4 dic 2024

Confiscan el servicio de chat cifrado Matrix después de espiar a criminales

Una operación policial internacional denominada "Operación Passionflower" ha cerrado MATRIX, una plataforma de mensajería cifrada utilizada por ciberdelincuentes para coordinar actividades ilegales mientras evaden a la policía.

NO CONFUNDIR: MATRIX es una entidad diferente del protocolo de comunicaciones seguro, descentralizado (matrix.org), de código abierto y en tiempo real con el mismo nombre, cuyo uso es perfectamente legal.

La operación se llevó a cabo en toda Europa, incluidos Francia, los Países Bajos, Italia, Lituania, España y Alemania, y fue coordinada por Europol y Eurojust.

La policía rastreó a MATRIX después de recuperar el teléfono de un tirador que intentó asesinar al periodista Peter R. de Vries en julio de 2021. Después de analizar el teléfono, descubrieron que estaba personalizado para conectarse a un servicio de mensajería cifrada llamado Matrix.

Un equipo de investigación conjunto (JIT) entre las autoridades holandesas y francesas permitió a la policía monitorear e interceptar 2,3 millones de mensajes en 33 idiomas diferentes enviados a través de los dispositivos. Sin embargo, no se proporcionaron detalles técnicos sobre cómo podrían hacerlo.

"Durante tres meses, las autoridades pudieron controlar los mensajes de posibles delincuentes, que ahora se utilizarán para apoyar otras investigaciones", se lee en un comunicado de Europol. "Durante una operación coordinada con el apoyo de Eurojust y Europol, el servicio de mensajería fue desconectado por las autoridades holandesas y francesas y las acciones de seguimiento fueron ejecutadas por sus homólogos italianos, lituanos y españoles".

Los 40 servidores de MATRIX repartidos por toda Europa facilitaron las comunicaciones de al menos 8.000 cuentas de usuarios, que pagaron entre 1.350 y 1.700 dólares en criptomonedas por un dispositivo basado en Google Pixel y una suscripción de seis meses al servicio instalado en el teléfono.

  • MATRIX también se vendió bajo los nombres 'Mactrix', 'Totalsec', 'X-quantum' y 'Q-safe', pero todos utilizaban la misma infraestructura.
  • MATRIX también ofrecía la posibilidad de realizar videollamadas cifradas, realizar un seguimiento de las transacciones y navegar por Internet de forma anónima.

Las fuerzas de seguridad llevaron a cabo redadas y registros simultáneos en cuatro países, lo que dio como resultado el cierre de 40 servidores en Francia y Alemania y el arresto de cinco sospechosos en España y Francia.

Se sospecha que uno de los arrestados, un lituano de 52 años, es el propietario y operador principal de MATRIX. Las autoridades también han incautado 970 teléfonos encriptados, 145.000 euros (152.500 dólares) en efectivo, 500.000 euros (525.000 dólares) en criptomonedas y cuatro vehículos.

El cartel de incautación publicado en el sitio web de MATRIX advierte a los usuarios del servicio que sus comunicaciones han sido expuestas y que la investigación continuará.

En un comunicado independiente, la policía holandesa señaló que todos los usuarios de MATRIX que eligieron el servicio por su privacidad y anonimato y no se involucraron en actividades delictivas deben enviar un correo electrónico a [email protected] para solicitar una exención de las investigaciones.

El desmantelamiento de MATRIX se produce a pesar de la sofisticación técnica de sus operadores y la creencia de que era superior a los servicios telefónicos encriptados desmantelados anteriormente.

Sin embargo, operaciones policiales anteriores que desmantelaron servicios telefónicos encriptados similares, como Ghost, EncroChat, Exclu y Sky ECC, muestran que una vez que las fuerzas del orden conocen su infraestructura, pueden reunir evidencia significativa de actos delictivos al monitorear los mensajes interceptados o a través de servidores confiscados.

Esta evidencia ha llevado al arresto de miles de traficantes de drogas, traficantes de armas, delincuentes organizados, asesinos y blanqueadores de dinero.

Fuente: BC

3 dic 2024

Ransomware FOG activo en América Latina 🫣

El ransomware Fog surgió en abril de 2024 con operaciones dirigidas a sistemas Windows y Linux. Fog es una operación de extorsión de múltiples frentes que aprovecha un Dedicated Leak Sites (DLS). basado en TOR para enumerar a las víctimas y alojar datos de quienes se niegan a cumplir con sus demandas de rescate.

