Hackeados

FSB-Rusia.jpg

Agencia Secreta Rusa sufre el mayor hackeo de su historia

La noticia salió el día de ayer. Hackers han atacado con éxito al FSB, la principal agencia de seguridad de Rusia. Los hackers lograron robar 7.5 terabytes de datos de un contratista importante, exponiendo proyectos secretos del FSB para 1) anular el anonimato de la navegación de Tor, 2) extracción de datos privados de las redes sociales, así como 3) ayudar al estado a separar su internet del resto del mundo. Los datos se pasaron a los principales medios de comunicación para su publicación.

El FSB es la principal agencia de seguridad de Rusia, similar al FBI de los EEUU y al MI5 del Reino Unido. Su competencia también se extiende más allá de la inteligencia nacional para incluir la vigilancia electrónica en el extranjero y una importante supervisión de recopilación de inteligencia. Es la principal agencia sucesora de la infame KGB, y reporta directamente al presidente de Rusia.

Hace una semana, el 13 de julio, un grupo de hackers con el nombre 0v1ru$ que supuestamente había violado a SyTech, un importante contratista de FSB que trabaja en una variedad de proyectos de Internet en vivo y exploratorios, dejó un Yoba Face sonriente en la página de inicio de SyTech junto con imágenes que pretenden mostrar el incumplimiento. 0v1ru$ pasó los datos al grupo de hackers Digital Revolution, que compartió los archivos con varios medios de comunicación y los titulares con Twitter.

La BBC edición Rusia dio la noticia de que 0v1ru$ había violado los servidores de SyTech y compartió detalles de proyectos cibernéticos polémicos, proyectos que incluían raspado de datos en redes sociales (incluidos Facebook y LinkedIn) , recopilación dirigida y la “desanonimización de los usuarios del navegador Tor“. La BBC describió la violación como posiblemente “la fuga de datos más grande en la historia de los servicios de inteligencia rusos“.

Dime algo que no sepa

Además de desfigurar la página de inicio de SyTech con Yoba Face, 0v1ru$ también detalló los nombres de los proyectos expuestos: “Arion”, “Relation”, “Hryvnia”, junto con los nombres de los gerentes de proyectos de SyTech. El informe de la BBC afirma que no se expusieron secretos de estado.

Los proyectos en sí parecen ser una mezcla de raspado en redes sociales (Nautilus), recopilación dirigida contra usuarios de Internet que buscan anonimizar sus actividades (Nautilus-S), recopilación de datos dirigidos a empresas rusas (Mentor) y proyectos que parecen estar relacionados con los proyectos en curso de Rusia.

También se incluye una iniciativa para construir una opción para separar Internet interna de la red mundial (Hope and Tax-3). La BBC afirma que los proyectos de SyTech fueron en su mayoría contratados con la Unidad Militar 71330, parte de la 16ª Dirección del FSB que maneja inteligencia de señales, el mismo grupo acusado de enviar por correo electrónico software espía a los oficiales de inteligencia ucranianos en 2015.

Nautilus-S, el proyecto de desanonización de Tor, se lanzó realmente en 2012 bajo el mandato del Instituto de Investigación Kvant de Rusia, que está bajo el mandato del FSB. Rusia ha estado buscando formas de comprometer los nodos dentro de la estructura de Tor para prevenir comunicaciones fuera de la red o interceptar esas comunicaciones. Nada de lo cual es noticia nueva. Se cree que se han logrado algunos avances en este proyecto. Digital Revolution afirma haber hackeado el Instituto de Investigación Kvant antes.

Las actividades preparatorias para separar una “Internet rusa” siguen al acuerdo con el presidente ruso, Vladimir Putin, que firma las disposiciones para “el funcionamiento estable de la Internet rusa (Runet) en caso de que esté desconectado de la infraestructura global de la World Wide Web“. La ley establece planes de tren para un sistema de nombre de dominio (DNS) alternativo para Rusia en caso de que esté desconectado de la World Wide Web, o, se supone, en el caso de que sus políticos consideren que la desconexión es beneficiosa. Los proveedores de servicios de Internet se verían obligados a desconectarse de cualquier servidor extranjero, confiando en cambio en el DNS de Rusia.

No hay nada de interés periodístico en los proyectos expuestos aquí, todo fue conocido o esperado. El hecho de la violación en sí, su escala y aparente facilidad es lo de mayor importancia. Los contratistas siguen siendo el eslabón débil en la cadena de agencias de inteligencia de todo el mundo: para enfatizar el punto, la semana pasada, un ex contratista de la NSA fue encarcelado en los EEUU Por robar secretos durante dos décadas. Y las consecuencias de Edward Snowden continúan hasta el día de hoy.

Digital Revolution pasó la información a los periodistas sin que se editaran, eliminaron o modificaron nada, dijeron. Poco se sabe sobre 0v1ru $ y el grupo no ha hecho ningún comentario. Tampoco lo ha hecho la FSB.

