La Universidad de Buenos Aires todavía sufre el ransomware de 2023 y los docentes tienen problemas técnicos
Se manejan con un sistema provisorio para recibos de sueldo, ransomware afecta a Claro Centroamérica y un hospital de niños en Chicago y DEF CON se muda después de 25 años.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
Envío desde Colorado Springs, Colorado (EE.UU.)
2>9 feb
⚡ TL;DR
Con distinto peso, en distintas regiones y múltiples sectores, el ransomware es el protagonista de febrero. Un ataque en particular llenó titulares de medios masivos de comunicación en Estados Unidos, justo donde estoy ahora: un ataque a un hospital de niños, que se autoatribuyó LockBit en su sitio en la dark web.
El escenario planteó el repudio desde diversos sectores no sólo de la opinión pública, sino de especialistas que siguen de cerca a las bandas de ransomware. El grupo, uno de los más prolíficos del momento, tiene reglas estrictas de no atacar infraestructura crítica de instituciones de salud.
A nivel local, la Universidad de Buenos Aires, que sufrió un ransomware a fines de 2023, sigue con problemas operativos y pude confirmar que los docentes están con dificultades para realizar gestiones con sus recibos de sueldo.
En el continente, Claro Latinoamérica también cayó ante un ransomware y millones de clientes tuvieron dificultades para conectarse a internet por la disrupción que ocasionó.
Las cifras de diversas compañías indican que los pagos están cayendo, es decir, que el negocio cibercriminal de encriptar archivos y extorsionar víctimas rinde menos. Sin embargo, los ataques siguen muy activos.
Por otro lado, DEF CON, la conferencia de hacking más grande del mundo, anunció que se muda del Caesars Forum al Las Vegas Convention Center, luego de 25 años de contrato. También se definió la temática de la convención.
Respecto al viaje IVLP que estoy haciendo por Estados Unidos, a mediados de semana visitamos la ciudad de Denver, donde tuvimos dos reuniones centradas en la Colorado Privacy Act, una ley que protege los derechos de los ciudadanos cuando usan servicios y plataformas online. Es, en relación al país, de lo más avanzado y similar a GDPR que tiene EE.UU., aunque aplica sólo para el estado de Colorado.
Ahora estoy unos días en Salt Lake City, Utah, donde coincido con el Superbowl, razón por la cual tendré que repasar (o, mejor dicho, aprender de cero) las reglas del fútbol americano. Todo una gran excusa para ir a un sports bar por unas cervezas y unas buffalo wings con el grupo.
Ah, y no, no hackearon millones de cepillos de dientes para hacer DDoS.
Leer este correo te va a llevar 13 minutos
Esta entrega cuenta con el apoyo de:
Bloka provee servicios de Security Operations Center-as-a-Service (SOCaaS) y Servicios de Seguridad Gestionados (MSS). Está conformado por un grupo de expertos en ciberseguridad y destacan una “seguridad continua, inteligente y adaptativa para empresas en Argentina, Uruguay, España y otras regiones”.
📖 La Universidad de Buenos Aires todavía sufre por el ransomware
La Universidad de Buenos Aires, que a mediados de diciembre de 2023 sufrió un ataque de ransomware, todavía no puede recuperarse del todo. Si bien la casa de estudios había podido parchear el problema para garantizar el cobro de los salarios y el funcionamiento de los sistemas para poder inscribirse a materias y gestionar recursos, todavía quedan dificultades producto de la irrupción en los sistemas que causó el ataque.
Según pudo saber Dark News, el sitio que utilizan los docentes para ver recibos de sueldos, bajo el área de recursos humanos, no está funcionando con normalidad. Esto juega un papel importante para quienes pagan impuestos relacionados a ganancias y otro tipo de trámites relacionados a estos comprobantes.
“Esperan solucionarlo en los próximos días, pero por el momento la única vía es resolver caso por caso enviando correos a las dependencias en las que uno trabaja”, dijo un docente a esta publicación.
