SecOps es un resumen semanal de noticias de seguridad informática. La selección de temas está curada por Juan Brodersen según estos criterios de edición.

20 al 27 de enero

🍯 Desmantelan el grupo de ransomware Hive

El FBI, junto a otras fuerzas de seguridad europeas, logró desmantelar a Hive, uno de los grupos de ransomware más grandes del mundo.

La noticia se empezó a gestar durante la tarde de este jueves, cuando el FBI incautó el dominio del grupo. Su blog, en la dark web, mostraba el siguiente mensaje:

Apenas unas horas más tarde, el fiscal general de los Estados Unidos, Merrick Garland, dio una conferencia de prensa para anunciar que el grupo había sido desmantelado.

El grupo era relativamente nuevo y Argentina estaba entre sus víctimas más frecuentes: en el último tiempo encriptó a la empresa Artear y a Telecom Empresas (ex Fibercorp), dos compañías del Grupo Clarín.

El FBI estima que Hive encriptó a más de 1.500 víctimas por unos 100 millones de dólares a sus víctimas. Era, junto con LockBit, una de las bandas más grandes de la actualidad.

Es probable que por esto las autoridades norteamericanas hayan dado tanta trascendencia al anuncio del desmantelamiento, como ocurrió con REvil en enero del año pasado.

Desmantelado el grupo, el código fuente del ransomware quedaría obsoleto, o bien podría ser tomado y actualizado por otro grupo cibercriminal (como pasó precisamente con REvil).

Por lo pronto, Europol tuiteó que además de incautar el sitio lograron identificar las llaves para desencriptar a las víctimas -el decrypter- y ya las compartió para que recuperen sus archivos.

Europol @Europol

🚨 Cybercriminals stung as HIVE #ransomware infrastructure shut down. 🌍 The international operation involved authorities from 13 countries. 🔓 Law enforcement identified the decryption keys & shared them with many victims. Details ➡️ europol.europa.eu/media-press/ne… #EMPACT

3:35 PM ∙ Jan 26, 2023

---

593Likes311Retweets

📉 Ransomware: menos rentable

Después de un período dorado (2020-2022), la rentabilidad del ransomware está bajando en todo el mundo y las víctimas se están negando a pagar los rescates para recuperar la información.

Así lo informa un estudio de Chainanalysis publicado esta semana, una empresa que analiza datos relacionados al blockchain (las transacciones con las bandas de ransomware se pagan en cripto).

Las ganancias cayeron de 766 millones de dólares a 457 YoY.

Las razones de esta caída son múltiples.

• La guerra en Ucrania relocalizó a muchos hackers en todo el mundo

• Las sanciones del Tesoro de los EE.UU. al lavado cripto

• La baja de las criptomonedas

• Menor propensión a caer en estafas

Dice el reporte:

“Encontramos en el pasado que las estafas de criptomonedas, por ejemplo, obtienen menos ingresos durante los mercados bajistas [bear market], probablemente porque los usuarios son más pesimistas y menos propensos a creer las promesas de una estafa de altos rendimientos en momentos en que los precios de los activos están bajando”

Vale aclarar que estos números son estimativos: no hay forma de tener una cifra exacta, en tanto las estimaciones se hacen a partir de las transacciones de organizaciones delictivas.

Pero sí logran marcar una tendencia.

🎮 Riot Games admite un hackeo y retrasa actualizaciones de League of Legends

Riot Games, desarrolladora de League of Legends y Valorant, reconoció un ataque de ingeniería social a sus sistemas.

La empresa dijo que varios sistemas en su entorno de desarrollo se habían visto comprometidos y que había afectado su capacidad para lanzar contenido nuevo.

Riot Games @riotgames

Earlier this week, systems in our development environment were compromised via a social engineering attack. We don’t have all the answers right now, but we wanted to communicate early and let you know there is no indication that player data or personal information was obtained.

9:30 PM ∙ Jan 20, 2023

---

10,231Likes677Retweets

El problema es que como se comprometió código fuente esto puede afectar la jugabilidad, facilitándole el trabajo a los cheaters.

“A decir verdad, cualquier exposición del código fuente puede aumentar la probabilidad de que surjan nuevos cheats. Desde el ataque, hemos estado trabajando para evaluar su impacto en el anti-cheat y estar preparados para implementar correcciones lo más rápido posible si es necesario”

Los cheaters, jugadores que hacen trampa modificando la arquitectura detrás del juego para tener ventajas, son un problema enorme para la compañía.

Los eSports tuvieron una ganancia de 1.384 millones de dólares en 2022 y proyectan un mercado de 1.866 para 2025 (Fuente: Statista).

Relacionado con el punto anterior, un dato interesante: la empresa aseguró que “de ninguna manera” va a pagar el rescate, lo cual confirma la tendencia marcada por Chainanalysis.

🪙 Lazarus y APT38, detrás del ataque a Horizon

En junio del año pasado el bridge de criptomonedas Horizon sufrió un robo de 100 millones de dólares en criptoactivos.

Esta semana, el FBI aseguró que el actor de amenazas fue Lazarus y APT38, dos grupos de ciberdelincuentes asociados a Corea del Norte.

El FBI emitió un comunicado. Un extracto:

“Los robos de criptomonedas y el lavado de activos de Corea del Norte se utilizan para apoyar los programas de misiles balísticos y armas de destrucción masiva de Corea del Norte"

Lazarus ya había sido apuntado por robar 625 millones en criptomonedas del bridge Robin, vinculado al juego NFT Axie Infinity.

🪟 Microsoft va a bloquear add-ins en Excel

Microsoft Excel es una de las herramientas más utilizadas del mundo. Por este motivo, es un blanco enorme para ciberataques.

Ahora la empresa publicó una hoja de ruta en la que advirtió que va a bloquear la ejecución de archivos add-ins (agregados, .XXL) dentro de las aplicaciones de Office.

“Tomamos esta decisión para combatir el creciente número de ataques de malware en estos meses recientes”

Office tiene 270 millones de usuarios activos diarios a nivel mundial. (Fuente: Statista)

🕵 Perfil: Vice Society

Trend Micro publicó esta semana un perfil de Vice Society, un grupo de ransomware que realizó varios ataques durante el año pasado.

En Argentina se hicieron eco por encriptar los datos del Senado de la Nación y luego publicar más de 30 mil archivos con información sensible.

Dato de color: la banda usa la estética del GTA, el segundo videojuego más vendido de la historia.

☁ 48% más ataques en la nube (CheckPoint)

La transformación digital viene con un costo: el crecimiento de la superficie de ataque.

CheckPoint Research detectó un aumento interanual del 48% en los ciberataques basados en la nube para 2022, como consecuencia del creciente traslado de las operaciones de las organizaciones a servicios cloud-based como AWS y Azure.

El mayor incremento se observó en Asia (+60%), seguida de Europa (+50%) y Norteamérica (+28%).

Además, los investigadores descubrieron que los cibercriminales están aprovechando los CVE más recientes registrados en los últimos dos años para atacar a través de la nube, a diferencia de lo que ocurre con los ataques locales.

Los expertos (no solo de CheckPoint) coinciden en que la clave para enfrentar este problema es tener controles de seguridad basados en Zero-trust: asumir que cualquiera, incluso los propios, pueden ser amenazas y restringir el acceso a los sistemas (privilegios).

Sobre este desafío habló esta semana Marcelo Felman, director de Ciberseguridad de Microsoft para América Latina.