Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

18>25
oct

⚡ TL;DR

Un tema técnico fue protagonista del mundo infosec esta semana: una vulnerabilidad crítica de Fortinet, una de las empresas de ciberseguridad más grandes del mundo. Se trata de una falla conocida como “FortiJump” que permite a un atacante tomar control y ejecutar código remoto (RCE).

En Argentina, se “reveló” la identidad de un hacker que empapeló la Ciudad de Buenos Aires y nos pedía “cuidarnos de las estafas bancarias”: se trata de la que quizás sea la campaña de concientización más grande en contra del fraude bancario. Era nada menos que Julio Ardita, uno de los referentes de la ciberseguridad local que se hizo famoso por hackear el Pentágono durante los años 90, ahora dando consejos desde el ICBC.

Todos los videos se pueden ver en este enlace y vale la pena compartirlos: la gran mayoría de las estafas son evitables si se tiene en cuenta lo más básico de la higiene digital.

De paso, para los más técnicos que estén en esta industria, Kaspersky publicó un reporte en profundidad con muchos detalles técnicos sobre Grandoreiro, uno de los troyanos bancarios más activos en América Latina (incluso después de su “disrupción”).

Hubo más novedades sobre el hackeo al Internet Archive, un recurso fundamental de la preservación web, que tuvo otro capítulo. De hecho, me enteré del tema porque un colega, Guillermo Crespi -que hace uno de los mejores podcasts en español, Modo Historia, y usa mucho el sitio para hacer research-, me mandó un mensaje para avisarme que le había llegado un correo del sitio donde el atacante se burlaba del hackeo de hace dos semanas.

Efectivamente, esta semana lograron breachear el servicio de correo. Lo bueno es que gran parte del sitio ya está online (como explicó uno de sus administradores en Instagram), aunque hay incertidumbre sobre si están subidos los contenidos que múltiples usuarios cargan alrededor de todo el mundo.

Una nota que no quiero dejar de recomendar: Andy Greenberg de Wired publicó la historia de un criptojusticiero que recuperó más de 240 millones de dólares de robos en bitcoin. Vale cada dólar de la suscripción que cobra Wired.

Por estas latitudes, dejo también una entrevista que hice con Emin Gün Sirer, CEO y cofundador de Ava Labs, de Avalanche, la popular blockchain que hizo una cumbre la semana pasada en el Konex, en la Ciudad de Buenos Aires. Hablamos bastante de seguridad, en momentos donde las criptoestafas son una tendencia en crecimiento.

Por último recorté una parte de una de la que, creo, fue de las mejores charlas de DEF CON 32, que subieron el fin de semana pasado. Cada vez es más interesante pensar la (buena) intersección entre hacking y periodismo: dejo el recorte, subtítulado (gracias

También recomiendo la de Joseph Cox (404Media) sobre su libro Dark Wire. En mi opinión, junto con la de Cory Doctorow, estas son las tres mejores charlas que se subieron hasta el momento en el canal de YouTube oficial de la conferencia.

En esta edición:

• 📰 Wall Street Journal y New York Post, vs. IA

• 💰 La SEC multa a Check Point y otras empresas cyber por no ser precisas con sus reportes sobre breaches

• 👾 Fortinet hace pública una vulnerabilidad de 9.8: “FortiJump”

• 💻 Miles de sitios de WordPress infectados con malware en plugins

• 🇰🇵 Kaspersky describe una nueva campaña de Lazarus con múltiples estrategias

⏰ Substack dice que leer este correo completo lleva 9 minutos

Dark News #108

Wall Street Journal y New York Post, vs. IA

News Corporation, propietaria del Wall Street Journal y New York Post, dos medios tradicionales de Estados Unidos, demandaron al motor de búsqueda IA Perplexity por violaciones de derechos de autor.

Por qué. Ambos medios acusan a la startup de inteligencia artificial de copiar contenidos con copyright y usarlos para generar respuestas a las consultas de los usuarios, llevándose el tráfico que originalmente iría a los medios. Esto afecta su modelo de negocio, basado en avisos publicitarios que monetizan por páginas vistas, visitantes únicos y otras métricas del mundo de las audiencias.