Adaptación de un artículo publicado originalmente en Forbes.

leer más
Isaul CarballarAgencia Secreta Rusa sufre el mayor hackeo de su historia
ghostdns.png

Brasil es el foco de un nuevo tipo de ataque de enrutador

Desde hace meses, en Brasil se ha generado un nuevo tipo de ataque de enrutador que no se ha visto en ningún otro lugar del mundo. Los ataques son casi invisibles para los usuarios finales y pueden tener consecuencias desastrosas, incluso pueden ocasionarles pérdidas financieras directas.

El caso de Brasil debería ser una señal de advertencia para los usuarios e ISPs de todo el mundo. Lo mejor es tomar precauciones antes de que el ataque que se vive en Brasil se extienda a otros países.

Ataques de enrutador: cambio de DNS

Los ataques contra enrutadores en Brasil fueron observados por primera vez por la empresa de seguridad cibernética Radware y, un mes más tarde, por investigadores de seguridad de Netlab, una unidad de búsqueda de amenazas en la red del gigante chino de seguridad cibernética Qihoo 360. Ambas investigaciones detallaron que un grupo de delincuentes cibernéticos había infectado a más de 100,000 enrutadores domésticos en Brasil y estaban modificando sus configuraciones de DNS.

Las modificaciones realizadas a estos enrutadores redirigieron a los usuarios infectados a sitios web de clones maliciosos cuando intentaban acceder a la banca electrónica de algunos bancos del país.

Luego en abril de 2019, Bad Packets analizó otra ola de ataques, pero esta vez estaba dirigida principalmente contra los enrutadores D-Link, también alojados en los ISP brasileños. Por tanto, no solo secuestraban a los usuarios que visitaban los bancos brasileños, sino que además los redirigían a las páginas de phishing de Netflix, Google y PayPal para recopilar sus credenciales, según investigadores de Ixia.

Avast publicó un informe esta semana señalando que los ataques no se han detenido. La compañía estima que en la primera mitad de 2019, los hackers infectaron y modificaron la configuración de DNS de más de 180,000 enrutadores brasileños. Asimismo, señalaron que la complejidad de los ataques ha aumentado y el número de actores involucrados también.

Cómo se produce el ataque al enrutador

Los investigadores de Avast, David Jursa y Alexej Savčin, señalan que la mayoría de asaltos al enrutador se producen mientras los usuarios en Brasil visitan sitios de transmisión de películas y deportes, o portales para adultos desde su hogar.

En estos sitios, la publicidad maliciosa ejecuta un código especial que detecta la dirección IP de un enrutador doméstico, el modelo del enrutador. Una vez realizada la detección, los anuncios maliciosos utilizan una lista de nombres de usuario y contraseñas predeterminados para iniciar sesión en los dispositivos de los usuarios, sin su conocimiento.

Los ataques, aunque toman tiempo, suceden sin que los usuarios se den cuenta, porque generalmente están ocupados viendo las transmisiones de video en los sitios web a los que acaban de acceder. Si los ataques tienen éxito, el código especial modificará la configuración de DNS predeterminada en los enrutadores de las víctimas, reemplazando las direcciones IP del servidor DNS que reciben los enrutadores de los ISP ascendentes por las direcciones IP de los servidores DNS administrados por los piratas informáticos.

De esa manera, la próxima vez que la computadora o el celular se conecte al enrutador, recibirá las direcciones IP del servidor DNS malicioso y, de esta manera, canalizará todas las solicitudes de DNS a través de los servidores del atacante. Y es así como pueden secuestrar y redirigir el tráfico a clones maliciosos.

leer más
Diarleth G.Brasil es el foco de un nuevo tipo de ataque de enrutador
3.jpg

Malware oculto ‘TrickBot’ sigue fortaleciendo y comprometiendo más cuentas electrónicas

Con mucha facilidad podemos perder la cuenta de cuántos malware están operando en la actualidad, y es que día tras día salen infinidades de estos software maliciosos intentando dañar todo lo que quede en su paso. Uno de estos malware es TrickBot, que hasta el momento ha logrado comprometer la seguridad de más de 250 millones de cuentas de correo electrónico.

Se trata de un virus muy fuerte que no ha tenido ni la menor intensión de bajar su ritmo de ataque. Una variedad del malware conocido como TrickBot ha estado infectando una gran cantidad de usuarios desde el 2016. Y hoy en día sigue siendo extremadamente fuerte, de hecho, muchos expertos en ciberseguridad lo consideran la principal amenaza para las empresas en este momento. Los expertos creen incluso que TrickBot puede haber comprometido a más de 250 millones de cuentas de correo electrónico hasta el momento.

Los investigadores en DeepInstinct han estado siguiendo la actividad de TrickBot. En los últimos años, han visto evolucionar el malware y agregar nuevas capacidades que lo han hecho aún más peligroso. Una de esas adiciones es algo a lo que DeepInstinct se refiere como TrickBooster. Su trabajo: enviar correos electrónicos no deseados desde computadoras infectadas para aumentar la propagación de infecciones TrickBot.

En esencia, TrickBot es un troyano bancario. Normalmente, el malware se distribuye a través de correos electrónicos fraudulentos, como por ejemplo, currículos falsos enviados a recursos humanos o facturas enviadas al personal de cuentas. Esos archivos normalmente se adjuntan en forma de archivos de Microsoft Word o Excel.