Dark News se contactó con la UBA para pedir una declaración al respecto y la Universidad contestó casi de manera inmediata:
El portal de recursos humanos va a estar activo a fin de febrero y ahí se va a poder acceder como siempre a los recibos de sueldo. Mientras tanto, nos mandaron a todos un canal alternativo, que es un mail, para pedir puntualmente los recibos.
El ciberataque de ransomware contra la universidad interrumpió, la semana del 18 de diciembre de 2023, los sistemas que usan docentes y alumnos tanto para chequear notas como para inscribirse a materias (Guaraní).
Por aquel entonces, técnicos de sistemas empezaron a comentar que servidores del Rectorado estaban comprometidos y luego los docentes comenzaron a recibir correos electrónicos que hablaban de “problemas técnicos” que afectaban “los sistemas informáticos de la Universidad”. En la comunicación advertían la suspensión de la inscripción a cursos, la publicación de notas de exámenes finales y los pedidos de revisión de notas.
Esto causó un desastre que, afortunadamente, pudo ser contenido rápidamente luego del trabajo de especialistas que pudieron montar una alternativa para lo más urgente, aunque el problema de los sistemas afectados nunca se resolvió del todo.
La educación es un sector muy atacado por los ciberdelincuentes. Según el World Economic Forum, hasta la mitad de este año, el sector de la educación lidera la lista de ciberataques, seguido por instituciones gubernamentales o de gobierno y salud, en tercer lugar.
El fenómeno es mundial. “Los ataques a los centros de enseñanza universitaria en Estados Unidos han aumentado más de un 60% con respecto a 2022 y más de un 170% con respecto a 2021. No me sorprendería en absoluto que los ataques a los sectores de la educación en otros países también estuvieran aumentando”, había explicado Brett Callow, analista de amenazas de Emsisoft, cuando se hizo público el incidente.
“¿Por qué se ataca a las escuelas? Probablemente porque son objetivos relativamente fáciles y han demostrado estar dispuestos a pagar. Los ciberdelincuentes son previsibles. Si encuentran rentable un sector concreto, lo atacarán una y otra vez”, agregó el especialista.
Las dificultades que hoy enfrenta todavía la UBA suman un ladrillo más a la pared del enorme dolor de cabeza que implica un ciberataque de este tipo contra infraestructuras masivas como lo es la de una universidad nacional.
📡 Ransomware contra Claro en Centroamérica
Claro, uno de los operadores de telecomunicaciones más grandes de Centro y Sudamérica, reveló haber sido afectado por un ataque de ransomware. La compañía salió a aclarar la situación debido a que millones de usuarios comenzaron a experimentar problemas con el servicio durante la última semana.
El ataque, explican, fue detectado a partir de ciertas actividades anómalas, el 25 de enero de 2024. Según reconocen, se trató de un ransomware “en algunos equipos” y se encuentran en proceso de restablecimiento de los servicios de la compañía que es propiedad del multimillonario Carlos Slim.
La nota de rescate que empezó a circular en el ambiente implicaría que el ataque fue llevado a cabo por Trigona.
Por el momento se desconoce si impactó en Sudamérica. Los países afectados son, al menos, El Salvador, Guatemala, Nicaragua, Costa Rica, Honduras y Panamá. La empresa tiene más de 20 millones de usuarios en Latinoamérica.
Algunas entidades reguladoras de la región ya apuntaron contra la empresa, como Telcor -ente regulador de telecomunicaciones en Nicaragua- exigiendo explicaciones sobre la calidad del servicio y sus sistemas de seguridad, y no descartan multas.
🏥 Segundo ciberataque contra un hospital desata un caos en Chicago
Por segunda vez en una semana, un grupo de ciberdelincuentes atacó el Lurie Children's Hospital, un hospital de niños de Chicago, y esta vez provocó una importante interrupción en las operaciones, según explicó la institución en un comunicado oficial.