Nos referimos a Fog como una variante de ransomware en lugar de un grupo para distinguir entre las entidades responsables de crear el software de cifrado y las que realizan los ataques prácticos contra las víctimas. Esta es una distinción fundamental porque los grupos de ransomware a veces proyectan una imagen de ser un grupo singular cuando, de hecho, están compuestos por grupos afiliados independientes. En este momento, se desconoce la estructura organizativa del grupo o grupos responsables de llevar a cabo ataques que implementan el ransomware Fog.

Los ataques del ransomware Fog se han centrado principalmente en los sectores de la educación, el ocio, los viajes y la fabricación y, en Argentina a sectores farmacéutico y médico. Los ataques se dirigían principalmente a entidades de los Estados Unidos, aunque no hay duda que también han afectado a entidades fuera de los Estados Unidos y en América Latina.

¿Cómo funciona el ransomware Fog?

Los actores de amenazas Fog dependen en gran medida de la explotación de aplicaciones conocidas y vulnerables. Los operadores generalmente logran el acceso inicial mediante la compra de credenciales comprometidas de un Agente de Acceso Inicial (IAB). Los operadores aprovecharán cuentas comprometidas y/o compradas en el mercado negro para establecer un punto de apoyo en el entorno y luego se mueven lateralmente de manera metódica.

Existen variantes del ransomware Fog para plataformas Windows y Linux. Las variantes con sabor a Linux incluyen objetivos específicos ajustados para entornos virtuales (por ejemplo, archivos VMSD y VMDK). Las cargas útiles Fog también intentarán terminar varios procesos asociados con estos entornos virtualizados.

Al realizar el cifrado, se añaden las extensiones ".fog", ".Fog" o ".FLOCKED" a los archivos afectados.

Las variantes de Fog para Windows intentan eliminar las instantáneas de volumen a través de vssadmin.exe. Además, las versiones de Fog para Windows incluyen una sección de configuración basada en JSON. Los operadores pueden personalizar la extensión adjunta a los archivos cifrados junto con la configuración del nombre de la nota de rescate, la terminación del proceso o servicio y la clave pública RSA que se incorporará para el uso del cifrado.

Las notas de rescate de Fog se escriben en cada ubicación que contiene archivos cifrados como "readme.txt". La nota indica a las víctimas que se comuniquen con los atacantes a través de su portal de víctimas basado en TOR.

Acceso a las redes comprometidas y robo de datos

La evidencia forense indica que los actores de amenazas pudieron acceder a los entornos de las víctimas aprovechando las credenciales de VPN comprometidas. En particular, el acceso remoto se produjo a través de dos proveedores de puerta de enlace de VPN independientes.

En uno de los casos, se observó actividad de pass-the-hash contra cuentas de administrador que luego se usaron para establecer conexiones RDP a servidores Windows que ejecutaban Hyper-V y Veeam. En otro caso, se observó evidencia de robo de credenciales, que se pensó que facilitaba el movimiento lateral en todo el entorno. En todos los casos, PsExec se implementó en varios hosts y se utilizó RDP/SMB para acceder a los hosts objetivo.

En los servidores Windows con los que interactuaron los actores de amenazas, los actores de amenazas deshabilitaron Windows Defender. Se observó que los actores de amenazas cifraban archivos VMDK en el almacenamiento de máquinas virtuales y eliminaban copias de seguridad del almacenamiento de objetos en Veeam.

En muchos casos de ransomware Fog investigados, se observó que los dispositivos establecían conexiones regulares con la herramienta de acceso remoto AnyDesk. Esto se ejemplificó mediante una comunicación constante con el punto final "download[.]anydesk[.]com". En otros casos, se identificó el uso de otra herramienta de administración remota, concretamente SplashTop, en los servidores de los clientes.

Reconocimiento interno

En las infecciones se observa que los dispositivos afectados realizan una cantidad inusual de conexiones internas fallidas a otras ubicaciones internas a través de puertos como 80 (HTTP), 3389 (RDP), 139 (NetBIOS) y 445 (SMB). Este patrón de actividad indicaba claramente un comportamiento de escaneo de reconocimiento dentro de las redes afectadas. Una investigación más a fondo de estas conexiones HTTP reveló casos comúnmente asociados con el uso de la herramienta Nmap.