TrickBot puede propagarse a través de una organización de diferentes maneras. Una forma es explotar las vulnerabilidades en SMB, un protocolo que permite a las computadoras con Windows compartir y acceder fácilmente a archivos y carpetas en otros sistemas en la misma red.

El malware que se propaga a través de SMB puede propagarse rápidamente en una organización donde las configuraciones de hardware y software tienden a ser bastante homogéneas. Esa uniformidad tiende a conducir a un gran número de computadoras que cuentan con las mismas vulnerabilidades, lo que hace mucho más fácil la propagación de malware como TrickBot.

Una segunda forma altamente efectiva de propagar la infección es enviando correos electrónicos desde direcciones confiables dentro de una organización, allí TrickBot aumenta las probabilidades de que una posible víctima abra uno de sus archivos adjuntos troyanos.

DeepInstinct logró echar un vistazo a una base de datos conectada a las operaciones de TrickBot. Los investigadores de la compañía descubrieron un tesoro de casi 250 millones de direcciones de correo electrónico que habían sido recogidas por TrickBot. De manera alarmante, DeepInstinct notó que esas direcciones no parecen provenir de violaciones previamente conocidas.

En la larga lista se encontraron, más de 25 millones de cuentas Gmail, 21 millones de Yahoo, y 11 millones de Hotmail. Otros 10 millones pertenecen a usuarios de AOL y MSN. Si bien esos seis servicios enfocados en el consumidor representan aproximadamente 70 millones del total de entradas en la base de datos, DeepInstinct también detectó decenas de direcciones pertenecientes a trabajadores del gobierno. A la fecha se desconoce el alcance total que está teniendo este malware, pero lo que sé se sabe es que está resultando ser indetenible.

leer más
Diarleth G.Malware oculto ‘TrickBot’ sigue fortaleciendo y comprometiendo más cuentas electrónicas
0.jpg

Hackeo “masivo” a redes de operadores móviles expone años de registros telefónicos

¿Te imaginas estar en la mira de un pirata informático? Uno podría pensar cosas como, ¿para que querrían hackearme? Pero la verdad es que los hackers pueden causarle dolores de cabeza a cualquiera sin que tenga que existir una razón muy importante. Sin embargo, es cierto que cuando suelen atacar buscan objetivos más claros.

En el siguiente post, por ejemplo, te hablaremos de cómo un atacante sofisticado se infiltró exitosamente dentro de diversos proveedores de celulares para recopilar información sobre usuarios muy específicos. Se cree que al menos 20 personas estuvieron en la mira de un astuto hacker, pero no te preocupes, seguramente tú no estás en esa pequeña lista.

Roban años de registros de llamadas de redes celulares hackeadas

Los piratas informáticos han interrumpido sistemáticamente a más de 10 redes celulares en todo el mundo en los últimos siete años para obtener cantidades masivas de registros de llamadas, incluidas las fechas y los tiempos de las llamadas, así como también sus ubicaciones pero todo esto solo en un grupo muy selecto de personas,  hablamos de no más de 20 víctimas.

Ante esto, investigadores de Cybereason dijeron que detectaron estos ataques por primera vez hace aproximadamente un año. Los investigadores creen que el objetivo de  estos piratas informáticos era obtener y descargar registros de la base de datos del proveedor de los celulares sin tener que desplegar algún malware en el dispositivo de cada objetivo.

Adicionalmente los investigadores descubrieron que los piratas informáticos entraron en una de las redes celulares al explotar una vulnerabilidad en un servidor web conectado a Internet para obtener un punto de apoyo en la red interna del proveedor. Desde allí, los hackers continuaron explotando cada máquina que encontraron robando credenciales para obtener un acceso mucho más profundo.

¿Quiénes son los culpables?

Cybereason afirma con una “muy alta probabilidad” que los hackers estuvieron respaldados por un estado-nación. Los investigadores se mostraron reacios a hacer cualquier tipo de acusación formal.

El reporte indica: “Las herramientas y las técnicas, como el malware utilizado por los piratas informáticos, parecían ser el ‘libro de texto APT10’, en referencia a un grupo de hackers que se cree que está respaldado por China” también dijeron que era APT10, “o alguien que quiere digamos que es [APT10] “.

Los informes indican lo siguiente:

El ataque tenía como objetivo obtener registros CDR de un gran proveedor de telecomunicaciones.

El actor de las amenazas intentaba robar todos los datos almacenados en el directorio activo, comprometiendo cada nombre de usuario y contraseña en la organización, junto con otra información personal identificable, como datos de facturación, registros de detalles de llamadas, credenciales, servidores de correo electrónico, ubicación geográfica de los usuarios, y más.

Las herramientas, así como sus TTP (Tácticas, Técnicas y Procedimientos) utilizados se asocian comúnmente con los actores de amenazas chinos. Durante el ataque persistente, los atacantes trabajaron en oleadas, abandonando un hilo de ataque cuando fue detectado y detenido, solo para regresar meses después con nuevas herramientas y técnicas. Pero, las herramientas y las técnicas, así como el malware utilizado por los piratas informáticos, indicaba que estos ataques habían sido realizados por APT10, un grupo de piratas informáticos que se cree que está respaldado por China.

leer más
Diarleth G.Hackeo “masivo” a redes de operadores móviles expone años de registros telefónicos
Actualidad_337228104_96704695_1024x576.jpg

Astaroth Trojan explota a Avast para robar información

Una nueva cepa de Astaroth Trojan dirigida a Brasil y países europeos está explotando actualmente el software de seguridad y antivirus Avast desarrollado por GAS Technology para robar información y cargar módulos maliciosos.