Precedente. En mayo de este año, el propietario del WSJ, News Corp, firmó un acuerdo con OpenAI por 250 millones de dólares, para compensar a la empresa de medios por el uso de los contenidos. WSJ y New York Post estarían buscando un acuerdo con la startup Perplexity, de ahí la demanda presentada en el distrito sur de Nueva York.

Contexto. La batalla entre medios de comunicación tradicionales --legacy media, como les dicen en Silicon Valley- y plataformas tech suma, así, otra batalla. El New York Times, que demandó a OpenAI, le envió también una notificación a Perplexity (un cease and desist).

La SEC multa a Check Point y otras empresas cyber por no ser precisas con sus reportes sobre SolarWinds

La Securities and Exchange Commission (SEC), autoridad que regula los mercados financieros de Estado Unidos, penalizó y multó a cuatro compañías de ciberseguridad por hacer reportes engañosos sobre el data breach de SolarWinds de 2019.

Las empresas. Las cuatro multadas son Check Point, (995.000 dólares), Mimecast, (990.000 dólares), Unisys, (4 millones de dólares) y Avaya, que pagará 1 millón de dólares. La SEC asegura que cometieron diferentes violaciones regulatorias que minimizaron el daño de los breaches en forma negligente.

Por qué las multan. Cada una tiene distintas acusaciones. Check Point, por ejemplo, es apuntada por la SEC por ser “genérica” en la descripción del breach a pesar de tener detalles. Unisys, la que pagará la multa más alta, “describió los riesgos como hipotéticos a pesar de ser directamente afectada por dos breaches relacionados a SolarWinds”.

Sanjay Wadhwa, director en funciones de la División de Cumplimiento de la SEC, acusó a las empresas de “dejar a los inversores en la oscuridad sobre el verdadero alcance de los incidentes [reportados]”.

Contexto. La SEC aplicó nuevas obligaciones para las empresas durante los últimos años, bajo una demanda de ser más transparentes no sólo con los inversores sino también con los usuarios.

Fortinet hace pública una vulnerabilidad de 9.8: “FortiJump”

Fortinet, uno de los vendors más grandes de la industria, confirmó que una falla de seguridad en FortiManager fue explotada por actores de amenazas durante meses. Conocida como “FortiJump”, es un RCE de 9.8.

Qué pasó. Desde el 13 de octubre, una vulnerabilidad en FortiManager, una herramienta para manejar el tráfico y los dispositivos de una red, empezó a habilitar un RCE en ciertas versiones. El especialista Kevin Beaumont explicó en Mastodon que la falla proviene de una configuración predeterminada de FortiManager que permite que dispositivos con números de serie desconocidos o no autorizados se registren en el panel de una organización y de ahí puedan ejecutar código.

Contexto. Los clientes afectados recurrieron a redes como Reddit y X para dar a conocer qué tipo de problemas les genera esta vulnerabilidad.

• El miércoles a última hora, Fortinet publicó un reporte explicando la vulnerabilidad, que quedó trackeada bajo el CVE-2024-47575 de 9.8.

• No es la primera vez que la empresa no hace pública una vulnerabilidad que está siendo explotada activamente por hackers sino hasta tiempo después.

• Mandiant ya publicó un reporte técnico, donde se explica que el bug viene desde al menos julio.

• CISA agregó el exploit a su lista de vulnerabilidades conocidas.

Miles de sitios de WordPress infectados con malware en plugins

WordPress, una de las plataformas sobre la que corren millones de sitios web en todo el mundo, comenzó a ser infectada esta semana mediante plugins que disparan mensajes falsos en Google Chrome, para engañar al usuario y que instale malware.

El malware. Según reportó GoDaddy a fines de la semana pasada, se trata de una variante de la campaña ClearFake, detectada en 2023, ahora identificada como ClicFix.