Al mismo tiempo, se observó que algunos dispositivos realizaban acciones SMB dirigidas al recurso compartido IPC$. Dicha actividad se alinea con las tácticas de enumeración SMB típicas, mediante las cuales los atacantes consultan la lista de servicios que se ejecutan en un host remoto utilizando una sesión NULL, un método que se emplea a menudo para recopilar información sobre recursos de red y vulnerabilidades.

Movimiento lateral

Mientras los atacantes intentan moverse lateralmente a través de las redes afectadas, se observa una actividad RDP sospechosa entre los dispositivos infectados. Se establecieron múltiples conexiones RDP con nuevos clientes, utilizando los dispositivos como pivotes para propagarse más profundamente en las redes. Después de esto, los dispositivos en múltiples redes exhibieron un alto volumen de actividad de lectura y escritura SMB, con nombres de archivos de unidades compartidas internas con la extensión ".flocked" (o similar), una clara señal de cifrado de ransomware. Casi al mismo tiempo, se detectaron múltiples archivos "readme.txt" distribuidos en las redes afectadas, que luego se identificaron como notas de rescate.

Exfiltración de datos

En uno de los casos del ransomware Fog, se observó una posible exfiltración de datos que implicaba la transferencia de archivos internos a un punto final inusual asociado con el servicio de almacenamiento de archivos MEGA.

Este intento de exfiltración sugiere el uso de tácticas de doble extorsión, donde los actores de amenazas no solo cifran los datos de la víctima, sino que también los exfiltran para amenazar con exponerlos públicamente a menos que se pague un rescate. Esto a menudo aumenta la presión sobre las organizaciones, ya que enfrentan el riesgo de pérdida de datos y daño a la reputación causado por la divulgación de información confidencial.

Fuente: Artic Wolf | Dark Trace

Veeam advierte sobre un error crítico de RCE en la consola del proveedor de servicios

Veeam lanzó hoy actualizaciones de seguridad para solucionar dos vulnerabilidades de Service Provider Console (VSPC), incluida una ejecución de código remoto (RCE) crítica descubierta durante una prueba interna.

VSPC, descrita por la empresa como una plataforma BaaS (Backend como Servicio) y DRaaS (Recuperación ante Desastres como Servicio) administrada de forma remota, es utilizada por los proveedores de servicios para monitorear el estado y la seguridad de las copias de seguridad de los clientes, así como para administrar sus cargas de trabajo virtuales, de Microsoft 365 y de nube pública protegidas por Veeam.

La primera falla de seguridad corregida hoy (identificada como CVE-2024-42448 y calificada con una puntuación de gravedad de 9,9/10) permite a los atacantes ejecutar código arbitrario en servidores sin parches desde la máquina del agente de administración de VSPC.

Veeam también ha reparado una vulnerabilidad de alta gravedad (CVE-2024-42449) que puede permitir a los atacantes robar el hash NTLM de la cuenta de servicio del servidor VSPC y utilizar el acceso obtenido para eliminar archivos en el servidor VSPC.

Sin embargo, como explicó la empresa en un aviso de seguridad publicado hoy, estas dos vulnerabilidades solo se pueden explotar con éxito si el agente de administración está autorizado en el servidor de destino.

Las fallas afectan a VPSC 8.1.0.21377 y todas las versiones anteriores, incluidas las compilaciones 8 y 7, pero las versiones de productos no compatibles también se ven afectadas y "deberían considerarse vulnerables", aunque no se hayan probado.

"Alentamos a los proveedores de servicios que utilizan versiones compatibles de Veeam Service Provider Console (versiones 7 y 8) a que actualicen al último parche acumulativo", dijo Veeam. "Se recomienda encarecidamente a los proveedores de servicios que utilizan versiones no compatibles que actualicen a la última versión de Veeam Service Provider Console".

La reciente explotación de vulnerabilidades de Veeam ha demostrado que es crucial aplicar parches a los servidores vulnerables lo antes posible para bloquear posibles ataques.

Como revelaron los responsables de la respuesta a incidentes de Sophos X-Ops el mes pasado, una falla de RCE (CVE-2024-40711) en el software de Backup & Replication (VBR) de Veeam, divulgada en septiembre, ahora se está explotando para implementar el ransomware Frag. La misma vulnerabilidad también se utiliza para obtener ejecución remota de código en servidores VBR vulnerables en ataques de ransomware Akira y Fog.