De acuerdo con el equipo Nocturnus de Cybereason que descubrió la nueva cepa de Astaroth, al igual que las cepas anteriores, el malware utiliza procesos legítimos e integrados del sistema operativo Windows para realizar actividades maliciosas y entregar una carga útil sin ser detectado, pero también hace uso de herramientas conocidas e incluso software antivirus para ampliar sus capacidades.

El troyano de Astaroth y el ladrón de información fueron detectados previamente por Cofense como parte de una campaña de malware que afecta a Europa y especialmente a Brasil, y es conocido por abusar de binarios como la interfaz de línea de comandos de Windows Management, la consola de instrumentación (WMIC) para descargar e instalar subrepticiamente cargas útiles maliciosas en segundo plano.

La nueva variedad descubierta por los investigadores de Cybereason ahora también usa la  utilidad legítima Windows BITSAdmin (diseñada para ayudar a crear trabajos de descarga o carga y monitorear su progreso) para descargar cargas útiles de malware. Esta variante de Astaroth se distribuye a través de campañas de spam al igual que las versiones anteriores, y la infección comienza con un archivo .7zip entregado al destino en forma de un archivo adjunto de correo electrónico o hipervínculo. El archivo malicioso contiene un archivo .lnk que generará un proceso wmic.exe que inicializará un ataque de procesamiento de scripts XSL.

Posteriormente, el malware se conecta a un servidor de comando y control (C2) y filtra información sobre la computadora infectada. Después de descargar la secuencia de comandos XSL cifrada en la máquina infectada, el troyano usará BITSAdmin para capturar una carga útil de otro servidor C2, cuidadosamente oculto como imágenes o archivos sin extensiones que contengan varios módulos Astaroth.

Astaroth también inyecta un módulo malintencionado en la biblioteca de vínculos dinámicos Avast y lo utiliza para recopilar información sobre la máquina comprometida y para cargar módulos adicionales cuando sea necesario. Además, la nueva variante del troyano Astaroth también está diseñada para explotar el proceso unins000.exe de una solución de seguridad desarrollada por GAS Technology que también utilizará para rastrear y recopilar información personal del usuario sin ser detectado si Avast no está presente en la computadora infectada.

Finalmente, Cybereason encontró que, una vez que la campaña se haya infiltrado con éxito, registrará las pulsaciones de los usuarios, interceptará las llamadas de su sistema operativo y recopilará toda la información guardada en el portapapeles de forma continua. Con estos métodos, Astaroth descubre cantidades significativas de información personal de las cuentas bancarias de los usuarios y las cuentas comerciales. Además, junto con NetPass, recopila las contraseñas de inicio de sesión de los usuarios en toda la placa sin ser detectadas, incluidas las computadoras remotas en la LAN, las contraseñas de cuentas de correo, las cuentas de Messenger, las contraseñas de Internet Explorer y otras.

leer más
Diarleth G.Astaroth Trojan explota a Avast para robar información
00-1.jpg

Anubis está descontrolando las plataformas bancarias

No cabe duda que el hackeo y robo a bancos sigue siendo una industria muy lucrativa y atractiva. Se han descubierto más de 17,000 nuevas muestras de malware bancario Android de Anubis que están dirigidas a un total de 188 aplicaciones financieras y bancarias. El atacante detrás del desarrollo de Anubis ha estado activo durante al menos 12 años, y para mantenerse al día, ha actualizado el malware para su uso en nuevas oleadas de ataques. Así lo confirmaron diversos investigadores de Trend Micro.

Anubis está descontrolando las plataformas bancarias

El troyano bancario Anubis se encuentra a menudo en las campañas de ingeniería social y phishing, en las que las víctimas involuntarias son atraídas a descargar aplicaciones maliciosas que contienen el malware. En total, Trend Micro ha encontrado 17.490 muestras nuevas de malware en dos servidores relacionados. Anubis ahora se enfoca en 188 aplicaciones bancarias y financieras móviles legítimas, ubicadas principalmente en los Estados Unidos, India, Francia, Italia, Alemania, Australia y Polonia.

Mapa con distribución geográfica y porcentual de las aplicaciones atacada por malware Anubis
Distribución geográfica de las aplicaciones atacada por malware Anubis

Si una víctima descarga y ejecuta una aplicación Anubis que se hace pasar por un servicio legítimo, se está exponiendo a una amplia variedad de capacidades de secuestro del malware. Anubis puede tomar capturas de pantalla, grabar audio, enviar, recibir y borrar mensajes SMS, robar listas de contactos y credenciales de cuenta, abrir URL (posiblemente para descargar cargas útiles adicionales) y también puede deshabilitar Google Play Protect.

Además, el troyano bancario puede saquear las configuraciones más profundas de un dispositivo comprometido al habilitar o manipular las configuraciones de administración del dispositivo, ver las tareas en ejecución y crear una puerta trasera para el control remoto a través de la computación de red virtual (VNC).

