Cientos de clientes afectados por el ransomware contra Tigo Paraguay: qué se sabe del ataque contra la telco
Qué hay detrás de "Black Hunt", se conoció la identidad del infiltrado que saboteó Stuxnet, roban la cuenta de X de Abuelas de Plaza de Mayo y de la SEC en EE.UU. para publicitar cripto.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
5>12
ene
⚡ TL;DR
La segunda semana de enero de 2024 estuvo signada por un ataque de ransomware de peso contra la división de Paraguay de Tigo, compañía de telecomunicaciones que provee internet, telefonía, medios de pago y servicios en la nube para empresas. Esta parte del negocio (B2B) fue la afectada por el incidente que, estiman, alcanzó cerca de 300 empresas.
El caso reavivó la discusión por la comunicación de los incidentes, en tanto Tigo negó las versiones sobre ransomware que confirmaron analistas. Y, además, puso en el centro al que sería un grupo llamado “Black Hunt” que, por su forma de operar, despertó sospechas sobre el nivel de profesionalidad del threat actor.
A nivel global, hubo un aluvión de robo de cuentas de Twitter (no me acostumbro a decirle X) que afectó a entidades de peso como la Securities and Exchange Commission (SEC) de EE.UU y anticipó una importante noticia en mundo cripto, lo que valió que el titular, Gary Gensler, tuviera que salir a aclarar el hackeo. Hubo una suerte de epidemia de compromiso de cuentas, que incluso desbordó a nivel local en Argentina con el robo de la cuenta de Abuelas de Plaza de Mayo.
En Brasil, revelaron un data leak que podría exponer datos de la población entera.
Una noticia que revivió un tema histórico saltó el cerco de los titulares en medios de nicho: se identificó al infiltrado que depositó el malware Stuxnet en una central nuclear de Irán. La información se conocía a medias desde 2019, cuando Kim Zetter, periodista que publicó un libro dedicado al caso (Countdown To Zero Day, disponible ya saben dónde 🤖), habló de un infiltrado neerlandés en Yahoo News, pero todavía “no se conocía su nombre”.
Cuento una última novedad, en este caso personal, porque va a incidir en la regularidad de esta publicación y porque hace a los temas que se tratan aquí. El año pasado apliqué a una beca International Visitor Leadership Program (IVLP) del Departamento de Estado. La gané y, en dos semanas y media viajo, a distintas ciudades de Estados Unidos para participar del programa Promoting Cybersecurity con 18 aplicantes de distintas partes del mundo.
Ayer tuve la reunión preliminar en la embajada norteamericana y advirtieron que el programa es intenso. El viaje es entre el 26 de enero y el 17 de febrero. No tengo del todo claro qué cantidad de tiempo tendré para hacer los envíos semanales.
El plan será seguir publicando como siempre, aunque no descarto hacer un envío quincenal si la agenda es apretada.
En tal caso, más allá de esto, contaré lo que pueda de las reuniones que se lleven a cabo, ya que de antemano aclararon que son todas off the record y esto podría ser una limitación a la hora de hablar del contenido, aunque no así de los lineamientos generales del programa y, sobre todo, qué voy a hacer allá durante las tres semanas.
Leer este correo te va a llevar 12 minutos
Esta entrega cuenta con el apoyo de:
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
📡 Tigo sufre un ransomware: qué se sabe (y qué no)
La empresa de telecomunicaciones Tigo Business Paraguay dio a conocer “un incidente de seguridad" en su infraestructura que golpeó el suministro de "algunos servicios específicos a un grupo limitado de clientes" corporativos. Si bien no lo confirmó, fue un ataque de ransomware.
Tigo emitió un comunicado en el que reconocen que se afectó la infraestructura como servicio de Tigo Paraguay, minimizando el hecho y con un tono particular: afirman que cualquier información no provista por la propia empresa “no debería ser tenida en cuenta por ser falsa”. Esto es, intentaron desmentir las versiones que circularon sobre el ransomware.