Fuente: BC

2 dic 2024

Campaña de correo con "archivos dañados de Word" utiliza #Quishing para engañar al usuario

Los actores de amenazas buscan constantemente nuevas formas de eludir el software de seguridad de correo electrónico y hacer que sus correos electrónicos de phishing lleguen a las bandejas de entrada de los objetivos.

La nueva campaña de phishing descubierta por la empresa de búsqueda de malware Any.Run utiliza documentos de Word dañados intencionalmente como archivos adjuntos en correos electrónicos que simulan ser de departamentos de nóminas y recursos humanos. Estos archivos adjuntos utilizan una amplia gama de temas, todos relacionados con los beneficios y bonificaciones de los empleados.

El "daño" permite eludir el software de seguridad debido a su estado dañado, pero aún así ser recuperables por la aplicación. Todos los documentos de esta campaña incluyen la cadena codificada en base64 "IyNURVhUTlVNUkFORE9NNDUjIw", que se decodifica como "##TEXTNUMRANDOM45##".

Al abrir los archivos adjuntos, Word detectará que el archivo está dañado y dirá que "encontró contenido ilegible" en el archivo, preguntándole si desea recuperarlo. Al escanear el código QR, el usuario será llevado a un sitio de phishing que simula ser un inicio de sesión de Microsoft e intenta robar las credenciales del usuario.

Si bien el objetivo final de este ataque de phishing no es nada nuevo, el uso de documentos de Word corruptos es una táctica novedosa que se utiliza para evadir la detección.

"Aunque estos archivos funcionan correctamente dentro del sistema operativo, la mayoría de las soluciones de seguridad no los detectan debido a que no se aplican los procedimientos adecuados para sus tipos de archivos", explica Any.Run.

De los archivos adjuntos compartidos con BleepingComputer y utilizados en esta campaña, casi todos tienen cero detecciones [1, 2, 3, 4] en VirusTotal, y solo algunos [1] fueron detectados por 2 proveedores. Al mismo tiempo, esto también podría deberse a que no se ha añadido ningún código malicioso a los documentos, sino que simplemente muestran un código QR.

Si recibe un correo electrónico de un remitente desconocido, especialmente si contiene archivos adjuntos, debe eliminarlo inmediatamente o confirmarlo con un administrador de red antes de abrirlo.

Fuente: BC

Chile promulga Ley de Protección de Datos Personales

El 18 de noviembre pasado, Chile promulgó la nueva Ley de Protección de Datos Personales  [PDF] que modifica la Ley anterior N°19.628, que regula la protección y el tratamiento de este tipo de información y crea la Agencia de Protección de Datos Personales.

¿Qué dice la Ley de Protección de Datos?

La nueva ley sobre protección de datos personales tiene el objetivo de regular la forma y condiciones en las que se realiza el tratamiento de este tipo de información y mejorar la protección de los derechos de sus titulares.

La Ley de Protección de Datos actualiza la legislación vigente y eleva el estándar de protección a los derechos de las personas. Con esto, el estándar chileno se homologa al establecido por el Reglamento General de Protección de Datos de la Unión Europea, erigido como la referencia internacional para la protección de los derechos de las personas y sus datos personales.

La nueva ley establece y regula detalladamente los derechos de los titulares de los datos personales:

  • Acceso
  • Rectificación
  • Supresión
  • Oposición
  • Portabilidad
  • Bloqueo

La ley establece el procedimiento y los medios para que los titulares hagan valer estas garantías ante los responsables de datos. Esta regulación se aplicará a:

  • Quienes realicen tratamiento de datos personales en el territorio nacional
  • Quienes realicen tratamiento de datos a nombre de un mandatario que se encuentre en el territorio nacional
  • En los casos en que el tratamiento de datos esté destinado a ofrecer bienes o servicios a personas que se encuentren en el país.

En estos dos últimos casos, esta regulación se aplicará incluso a quienes traten los datos personales sin encontrarse presentes en el territorio nacional.

Creación de la Agencia de Protección de Datos Personales

La ley crea una institucionalidad para la protección de los datos personales denominada Agencia de Protección de Datos Personales, la que tendrá como objetivo fiscalizar el cumplimiento de las disposiciones de esta ley y aplicar sanciones.