A medida que el malware fue evolucionando, el desarrollador también fue agregando una característica similar al Ransomware; la capacidad de cifrar archivos almacenados en un dispositivo móvil y su tarjeta SD conocida como AnubisCrypt. Asimismo, Anubis puede recibir comandos de plataformas de redes sociales, como Twitter y aplicaciones de mensajería como Telegram. Los operadores del malware han estado utilizando los enlaces cortos de Twitter y Google para enviar comandos remotos al malware. La mayoría de los cuales parecen ser de Turquía, de acuerdo con la configuración de idioma utilizada por las cuentas de redes sociales que envían comandos.

Una vez que se han aceptado los comandos, Anubis puede secuestrar dispositivos, robar datos y enviar información a los servidores de comando y control (C2) que se han extendido por todo el mundo. Las nuevas variantes también pueden detectar si se están ejecutando en máquinas virtuales (VM), una forma común para que los investigadores desempaqueten y analicen con seguridad el malware. En el caso de Anubis, esto también incluye emuladores de Android como Genymotion.

Anubis no es la única variante de malware para Android que se está mejorando y perfeccionando constantemente por sus desarrolladores. Hace un par de semanas atrás, los investigadores de Fortinet dijeron que BianLian, que comenzó su vida como un ayudante para Anubis ahora es un troyano bancario establecido por su propia cuenta, y está logrando evitar las protecciones de Android de Google para propagar su código malicioso.

Las variantes recientes de BianLian tienen un nuevo módulo de captura de pantalla que le da a los atacantes la oportunidad de monitorear la pantalla de un dispositivo comprometido y robar información, incluidos los nombres de usuario y las contraseñas.

leer más
Diarleth G.Anubis está descontrolando las plataformas bancarias
0.png

Otra empresa cae al descubierto negociando con hackers

Los hackers suelen ser personas inescrupulosas que creen que pueden hacer lo que quieran por el internet sin recibir ningún tipo de repercusión. Desde luego que no todos son malos pero algunos realmente se pasan del límite causando daños millonarios. Daños que muchas veces suelen ser irreparables. Pero, ¿Y qué pasa cuando los hackers hacen más que solo infectarnos con un virus? Existen hackers que han creado códigos maliciosos capaces de secuestrar nuestros ordenadores con la intención de luego pagar rescata por su liberación. A estos virus se le llaman Ransomware y aquí  te hablaremos un poco de ellos pues la verdad es algo que está dando mucho de qué hablar sobre todo ahora que nuevamente otra empresa cae al descubierto negociando con hackers.

Otra empresa cae al descubierto negociando con hackers

Existen muchas maneras en las que un hacker puede hacer daño y una de estas formas es por medio de un ransomware. Pero, seguramente te preguntarás qué es un ransomware.

¿Qué es un ransomware? Un ransomware es un código malicioso (como la mayoría de los virus) que tiene como propósito principal bloquear nuestra computadora y darle al pirata informático la capacidad de ubicar el lugar en donde nos encontramos y encriptar nuestros archivos quitándonos por completo el control de nuestro ordenador y de todo lo que allí tenemos.

Pero todo esto obedece a un propósito mucho más macabro, y es que la idea del hacker no es solo bloquear tu computadora, sino secuestrártela con la intención de pedir un rescate para liberar ese bloqueo y que puedas acceder a toda tu información. Este rescate se suele cobrar con monedas virtuales como por ejemplo las bitcoins.

Pues bien, ante esto, el portal ProPublica ha informado sobre las acciones de dos empresas de los Estados Unidos que según aseguraban utilizar sus propios métodos de recuperación de datos para ayudar a las víctimas de ransomware a recuperar el acceso a los archivos infectados. Esto lo hacían negociando y pagando a los piratas informáticos el rescate que pedían.

Por otra parte, también existen nuevas pruebas de que una empresa del Reino Unido adopta un enfoque similar. Fabian Wosar, un investigador de seguridad cibernética, le dijo a ProPublica este mes que, acerca de una operación encubierta que llevó a cabo en abril de este año. Red Mosquito Data Recovery, con sede en Escocia, dijo que se estaban “haciendo pruebas” para desbloquear archivos mientras se negociaba un pago de rescate. Wosar, el jefe de investigación del proveedor de antivirus Emsisoft, afirmó que se hizo pasar por un pirata informático y al mismo tiempo por una víctima para que se pudieran revisar las comunicaciones de la compañía por ambos lados.

Sin embargo, Red Mosquito Data Recovery no hizo ningún esfuerzo por no pagar el rescate y, en cambio, fue directamente al autor del ransomware literalmente en solo cuestión de minutos, dijo Wosar. Siendo el problema de esta acción contribuir con los hackers que hacen funcionar los ransomware ya que caen directamente en su juego.

leer más
Diarleth G.Otra empresa cae al descubierto negociando con hackers
ransomware-is-back-featured.jpg

¿Quién está detrás del ransomware GandCrab?

Escrito originalmente por Brian Krebs.