La empresa aseguró que servicios clave como internet, telefonía y la plataforma de pagos Tigo Money no se vieron afectados por el incidente, pero sí se vieron alcanzadas empresas que usan los servicios en la nube que provee la compañía.
El principal problema es que el comunicado de prensa no es específico respecto del alcance que, por lo que circuló, es considerable: se habla de al menos 300 compañías en Paraguay, lo que tendría un desborde hacia otras empresas.
Dark News se contactó con Germán Fernández, Líder de Threat Intel en CronUp Ciberseguridad, para averiguar qué se sabe en torno a las versiones del posible actor de amenazas, que trascendió bajo el nombre de “Black Hunt”.
No estoy muy al tanto de las últimas campañas de Black Hunt, pero que utilicen correos Gmail ya es raro, quizás lo hacen en ataques muy dirigidos. Tampoco tienen sitio en la Dark Web, canal de Telegram o foro, por ejemplo. Hasta el momento, no parece ser una operación muy seria. Lo único que sé es que tenían una versión 1 y ahora están en la 2, al menos parecería haber un intento de avance en términos de desarrollo.
Una fuente involucrada con un cliente afectado me confirmó, sin embargo, que la información que circula sobre este actor de amenazas no es congruente con la evidencia recolectada:
Una versión apuntaba a que pareciera ser Phobos, que es un commodity ransomware. Esto significa que podría ser un chico que compró un ransomware en una página web que dice cuál es la extensión, cuál es la key y listo. No hay leak site, nada. Pero hay otro tema: Phobos es un ransomware de Windows y acá encriptaron máquinas virtuales de VMware, así que es probable que hayan usado un derivado del leak de Babuk o Hello Kitty, que son ESXi.
Así, según trascendió, la nota de ransom de “Black Hunt” sería la pantalla que vieron los equipos afectados de Tigo cuando los archivos fueron encriptados, “lo cual no tiene nada que ver porque es de Windows y esto era VMware”, insistió esta fuente en off the record.
Esto mismo señaló Fernández en Linkedin: “La muestra adjunta no posee capacidad de exfiltración (esto también podría realizarse con otras herramientas), cambia la extensión de los archivos encriptados a algo como "[id-victima].[email-atacante].Hunt2" y la nota incluye un par de correos Gmail y una dirección .onion inválida”.
Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, complementó con información técnica, en diálogo con esta publicación:
Black Hunt aprovecha herramientas propias de Windows como wevtutil (visor y editor de registros de eventos del sistema) para borrar rastros de la infección; también hace uso de vssadmin (administrador de copias instantáneas del sistema), wbadmin (administrador de backups) y fsutil (utilidad de administración de volúmenes) para eliminar las Shadow Volume Copies, el catálogo de respaldos y los registros (journals) de volúmenes NTFS respectivamente, impidiendo la recuperación de los datos de la víctima. Del mismo modo y utilizando herramientas incluidas en el sistema, restringe otras características como Windows Defender, Restaurar Sistema y Tareas Programadas.
Por otro lado, la Dirección General de Tecnologías de la Información y Comunicación (Digetic) de las Fuerzas Militares emitió mediante un comunicado “una alerta oficial a sus instituciones con relación a posibles efectos que puedan ser causados por una infección de ransomware (programa de secuestro)”.
El sector de las telecomunicaciones ha sido blanco de ciberataques en diversas ocasiones en América Latina. A fines de 2022, Telecom Empresas (Argentina) fue afectado por el grupo -ahora desmantelado- Hive. Este año, Comcast, en Estados Unidos, inundó titulares de todos los medios hace unas tres semanas.
🏭 Quién saboteó Stuxnet
Un equipo de periodistas de Países Bajos reveló la identidad del infiltrado que ayudó a Israel y Estados Unidos a hacer el deploy del worm Stuxnet en una central nuclear de Natanz, en Irán.