Esta reforma, a su vez, permitirá a Chile ser declarado por la Comisión Europea como país con un nivel adecuado de protección de datos personales, lo que facilitará la transferencia internacional de datos entre nuestro país y la Unión Europea, importantísimo socio comercial de Chile.

La aprobación de esta ley también implica el cumplimiento del último compromiso adquiridos por nuestro país en el contexto de su ingreso a la OECD el año 2010.

Así, a la vez que vela por la protección de los derechos de las personas bajo estándares internacionales, esta ley regula y promueve la economía digital en nuestro país

Fuente: Gob.cl

1 dic 2024

Rusia arresta al cibercriminal Matveev por crear ransomware

La policía rusa ha detenido y acusado al conocido afiliado del ransomware Mikhail Pavlovich Matveev (también conocido como Wazawaka, Uhodiransomwar, m1x y Boriselcin) por desarrollar malware y su participación en varios grupos de delictivos.

Aunque la fiscalía todavía no ha publicado ningún detalle sobre la identidad del individuo (descrito como un "programador" en los documentos judiciales), el individuo es Matveev, según una fuente anónima de la agencia de noticias estatal rusa RIA Novosti.

"En la actualidad, el investigador ha reunido pruebas suficientes, el caso penal con la acusación firmada por el fiscal ha sido enviado al Tribunal del Distrito Central de la ciudad de Kaliningrado para su examen sobre el fondo", dijo el Ministerio del Interior ruso en un comunicado.

Como lo descubrió por primera vez el experto en políticas cibernéticas Oleg Shakirov, Matveev está acusado de desarrollar un ransomware (descrito por las notas de la fiscalía como "software malicioso especializado" que puede cifrar archivos y datos) que planeaba utilizar para cifrar los datos "de organizaciones comerciales con posterior pago de un rescate para descifrarlos".

El año pasado, en mayo de 2023, el Departamento de Justicia de Estados Unidos también presentó cargos contra Matveev por su participación en las operaciones de ransomware Hive y LockBit dirigidas a víctimas en todo Estados Unidos.

También se cree que es "Orange", el creador y administrador original del foro de hacking Ramp y el administrador original de la operación de ransomware Babuk. Esta última se separó después de que los miembros no pudieran decidir si publicar datos robados de la Fuerza de Policía del Capitolio de Washington DC.

Un comunicado de prensa del Departamento de Justicia y acusaciones formales no selladas en Nueva Jersey y el Distrito de Columbia brindan una cronología aproximada de su actividad mientras trabajaba con las tres bandas de ransomware:

  • En junio de 2020, Matveev y los co-conspiradores de LockBit presuntamente implementaron el ransomware LockBit en la red de una agencia de aplicación de la ley en el condado de Passaic, Nueva Jersey.
  • En abril de 2021, el acusado y los cómplices del ransomware Babuk supuestamente desplegaron cargas útiles maliciosas en los sistemas del Departamento de Policía Metropolitana de Washington, D.C.
  • En mayo de 2022, Matveev y los miembros de la banda de ransomware Hive supuestamente cifraron los sistemas de una organización de atención médica conductual sin fines de lucro con sede en el condado de Mercer, Nueva Jersey.

Matveev también fue sancionado por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro por lanzar ciberataques contra entidades estadounidenses, incluidas las fuerzas del orden y las organizaciones de infraestructura crítica de Estados Unidos.

El Departamento de Estado de Estados Unidos también ofrece una recompensa de hasta 10 millones de dólares por cualquier información que pueda conducir a su arresto o condena por crimen organizado transnacional.

Matveev ha tenido una presencia en línea muy vocal. Con frecuencia hablaba con investigadores y profesionales de la ciberseguridad y discutía abiertamente su actividad delictiva cibernética utilizando su cuenta de Twitter (aún activa), RansomBoris.

Después de ser sancionado por Estados Unidos, Matveev se burló abiertamente de las fuerzas del orden estadounidenses, tuiteando su foto con "se busca" en una camiseta.

Recientemente Wazawaka compartió que pagó dos multas y le confiscaron una cantidad significativa de su criptomoneda. Actualmente se encuentra en libertad bajo fianza, ileso y a la espera de los próximos pasos del proceso legal.

Fuente: BC

30 nov 2024

F E L I Z D Í A D E L A S E G U R I D A D ! ! !