Los delincuentes detrás de un programa de afiliados que pagó a los ciberdelincuentes por instalar la destructiva y exitosa cepa de ransomware GandCrab anunciada el 31 de mayo de 2019, terminaron el programa luego de que supuestamente obtuvieron más de $ 2 mil millones en pagos de extorsión de las víctimas. Lo que sigue es una inmersión profunda en quién puede ser responsable de reclutar nuevos miembros para ayudar a difundir el contagio.

Como la mayoría de las cepas de ransomware, el ransomware-as-a-service de GandCrab ofrece archivos retenidos como rehenes de sistemas infectados hasta que las víctimas accedan a pagar la suma exigida. Pero GandCrab eclipsó por mucho el éxito de los programas de afiliados ransomware de la competencia, en gran parte porque sus autores trabajaron asiduamente para actualizar el malware de modo que pudiera evadir el antivirus y otras defensas de seguridad.

En el lapso de 15 meses de la empresa afiliada a GandCrab a partir de enero de 2018, sus curadores enviaron cinco revisiones principales al código, cada una correspondiente a nuevas características y soluciones de errores dirigidas a frustrar los esfuerzos de las empresas de seguridad informática para frenar la expansión de la malware

En un año, las personas que trabajaron con nosotros han ganado más de US $ 2 mil millones“, leyó la publicación de despedida de la identidad del mismo nombre de GandCrab en el foro de ciberdelincuencia Exploit[.]in, Donde el grupo reclutó a muchos de sus distribuidores. “Nuestro nombre se convirtió en un término genérico para ransomware en el inframundo. El ingreso semanal promedio del proyecto fue igual a US $ 2.5 millones ”.

El mensaje continuó:

“Nosotros mismos hemos ganado más de US $ 150 millones en un año. Este dinero se ha retirado e invertido con éxito en varios proyectos legales, tanto en línea como fuera de línea. Ha sido un placer trabajar con ustedes. Pero, como dijimos, todo termina. Estamos recibiendo una jubilación bien merecida. Somos una prueba viviente de que puedes hacer el mal y salir impune. Hemos demostrado que uno puede hacer una vida de dinero en un año. Hemos demostrado que puedes convertirte en el número uno por admisión general, no por tu propia cuenta”.

Evidentemente, cuando se considera el daño infligido a tantas personas y empresas golpeadas por GandCrab, es fácilmente el malware más rapaz y depredador de 2018 y hasta 2019.

El perfil de GandCrab en Exploit[.]in publicó actualizaciones periódicas sobre el recuento de víctimas y los pagos de rescate. Por ejemplo, a fines de julio de 2018, GandCrab declaró que una sola filial del servicio de alquiler de ransomware había infectado a 27,031 víctimas solo en el mes anterior, recibiendo aproximadamente $ 125,000 en comisiones.

El mes siguiente, GandCrab se jactó de que el programa en julio de 2018 generó casi 425,000 víctimas y extorsionó más de un millón de dólares en criptomonedas, muchas de las cuales fueron para afiliados que ayudaron a diseminar las infecciones.

La firma de seguridad rusa Kaspersky Lab estimó que para cuando el programa dejó de funcionar, GandCrab representaba hasta la mitad del mercado global de ransomware.

Oneiilk2

No está claro cuántos individuos estaban activos en el equipo de desarrollo de malware de GandCrab. Pero KrebsOnSecurity localizó varias pistas que apuntan a la identidad en la vida real de un hombre ruso que parece haber sido puesto a cargo de reclutar nuevos afiliados para el programa.

En noviembre de 2018, un afiliado de GandCrab publicó una captura de pantalla en el foro de Exploit[.]in de un mensaje privado entre él y un miembro del foro conocido como “oneiilk2” y “oneillk2” que mostró que este último estaba a cargo de reclutar nuevos miembros para el programa de ganancias ransomware.

Oneiilk2 también fue un exitoso afiliado de GandCrab por derecho propio. En mayo de 2018, se lo pudo ver en múltiples hilos de Exploit[.]in que pedían ayuda urgente para obtener acceso a negocios pirateados en Corea del Sur. Estas solicitudes se prolongan durante varias semanas ese mes, con Oneiilk2 que dice que está dispuesto a pagar el mejor precio por los recursos solicitados. Al mismo tiempo, Oneiilk2 se puede ver en Exploit y pide ayuda para descubrir cómo crear un cebo de malware convincente utilizando el alfabeto coreano.

Más adelante en el mes, Oneiilk2 dice que ya no necesita ayuda con esa solicitud. Apenas unas semanas después, las empresas de seguridad comenzaron a advertir que los atacantes estaban organizando una campaña de spam para atacar a las empresas de Corea del Sur con la versión 4.3 de GandCrab.

Hottabych

Cuando Oneiilk2 se registró en Exploit[.]in en enero de 2015, usó la dirección de correo electrónico hottabych_k2@mail.ru. Esa dirección de correo electrónico y su apodo se utilizaron desde 2009 para registrar múltiples identidades en más de media docena de foros de delitos informáticos.

En 2010, la dirección hottabych_k2 se usó para registrar el nombre de dominio dedserver [.] Ru, un sitio que comercializaba servidores web dedicados a personas involucradas en varios proyectos de ciberdelito. Ese registro de registro de dominio incluyó el número de teléfono ruso + 7-951-7805896, que según la función de recuperación de contraseña de mail.ru es, de hecho, el número de teléfono utilizado para registrar la cuenta de correo electrónico hottabych_k2.