La investigación de De Volkskrant, que incluyó entrevistas con decenas de personas, encontró que el AIVD, el servicio general de inteligencia y seguridad de Países Bajos reclutó a Erik van Sabben, un ciudadano holandés de 36 años que trabajaba en una empresa de transporte pesado en Dubai.
Hace unos años, el medio reveló que los servicios de inteligencia holandeses AIVD y MIVD habían reclutado al infiltrado para esta operación de sabotaje. Pero en ese momento se creía que se trataba de un ingeniero iraní. Mientras tanto, el diario siguió investigando el asunto y habló con implicados, entre ellos 19 empleados de la AIVD y del MIVD.
Según las fuentes Volkskrant, Van Sabben se infiltró en el complejo nuclear subterráneo de la ciudad de Natanz e instaló equipos infectados con el sofisticado virus Stuxnet.
Según el periódico, el desarrollo del software costó más de mil millones de dólares y causó la interrupción de un número considerable de centrifugadoras nucleares, lo que retrasó el programa nuclear de Irán varios años.
Van Sabben abandonó inmediatamente Irán después de sabotear con éxito el programa nuclear del país, concluyeron los investigadores. Murió dos semanas después en un accidente de motocicleta cerca de su casa en Dubai.
Nada indica que se haya cometido un crimen, afirmó el Volkskrant.
Stuxnet es, quizás, la ciberarma más conocida del mundo, y un caso de estudio por la complejidad del attack chain que generaba en los sistemas afectados, además de su importancia geopolítica.
🪙 Aluvión de robo de cuentas: de Abuelas de Plaza de Mayo a la SEC
El robo de cuentas oficiales de Twitter fue noticia en diversos frentes esta semana.
Por un lado, la cuenta de Twitter (X) de Abuelas de Plaza de Mayo, organización histórica de derechos humanos en Argentina, fue comprometida el miércoles por la tarde. No sólo intervinieron su avatar, sino que también cambiaron su handle a “Port3Networks_”.
Dark News pudo saber que la institución se contactó con relaciones públicas de Edelman Global Advisory, que gestiona cuentas relacionadas a asuntos públicos, y pudo solicitarle a X la gestión para recuperar la cuenta. El tema estaría encamindo, aunque no se sabe cuánto puede demorar en volver a la normalidad.
El dato de la gestión no es menor, ya que Twitter es reconocido mundialmente por tener poca o nulas respuestas a la prensa: cualquier periodista que envíe un mail al mail oficial de comunicaciones de la empresa, recibirá un auto-reply con el emoji de caca.
En Argentina, la empresa tuvo representación local a través de una agencia, pero actualmente ya no tiene: no hay manera de hacerles consultas de manera formal ya que no hay operaciones (tampoco en Brasil).
Esto puede llegar a ser un problema no sólo local, debido al incremento de robo de cuentas que hubo las últimas semanas en la red social, algo que advirtieron varios analistas y que tuvo como principal protagonista a la SEC de Estados Unidos.
🏦 La SEC denuncia un “account takeover”
La cuenta Twitter (X) de la Comisión del Mercado de Valores de los Estados Unidos (SEC, por sus siglas en inglés) fue comprometida el martes de esta semana, información que fue confirmada por el titular mismo de la entidad, Gary Gensler.
Durante el breve período que duró el account takeover, el intruso envió un tuit en el que afirmaba que la comisión había otorgado la aprobación para que los fondos cotizados en bolsa (ETF) de bitcoin cotizaran en las bolsas de valores nacionales.
Esto obligó a Gensler a publicar un tuit aclarando la situación: “La cuenta de Twitter SECGov fue comprometida y se publicó un tweet no autorizado. La SEC no ha aprobado la cotización y comercialización de productos negociados en bolsa de bitcoins al contado”.