🔐 + 🧉 = ♥️






29 nov 2024

Phishing como Servicio (PaaS) y robo de 2FA

Investigadores de ciberseguridad advierten sobre campañas de correo electrónico maliciosas que aprovechan un kit de herramientas de phishing como servicio (PhaaS) llamado Rockstar 2FA con el objetivo de robar credenciales de cuentas de Microsoft 365.

"Esta campaña emplea un ataque AitM (Adversario en el Medio], que permite a los atacantes interceptar las credenciales de usuario y las cookies de sesión, lo que significa que incluso los usuarios con autenticación multifactor (MFA) habilitada pueden seguir siendo vulnerables", dijeron los investigadores de Trustwave Diana Solomon y John Kevin Adriano.

Se considera que Rockstar 2FA es una versión actualizada del kit de phishing DadSec (también conocido como Phoenix). Microsoft está rastreando a los desarrolladores y distribuidores de la plataforma Dadsec PhaaS bajo el nombre de Storm-1575.

Al igual que sus predecesores, el kit de phishing se anuncia a través de servicios como ICQ, Telegram y Mail.ru bajo un modelo de suscripción de U$S 200 por dos semanas (o U$S 350 por un mes), lo que permite a los cibercriminales con poca o ninguna experiencia técnica montar campañas a gran escala.

Algunas de las características promocionadas de Rockstar 2FA incluyen la omisión de la autenticación de dos factores (2FA), la recolección de cookies de 2FA, la protección antibots, temas de página de inicio de sesión que imitan los servicios populares, enlaces totalmente indetectables (FUD) e integración de bots de Telegram.

También afirma tener un "panel de administración moderno y fácil de usar" que permite a los clientes rastrear el estado de sus campañas de phishing, generar URL y archivos adjuntos e incluso personalizar los temas que se aplican a los enlaces creados.

Las campañas de correo electrónico detectadas por Trustwave aprovechan diversos vectores de acceso inicial, como URL, códigos QR y archivos adjuntos de documentos, que se incluyen en los mensajes enviados desde cuentas comprometidas o herramientas de spam. Los correos electrónicos utilizan varias plantillas de señuelo que van desde notificaciones de intercambio de archivos hasta solicitudes de firmas electrónicas.

Además de utilizar redireccionadores de enlaces legítimos (por ejemplo, URL acortadas, redirecciones abiertas, servicios de protección de URL o servicios de reescritura de URL) como mecanismo para evitar la detección antispam, el kit incorpora controles antibot que utilizan Cloudflare Turnstile en un intento de disuadir el análisis automatizado de las páginas de phishing de AitM.

Trustwave afirmó que observó que la plataforma utiliza servicios legítimos como Atlassian Confluence, Google Docs Viewer, LiveAgent y Microsoft OneDrive, OneNote y Dynamics 365 Customer Voice para alojar los enlaces de phishing, lo que pone de relieve que los actores de amenazas se están aprovechando de la confianza que conllevan dichas plataformas.

"El diseño de la página de phishing se parece mucho a la página de inicio de sesión de la marca que se está imitando a pesar de las numerosas ofuscaciones aplicadas al código HTML", dijeron los investigadores. "Todos los datos proporcionados por el usuario en la página de phishing se envían inmediatamente al servidor AiTM. Las credenciales exfiltradas se utilizan luego para recuperar la cookie de sesión de la cuenta de destino".

La revelación se produce cuando Malwarebytes detalló una campaña de phishing denominada Beluga que emplea archivos adjuntos .HTM para engañar a los destinatarios de correo electrónico para que ingresen sus credenciales de Microsoft OneDrive en un formulario de inicio de sesión falso, que luego se exfiltran a un bot de Telegram.

También se ha descubierto que los enlaces de phishing y los anuncios engañosos de juegos de apuestas en las redes sociales promueven aplicaciones de adware como MobiDash, así como aplicaciones financieras fraudulentas que roban datos personales y dinero bajo el pretexto de prometer ganancias rápidas.

"Los juegos de apuestas anunciados se presentan como oportunidades legítimas de ganar dinero, pero están cuidadosamente diseñados para engañar a los usuarios para que depositen fondos, que tal vez nunca vuelvan a ver", dijo Mahmoud Mosaad, analista de Group-IB CERT.

"A través de estas aplicaciones y sitios web fraudulentos, los estafadores roban información personal y financiera de los usuarios durante el proceso de registro. Las víctimas pueden sufrir pérdidas financieras significativas, y algunas informan de pérdidas de más de 10.000 dólares estadounidenses".