El ataque llenó titulares en medios de Estados Unidos y saltó muy rápido el cerco el nicho infosec. La institución es uno de los hospitales pediátricos más importantes del país y atiende a más de 200.000 niños al año. Abarca terapia intensiva y cuenta con 360 camas, 1.665 médicos que cubren 70 subespecialidades y 4.000 empleados y personal médico. De hecho, es más que un hospital: es una de las redes pediátricas más grandes de Estados Unidos.
Por el ataque, el hospital tuvo que desconectar los sistemas mientras hacía el análisis forense, esta semana,junto con expertos externos y agencias policiales.
Los servicios de correo electrónico, teléfono e Internet no están disponibles en el hospital y, según varios medios locales, los pacientes no pudieron asistir a las citas programadas durante ocho días y contando. Por todo el caos que causó el ataque en los sistemas, se están manejando de manera analógica, con papel y lapiceras, además de atender sólo emergencias y por orden de llegada.
El ataque fue publicado por el grupo de ransomware LockBit en su DLS (Dedicated Leak Site), bajo un pedido de 900 mil dólares a cambio de no publicar la información.
Esto llamó la atención de diversos analistas, debido a que el grupo explicita entre las reglas para sus afiliados que está prohibido atacar infraestructura de hospitales:
De hecho, en enero de 2023, un afiliado de LockBit encriptó información de un hospital de niños en Toronto y, tras hacerse público, devolvió la información y baneó a quien llevó adelante el ataque.
🪪 OnlyFake: alerta por un sitio para crear identidades por 15 dólares
Un sitio web clandestino llamado OnlyFake utiliza redes neuronales de inteligencia artificial para generar fotos de documentos de identidad falsos por sólo 15 dólares. El output de la IA es tan realista que generó revuelo esta semana en redes sociales, donde especialistas comenzaron a advertir los peligros que esto puede empezar a generar, desde el fraude bancario hasta el blanqueo de capitales.
La investigación se puede leer en 404 Media, donde el periodista Joseph Cox creó una licencia de conducir de California con su identidad y luego usó el sistema para crear una identidad del personaje de ficción John Wick, radicado en distintas partes del mundo, incluso en Argentina, con su cédula de identidad. Escribió Cox, luego de contactar al CTO de la empresa:
OKX utiliza una empresa llamada Jumio para una parte de su proceso de verificación de identidad. Stuart Wells, CTO de Jumio, dijo en una declaración enviada por correo electrónico que el "proceso avanzado de verificación de identidad de la empresa utiliza herramientas de escaneo de documentos móviles o de cámara web que permiten a los equipos de seguridad cotejar con fuentes de confianza y mitigar el número de perfiles falsos y actividades maliciosas. En última instancia, estas medidas de verificación de identidad añadidas protegen mejor a los usuarios al disuadir los intentos de fraude desde la fase de incorporación".
Por supuesto, no respondieron comentarios sobre la creación de identidades falsificadas:
Cuando 404 Media explicó entonces que habíamos superado con éxito el proceso de verificación de identidad utilizando un DNI falso generado, Jumio dijo que solo podía hacer comentarios sobre la propia tecnología de Jumio, y no sobre los procesos de OKX.
🔓 Ivanti: tres vulnerabilidades explotadas masivamente
Una nueva vulnerabilidad en la VPN Ivanti está bajo explotación masiva por parte de múltiples atacantes. Se suma así a dos exploits anteriores, generando una diversificación que implica tres CVE de gravedad, al punto que la Cybersecurity & Infrastructure Security Agency (CISA) ordenó a todas las agencias federales que desconecten todas las aplicaciones de Ivanti Connect Secure y Policy Secure VPN, que son los productos afectados..
La nueva vulnerabilidad, identificada como CVE-2024-21893, constituye un “server-side request forgery (SSRF)” y fue revelada el 22 de enero, junto con otra vulnerabilidad que hasta ahora no mostró signos de haber sido explotada. El miércoles pasado, nueve días después, Ivanti confirmó que esta vuln. estaba bajo explotación activa y que salió a la luz cuando las otras dos ya estaban corriendo.