La infección se empezó a detectar en más de 6 mil sitios en distintas implementaciones de WordPress. Las implementaciones son las distintas versiones personalizadas del CMS (Content Managment System, publicador de contenidos), que son usadas desde blogs personales hasta corporaciones como el Washington Post, que tiene su propia instancia llamada Arc XP.

Por qué importa. WordPress es uno de los CMS más usados del mundo. Si bien “miles” de sitios es poco en relación a la proporción de páginas web que corren con este backend, los plugins infectados son un problema recurrente que afecta al normal funcionamiento de la web.

Kaspersky describe una nueva campaña de Lazarus con múltiples estrategias

Lazarus, el grupo APT que responde a los intereses de Norcorea, empezó a usar un sitio fake de un juego, cuentas de LinkedIn, un zero day de Chrome e imágenes generadas por inteligencia artificial en una nueva campaña para robar activos en criptomonedas.

El descubrimiento. Kaspersky publicó un reporte esta semana en el que describen una serie de explotaciones activas por parte del grupo:

• Juegos NFT: el sitio web detankzone se hace pasar por un MOBA basdo en finanzas descentralizadas (DeFi). La descarga del juego tenía un script oculto que se ejecutaba en el navegador Google Chrome del usuario, lanzando un zero day para infectar al usuario.

• Dos exploits de Chrome: el CVE-2024-4947 permite ejecutar código arbitrario en un sandbox a través de un sitio HTML especialmente diseñado para el ataque (Google lo hizo público en mayo) y un segundo exploit no identificado permite recolectar información en sistemas comprometidos para instalar payloads infectados, incluyendo un conocido backdoor llamado Manuscrypt.

• IA: A tono con la tendencia, también usan imágenes creadas por inteligencia artificial.

Contexto. Lazarus es uno de los grupos patrocinados por Estados más grandes del mundo. Sus ataques llegaron a diarios y noticieros de todo el mundo con el de Sony Pictures de 2014, el ransomware WannaCry (quizás el más famoso de todos) y un robo de 81 millones de dólares del Banco de Bangladesh. La campaña descrita por Kaspersky está activa desde febrero de este año y fue detectada en múltiples cuentas de redes sociales como Twitter (X).

Plus. Especialistas insisten en que estos robos de dinero se usan para financiar el programa nuclear de Corea del Norte. Con el hacker Mauro Eldritch dimos una charla en la Recon Village de DEF CON 31, el año pasado, contando un ataque detectado en América Latina atribuible a una división de Lazarus: Labyrinth Chollima.

🔓 Breaches y hacks

• Más de 6 mil sitios de Wordrpess hackeados para instalar infostealers vía plugins

• VMware parchea otra vez un RCE explotado en un concurso chino

• Roban 50 millones de dólares en cripto de la DeFi Radiant Capital y 4.7 millones de la DAO Tapioca

🔒 Ransomware

• Una farmacéutica en Francia fue atacada por ransomware

• “Not LockBit”: SentinelOne describe un ransom que opera con el código del conocido grupo

• Nuevas técnicas de Akira Ransomware, bajo la lupa

💣 Exploits y malware

• Vuelve Bumblebee, tras la disrupción de Europol

• RCE en Microsoft SharePoint: tres meses para parchear

• Nuevo exploit RCE en impresoras Xerox

🔍 Threat intel

• Reportes: Check Point, EAST [PDF], GuidePoint, Wordfence, ANY.RUN, Deloitte, Trustwave

• Descubren una cepa de ransomware: Crystal Rans0m

• Qualys publica un reporte en profundidad sobre el stealer Lumma

🛠️ Tools y updates

• La FIDO2 API de Android cambia de formato

• Samsung parchea un zero day

• Meta va a empezar a usar reconocimiento facial para recuperar cuentas robadas

📋 Privacidad y seguridad

• Descubren un nuevo bug de WhatsApp que filtra información sobre el sistema operativo del usuario

• WhatsApp va a empezar a encriptar las listas de contactos

• La app de mensajería Session se muda de Australia a Suiza por acoso policial contra uno de sus empleados

• Uber agrega verificación de usuarios: cómo funciona y qué beneficios tiene

Share