Fuente: THN

28 nov 2024

Técnicas de exfiltración de datos impulsada por ransomware

La exfiltración de datos se convirtió en un elemento crítico en las campañas de ransomware, en línea con la adopción generalizada de la técnica de doble extorsión entre 2019 y 2024.

La empresa de seguridad Sekoia ha publicado un informe con las técnicas de exfiltración y extorsión que utilizan los grupos de ransomware [PDF]. Su objetivo es proporcionar un análisis exhaustivo de las técnicas y herramientas utilizadas durante la fase de exfiltración y el impacto en las organizaciones afectadas.

El informe incluye observaciones relacionadas con la táctica de recopilación, que consideramos esencial para una comprensión integral de las campañas de exfiltración. Primero, se explora la adopción progresiva de la técnica de exfiltración por parte de los grupos de ransomware y extorsión y las motivaciones detrás de sus campañas. Luego, se analizan las diferentes categorías de datos objetivo durante la fase de exfiltración y las herramientas que utilizan los grupos delictivos para recopilar datos valiosos del entorno de una víctima. Por último, se proporciona información sobre la detección de diferentes herramientas y técnicas asociadas con la exfiltración de datos.

Si bien este informe se centra en los conjuntos y campañas de intrusión oportunistas impulsados ​​por ransomware, vale la pena señalar que una amplia gama de conjuntos de intrusión distintos con motivaciones económicas emplean tácticas de exfiltración. Esto incluye a los operadores de ladrones de información, troyanos de acceso remoto (RAT), software espía, escáneres de tarjetas de crédito, puertas traseras y otros tipos de software malicioso. Además, los actores patrocinados por el Estado también aprovechan en gran medida la táctica de exfiltración en las campañas de recopilación de información. Si bien podemos hacer referencia a estas categorías de actores en nuestro análisis, no son el foco principal de nuestro estudio.

Los atacantes aprovechan los datos robados para maximizar el impacto financiero y de reputación a través de la exposición pública en sitios dedicados a filtraciones, al mismo tiempo que venden potencialmente los datos a otros actores de amenazas o los utilizan para extorsiones adicionales y ataques posteriores.

Estas motivaciones, junto con factores como la reducción del esfuerzo y la elusión de los desafíos relacionados con el cifrado, llevaron a algunos grupos de ransomware a centrarse parcial o exclusivamente en la exfiltración de datos para la extorsión, sin cifrar archivos. Además de los lucrativos grupos de ransomware y extorsión, los grupos de intrusión patrocinados por el estado también aprovechan la exfiltración durante las operaciones de ransomware, probablemente para desviar la atribución, realizar campañas encubiertas de recopilación de información y generar ingresos.

En los últimos cinco años, los operadores de ransomware perfeccionaron cada vez más sus técnicas de extorsión para maximizar el poder de la doble extorsión. Adoptaron un enfoque más estratégico mediante la precalificación y clasificación de los datos recopilados. Esto implica búsquedas dirigidas a extraer archivos confidenciales de alto valor, como información financiera, registros personales y médicos, documentos clasificados, datos relacionados con TI y de red y otra información altamente confidencial.

Los grupos de ransomware utilizan una combinación de herramientas personalizadas y disponibles públicamente para facilitar la exfiltración de datos. Esto se realiza de acuerdo con sus características específicas y su uso previsto en las campañas de exfiltración: enumeración, compresión, carga, etc.

Los grupos de intrusión avanzados desarrollan y utilizan cada vez más herramientas de exfiltración personalizadas para mejorar la eficiencia, la precisión y el sigilo. En ocasiones, los operadores de ransomware utilizan malware comercial, como ladrones de información y herramientas de malware como servicio (MaaS), para optimizar los procesos de exfiltración de datos. Sin embargo, su uso sigue siendo limitado en comparación con las alternativas disponibles públicamente.

Las herramientas legítimas y disponibles públicamente se utilizan ampliamente para facilitar la exfiltración de datos de forma discreta y rentable, al tiempo que se mezclan con actividades legítimas para evadir la detección.

Para mitigar el impacto del robo de datos y la implementación de ransomware, las empresas deben priorizar la detección temprana de los intentos de exfiltración de datos a través de una estrategia de múltiples métodos, que incluya el monitoreo de comportamientos sospechosos, patrones de acceso a archivos y el uso de herramientas de exfiltración conocidas, mientras se centran en los archivos y directorios críticos para detectar posibles movimientos de datos.