Al menos cuatro publicaciones realizadas en 2010 en el servicio de revisión de hosting makeserver.ru anuncian Dedserver e incluyen imágenes con marca de agua con el apodo “oneillk2”.

Dedserver también promovió en gran medida un servicio de red privada virtual (VPN) llamado vpn-service [.] Para ayudar a los usuarios a ofuscar sus verdaderas ubicaciones en línea. No está claro cuán estrechamente conectados estaban estos negocios, aunque una copia en caché de la página de inicio de Dedserver en Archive.org desde 2010 sugiere que los propietarios del sitio lo consideraron como propio.

Vpn-service [.] Us fue registrado en la dirección de correo electrónico sec-service@mail.ru por una persona que usó el apodo (y, a veces, la contraseña) – “Metall2” – en múltiples foros de ciberdelincuencia.

Casi al mismo tiempo que el programa de afiliados de GandCrab estaba en marcha, Oneiilk2 se había convertido en uno de los miembros más confiables de Exploit y en varios otros foros. Esto fue evidente al medir el total de “puntos de reputación” que se le asignaron, que son comentarios positivos o negativos otorgados por otros miembros con los que el miembro ha realizado transacciones anteriormente.

A finales de 2018, Oneiilk2 fue uno de los 20 miembros con mejor calificación entre los miles de ciudadanos en el foro de Exploit, gracias en gran parte a su asociación con la empresa GandCrab.

La búsqueda en la dirección de correo electrónico de registro de Oneiilk2 hottabych_k2@mail.ru a través de sitios que rastrean bases de datos pirateadas o filtradas arrojó algunos resultados curiosos. Esos registros muestran que este individuo reutilizó la misma contraseña en varias cuentas: 16061991.

Por ejemplo, la dirección de correo electrónico y la contraseña aparecen en las bases de datos de contraseñas pirateadas para una cuenta “oneillk2” en zismo [.] Biz, un foro en ruso dedicado a las noticias sobre varios programas de afiliados para ganar dinero en línea.

En un post realizado en Zismo en 2017, Oneiilk2 afirma que vive en un pequeño pueblo con una población de alrededor de 400,000, y que se dedica a la fabricación de muebles.

¿Mr. Prokopenko?

La investigación adicional reveló que la dirección hottabych_k2@mail.ru también se había utilizado para registrar al menos dos cuentas en el sitio de redes sociales Vkontakte, el equivalente en ruso de Facebook.

Una de esas cuentas fue registrada por un “Igor Kashkov” de Magnitogorsk, Rusia, una ciudad industrial rica en metales en el sur de Rusia de alrededor de 410,000 residentes que alberga las mayores obras de hierro y acero del país.

La cuenta de Kashkov usó la contraseña “hottabychk2”, el número de teléfono 890808981338, y en un momento dado proporcionó la dirección de correo electrónico alternativa “prokopenko_k2@bk.ru”. Sin embargo, esto parece haber sido simplemente una cuenta abandonada, o al menos solo hay un par de actualizaciones dispersas al perfil.

La cuenta Vkontakte más interesante vinculada a la dirección hottabych_k2@mail.ru pertenece a un perfil con el nombre “Igor Prokopenko”, quien dice que también vive en Magnitogorsk. El perfil de Igor Prokopenko dice que ha estudiado y está interesado en varios tipos de metalurgia.

También hay una cuenta de voz sobre IP de Skype vinculada a un “Igor” de Magnitogorsk cuyo cumpleaños figura en la lista el 16 de junio de 1991. Además, existe una cuenta de Youtube bastante activa que se remonta a 2015 – youtube.com/user/Oneillk2 – Eso pertenece a un Igor Prokopenko de Magnitogorsk.

Esa cuenta de Youtube incluye en su mayoría videos cortos del Sr. Prokopenko que pesca pescado en un río local y diagnostica problemas con su Lada Kalina, una línea de automóviles de fabricación rusa que es bastante común en toda Rusia. Una cuenta creada en enero de 2018 con el apodo de Oneillk2 en un foro para entusiastas de Lada dice que su dueño tiene 28 años y vive en Magnitogorsk.

Las fuentes con la capacidad de verificar los registros de ciudadanía rusa identificaron a Igor Vladimirovich Prokopenko de Magnitogorsk que nació el 16 de junio de 1991. Recuerde que “16061991” fue la contraseña utilizada por innumerables cuentas en línea vinculadas a hottabych_k2@mail.ru y Oneiilk2 / Identidades de Oneillk2.

Para completar todas las investigaciones anteriores, la página de restablecimiento de contraseña de Vkontakte muestra que el perfil de Igor Prokopenko está vinculado al número de teléfono móvil + 7-951-7805896, que es el mismo que se usa para configurar la cuenta de correo electrónico hottabych_k2 @ mail. ru hace casi 10 años.

El Sr. Prokopenko no respondió a múltiples solicitudes de comentarios.