Por esto, Ivanti tomó acciones para mitigar las dos vulnerabilidades el 11 de enero y lanzó un parche, la semana pasada. Pero para el domingo pasado, los ataques dirigidos a CVE-2024-21893 se habían multiplicado, desde lo que Ivanti dijo que era un "pequeño número de clientes" hasta una base masiva de usuarios, según mostró una investigación de la organización de seguridad Shadowserver.
Las VPN son blancos muy buscados por los atacantes, en tanto constituyen un acceso a redes privadas y, si son comprometidas, pueden habilitar accesos a sectores más sensibles dentro de la red.
☠ DEF CON 32 define temática y cambia de sede después de 25 años
DEF CON, la conferencia de hacking más grande del mundo, cambió de sede después de 25 años en el Caesars Forum: seguirá siendo en la ciudad de Las Vegas, en Nevada, pero en el Las Vegas Convention Center.
El nuevo lugar constituye uno de los centros de convenciones más grandes del mundo, con cerca de 230 mil metros cuadrados, y es famoso por alojar el CES, Consumer Electronics Show, la exposición de tecnología de consumo más concurrida del mundo tech.
La cuenta oficial de X Twitter de DEF CON publicó la información con un link a un posteo de Jeff Moss, The Dark Tangent, fundador y organizador de DEF CON, quien contó que después de 25 años, Caesars Forum decidió revocar el contrato para llevar a cabo la convención:
Los hackers somos flexibles. Encontramos soluciones. Necesitamos un espacio que pueda alojar un evento de nuestro tamaño y lo suficientemente adaptable para alojar nuestro contenido. Necesitamos un lugar próximo a las fechas anunciadas y con muy poca antelación... No es poca cosa. Inmediatamente enviamos un equipo a Las Vegas. Se recorrieron pasillos. Se hicieron reuniones. Se estrecharon manos y se sopesaron opciones. Cuando el humo se disipó, el campo se redujo a una opción obvia y empezamos a forjar los acuerdos necesarios.
¡W00T! ¡DEF CON NO SE CANCELA!
DEF CON 32 seguirá siendo del 8 al 11 de agosto de 2024, pero ahora se celebrará en el Centro de Convenciones de Las Vegas (LVCC) con talleres y formación en el Sahara.
Además, esta misma semana se anunció la temática de la convención. también en un posteo del foro, explicó Moss:
Internet es nuestro bien común global y dependemos de él de formas que no podíamos prever hace unas décadas. Por desgracia, Internet se nos ha ido de las manos y esto es cada vez más evidente.
Hay muchas razones para esto. Los monopolios tecnológicos haciendo cosas de monopolios tecnológicos es una de las principales. En nombre de la eficiencia y el control, Internet se ha centralizado y se ha vuelto menos resistente. Otra razón es el distanciamiento de los protocolos abiertos y los estándares públicos.
Llega un momento en que los especuladores exigen que se les pague y las plataformas en torno a las que hemos construido pequeños universos empiezan a eliminar servicios y a subir los precios. Las aplicaciones empiezan a entrometerse más entre nosotros, aprovechando nuestros datos a cambio de dinero. Términos de servicio y actualizaciones de patrones oscuros. Todo empeora rápidamente.
The Dark Tangent cierra el posteo recordando la exposición de Cory Doctorow, uno de los críticos tech contemporáneos más prolíficos, y su concepto de enshitificación de las plataformas.
Durante el año pasado tuve la posibilidad de entrevistar a Doctorow por uno de sus últimos libros, y me parece una buena forma de cerrar esta entrega recordando algunos de los conceptos que arrojó. Se puede leer a continuación:
🔗 Más info
WhatsApp confirma la interoperabilidad con Telegram
Google afirma que proveedores de spyware están detrás de la mayoría de los zero-days que reporta
Un trabajador financiero cae en una ciberestafa con un deepfake y pierde 25 millones de dólares
Reino Unido y otros partners lanzan una nueva advertencia sobre infraestructura crítica
Clorox, compañía de productos de limpieza, sufrió un ransomware y reporta (SEC) haber perdido 49 millones de dólares
La directora de CISA declaró ante el Congreso con detalles de Volt Typhoon