Fuente: Sekoia

Bootkitty: primer Bootkit UEFI para Linux

Investigadores de ciberseguridad han arrojado luz sobre lo que se ha descrito como el primer Bootkit de Interfaz de Firmware Extensible Unificada (UEFI) diseñado para sistemas Linux.

Bautizado Bootkitty por sus creadores, que se hacen llamar BlackCat, el Bootkit se considera una prueba de concepto (PoC) y no hay evidencia de que se haya utilizado en ataques del mundo real. También conocido como IranuKit, se subió a la plataforma VirusTotal el 5 de noviembre de 2024.

"El objetivo principal del bootkit es deshabilitar la función de verificación de firma del kernel y precargar dos binarios ELF aún desconocidos a través del proceso de inicio de Linux (que es el primer proceso que ejecuta el kernel de Linux durante el inicio del sistema)", dijeron los investigadores de ESET Martin Smolár y Peter Strýček.

El desarrollo es significativo ya que anuncia un cambio en el panorama de las amenazas cibernéticas en el que los Bootkits UEFI ya no se limitan solo a los sistemas Windows.

Vale la pena señalar que Bootkitty está firmado por un certificado autofirmado y, por lo tanto, no se puede ejecutar en sistemas con Arranque seguro UEFI habilitado a menos que ya se haya instalado un certificado controlado por un atacante.

Independientemente del estado de arranque seguro UEFI, el Bootkit está diseñado principalmente para arrancar el núcleo Linux y aplicar un parche, en memoria, a la respuesta de la función para la verificación de integridad antes de que se ejecute GNU GRand Unified Bootloader (GRUB).

En concreto, procede a enganchar dos funciones de los protocolos de autenticación UEFI si el arranque seguro está habilitado de forma que se eviten las comprobaciones de integridad UEFI. Posteriormente, también aplica un parche a tres funciones diferentes en el cargador de arranque GRUB legítimo para eludir otras verificaciones de integridad.

La empresa de ciberseguridad eslovaca dijo que su investigación sobre el Bootkit también condujo al descubrimiento de un módulo de núcleo no firmado probablemente relacionado que es capaz de implementar un binario ELF denominado BCDropper que carga otro módulo de núcleo aún desconocido después de iniciar el sistema.

El módulo de núcleo, que también tiene como nombre de autor a BlackCat, implementa otras funcionalidades relacionadas con el rootkit, como ocultar archivos, procesos y abrir puertos. No hay evidencia que sugiera una conexión con el grupo de ransomware ALPHV/BlackCat en esta etapa.

"Independientemente de que se trate de una prueba de concepto o no, Bootkitty marca un interesante avance en el panorama de amenazas de UEFI, rompiendo la creencia de que los bootkits UEFI modernos son amenazas exclusivas de Windows", dijeron los investigadores, y agregaron que "enfatiza la necesidad de estar preparados para posibles amenazas futuras".

Conexión de Bootkitty y LogoFAIL

En este momento, Bootkitty es un malware UEFI en desarrollo que solo funciona en versiones específicas de Ubuntu, en lugar de una amenaza generalizada.

En cambio, LogoFAIL es un conjunto de fallas en el código de análisis de imágenes de firmware UEFI utilizadas por varios proveedores de hardware, explotables por imágenes o logotipos maliciosos plantados en la Partición del Sistema EFI (ESP).

"Cuando se analizan estas imágenes durante el arranque, se puede activar la vulnerabilidad y se puede ejecutar arbitrariamente una carga útil controlada por el atacante para secuestrar el flujo de ejecución y eludir las funciones de seguridad como el Arranque Seguro, incluidos los mecanismos de Arranque Verificado basados ​​en hardware", explicó Binarly anteriormente.

Según el último informe de Binarly, Bootkitty integra shellcode dentro de archivos BMP ('logofail.bmp' y 'logofail_fake.bmp') para eludir las protecciones de arranque seguro. Binarly dice que Bootkitty podría afectar a cualquier dispositivo que no haya sido parcheado contra LogoFAIL, pero su shellcode actual espera un código específico utilizado en módulos de firmware que se encuentran en computadoras Acer, HP, Fujitsu y Lenovo.

Fuente: BC