Por el tuit apócrifo, el precio de la criptomoneda se disparó por un corto período de tiempo: en los menos de 30 minutos que duró el compromiso de cuenta, llegó a 48.000 dólares tras cotizar cerca de los 46.500 el martes. Tras la declaración de Gensler, bajó a 46.000. Al otro día, la SEC sí emitió la autorización para los ETF de Bitcoin al contado.
En este caso, Twitter (X) culpó a la SEC por el robo de identidad: según publicó la propia red social, “no tenían autenticación multifactor al momento del compromiso de la cuenta” y se desligó de toda responsabilidad.
El caso se suma a una preocupante lista que empezó a engrosarse desde la semana pasada, cuando una plataforma de criptomonedas robó la cuenta de Twitter de la empresa de ciberseguridad Mandiant, propiedad de Google, un senador canadiense perdió la suya en manos de una estafa, y durante el fin de semana a Zack Polanski, líder adjunto del Partido Verde del Reino Unido, también perdió su acceso.
En diciembre, dos investigadores descubrieron vulnerabilidades en Twitter que el equipo del sitio de redes sociales no abordó durante semanas.
Reuters recogió este miércoles declaraciones de diversos analistas que advirtieron sobre malas prácticas de seguridad de X, aunque en todos los casos reportados no tenían segundo factor de autenticación activo.
🥷 Ranking de grupos de ransomware de diciembre
Diversas empresas de ciberseguridad están publicando información sobre los grupos de ransomware más activos de diciembre de 2023. Según telemetría de SOS Intel, LockBit lideró el ranking con amplio margen, seguido por Play y Black Cat (ALPHV).
“En el período del informe, SOS Intelligence ha identificado 373 casos de ataques de ransomware, registrados a través de la publicación de detalles de las víctimas y datos en sitios de blogs de ransomware accesibles a través de Tor”, explicaron.
En cuanto al modelo predominante, el Ransomware-as-a-Service (RaaS) dominó la escena y LockBit se quedó con un 22% del market share. 8base, AlphV y Play “se mantuvieron significativamente activos”, pero también aparecieron este mes grupos activos como Hunters (RaaS), Cactus (RaaS) y Dragonforce (en este enlace de Dark News, TTPs de este grupo).
Otro grupo que captó la atención de los analistas para seguir de cerca es Warewolves:
Se ha observado que este grupo está aumentando su nivel de ataques. Parece relativamente nuevo, pero ha sido responsabilizado por un atentado en 2022 contra la Compañía Eléctrica de Ghana, que provocó importantes cortes de electricidad. Su nivel de actividad queda en duda por el hecho de que varias de sus víctimas también aparecen en el sitio web de LockBit. El ransomware utilizado es una versión de dominio público de Lockbit3, mientras que sus ataques hacen uso de herramientas filtradas del grupo Conti. Esto parece indicar que el grupo era anteriormente un afiliado de LockBit.
En cuanto a los países más atacados, la telemetría de SOS Intel registra a los Estados Unidos en el podio, seguidos por Canadá, Francia, Alemania, Italia y el Reino Unido. Y apuntan: “Como miembros del G7, estos países tienen economías fuertes y constituyen objetivos lucrativos para los actores de amenazas” que, señalan, tienen la “mentalidad financiera” de una empresa.
Manufacturas, construcción e ingeniería, IT y tecnología fueron los sectores más atacados.
El informe completo se puede leer en este enlace.
🔗 Más info
Revelan una nueva estafa de phishing de Anses
Android parchea 58 vulnerabilidades
Un ciudadano nigeriano fue condenado a 10 años de prisión por estafar ancianos
Trend Micro localiza una campaña que usa un loader similar a Qakbot
Detienen a un developer de ransomware en Países Bajos (Avast y Cisco Talos)
Detienen al autor de una estafa de 20 millones en coinbase
Fortiguard Labs está trackeando una campaña de malware en YouTube
Publican un research sobre la superficie de ataque de Counter Strike: Global Offensive
150 mil sitios de Wordpress son vulnerables por un plugin