere una respuesta del Kremlin.
👻 Falla grave en en Ghostscript
Una vulnerabilidad de ejecución de código remoto (RCE) fue descubierta esta semana en Ghostscript, una librería de conversión muy utilizada en sistemas basados en Linux, que viene preinstalada en muchas distribuciones y es usado por programas conocidos como ImageMagick, LibreOffice, GIMP, Inkscape y Scribus.
Registrado bajo el CVE-2024-29510, impacta las versiones 10.03.0 y anteriores, y permite a un atacante ejecutar comando usando el intérprete de Ghostscript luego de desactivar el sandbox -dSAFER, que bloquearía esta operación remota.
El bug fue descubierto y publicado por Codean Labs: "Esta vulnerabilidad tiene un impacto significativo en las aplicaciones web y otros servicios que ofrecen funcionalidades de conversión y previsualización de documentos, ya que a menudo utilizan Ghostscript en segundo plano. Recomendamos verificar si su solución (indirectamente) hace uso de Ghostscript y, en caso afirmativo, actualizarla a la última versión”.
Según detectó la empresa de seguridad, el bug fue visto explotado in the wild, usando archivos EPS (PostScript) camuflados como imágenes JPG.
🐴 “Reviven” Internet Explorer para un ataque RCE
Check Point Research publicó un reporte sobre un nuevo tipo de ataque en el cual se engaña al usuario con una versión de Internet Explorer que, en realidad, brinda permisos para ejecutar código remoto. Se trata de una extensión .url que, una vez cliqueada, “revive” al histórico navegador de Microsoft, que fue discontinuado a mediados de 2022.
Dentro de esta versión troyanizada de IE se esconde una extensión .hta maliciosa. Así contextualiza CPR este ataque:
No es raro que los threat actors utilicen archivos .url como vector de ataque inicial en sus campañas. […] Las muestras de archivos .url maliciosos que descubrimos podían remontarse desde enero de 2023 (hace más de un año) hasta el 13 de mayo de 2024 (hace unos días, en el momento de escribir estas líneas). Esto sugiere que los atacantes han estado utilizando estas técnicas de ataque durante bastante tiempo.
Una de las primeras y más básicas técnicas de mitigación que compartió CPR fue no abrir nada relacionado a IE, en tanto el navegador fue discontinuado “por problemas de seguridad”, algo que para Microsoft no es estrictamente cierto.
La compañía madre de Windows respondió: “Aunque IE ha sido proclamado ‘retirado y fuera de soporte’, técnicamente hablando, sigue formando parte del sistema operativo Windows y ‘no es intrínsecamente inseguro, ya que IE sigue siendo revisado en busca de vulnerabilidades de seguridad, y no debería haber vulnerabilidades explotables conocidas”.
En resumen, hay dos técnicas explotadas en este ataque: la primera tiene que ver con camuflar “mhtml” que permite al atacante llamar a Internet Explorer en lugar de Edge; la segunda, una que engaña a la víctima en abrir un PDF cuando, en realidad, está bajando y ejecutando una aplicación .hta.
🔗 Más info
Firefox actualiza a la versión 128 y arregla problemas de seguridad
Avast publica un decrypter para el ransowmare DoNex
Kaspersky identifica un nuevo APT: CloudSorcerer
GitLab advierte sobre un bug crítico que permite a atacantes correr pipelines
Microsoft arregla dos zero days
Citrix arregla una vulnerabilidad crítica en Netscaler
Google abre su monitor de breaches a todas las cuentas más allá de las que pagan Google One