Es completamente posible que quien sea responsable de operar el programa de afiliados de GandCrab haya desarrollado una campaña de desinformación elaborada, de un año de duración, para llevar a futuros investigadores potenciales a una parte inocente.

Al mismo tiempo, no es raro que muchos malhechores rusos hagan poco para ocultar sus verdaderas identidades, al menos al principio de sus carreras, tal vez en parte porque perciben que hay pocas probabilidades de que alguien se moleste en conectar los puntos más adelante, o porque tal vez no temen el arresto y / o la persecución mientras residen en Rusia. Cualquier persona que tenga dudas sobre esta dinámica haría bien en consultar la serie Breadcrumbs en este blog, que utilizó métodos similares a los descritos anteriormente para desenmascarar a docenas de otros proveedores importantes de malware.

Cabe señalar que el programa de afiliación de GandCrab tomó medidas para evitar la instalación de su ransomware en computadoras que residen en Rusia o en cualquiera de los países que anteriormente formaban parte de la Unión Soviética, conocida como la Comunidad de Estados Independientes e incluso Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán. Esta es una precaución típica que toman los ciberdelincuentes que ejecutan operaciones de malware en uno de esos países, ya que tratan de evitar crear problemas en sus propios patios que puedan atraer la atención de las autoridades locales.

KrebsOnSecurity agradece a domaintools.com, así como a las firmas de inteligencia cibernética Intel471, Hold Security y 4IQ por su ayuda en la investigación de esta publicación.

Esta es una transcripción de un post originalmente publicado en: http://bit.ly/2Xy83e6

leer más
Isaul Carballar¿Quién está detrás del ransomware GandCrab?
amor-por-internet.jpg

Estafadores se aprovechan de los corazones solitarios chinos

Hace poco The Beijing News reportó cómo un grupo de ciber estafadores se aprovechaba de los corazones solitarios chinos. Se trata de una red sofisticada de fraude que usa las redes sociales para pedir dinero a centenares de hombres haciéndose pasar por bellas mujeres. Lo más curioso es que lo hacen por medio de notas de audio que son cuidadosamente elaboradas por un software inteligente. En el siguiente post te contamos a detalle el caso.

Dispositivos para manipulación de voz.

Estafadores se aprovechan de los corazones solitarios chinos

Los hombres solitarios que buscan el amor de su vida en internet en China están siendo engañados por estafadores que buscan convencer a sus víctimas de que están conversando con chicas bonitas de voz dulce que necesitan un poco de ayuda financiera.

Las estafas en Internet dirigidas a los corazones solitarios no son nada nuevo. Pero ha surgido un sofisticado mercado negro que hace que atrapar a los desprevenidos sea un asunto más fácil y más lucrativo.

Una persona familiarizada con esta nueva forma de estafa dijo a The Beijing News que los mensajes de audio grabados estaban siendo utilizados para contrarrestar la creciente conciencia de un posible fraude en Internet.

“La conciencia antifraude de la gente está aumentando, cada vez es más difícil engañarlos, pero a través de los mensajes de voz es mucho más sencillo porque las personas piensan que son mensajes más auténticos y por tanto se preocupan mucho menos. La gente no lo sabe, pero aunque lo que escuchas es una voz femenina, la persona que chatea contigo en Internet puede ser muy bien un hombre como cualquiera”.

Según The Beijing News, los paquetes de cuentas de redes sociales falsas, fotos y mensajes de audio están disponibles por tan solo 20 yuanes (el equivalente a 3 dólares). Uno de estos paquetes, comprado en una tienda en línea en China, incluía 1,500 mensajes de audio con voces femeninas, muchos de ellos pidiendo “paquetes rojos”, una forma tradicional de dar dinero o enviar dinero a través de Internet en las redes sociales usando aplicaciones como por ejemplo WeChat.

Una víctima de este tipo de estafa, de apellido Wu, fue estafada por 20,000 yuanes (casi tres mil dólares) en dos meses, según el diario económico Jinjiang. Wu, de Jinjiang, en la provincia sudeste de Fujian, dijo a la policía que había conocido a una mujer en línea y que pronto comenzó a referirse a ella como su novia, creyendo que ella era la mujer que había estado buscando.

Después de ganarse la confianza de Wu, su “compañera” de conversación, a quien nunca conoció en persona, le solicitó dinero 15 veces, dando razones que iban desde la necesidad de pagar deudas hasta pagar las cuentas médicas de su madre. Solo se dio cuenta de que estaba siendo estafado cuando su “novia” lo bloqueó después de enviarle todo el dinero que ella le había pedido.

El sospechoso, quien más tarde fue detenido por la policía, resultó ser un hombre que vive en la provincia central de Henan. Confesó que se escondió detrás del relato femenino y lo usó para estafar a tres hombres en Fujian y cinco que viven en otras provincias chinas, según el periódico Jinjiang.

Esta clase de estafa lleva varios años produciéndose no solo en China sino en distintos países del mundo. Por esta razón, debemos tener mucho cuidado cuando conocemos a alguien en línea y nunca acceder a darles dinero a personas que no sabemos si en verdad son quienes dicen ser.

Fuente: https://www.scmp.com/news/china/society/article/3011184/scammers-target-chinese-lonely-hearts-cheap-sweet-talk-which

leer más
Diarleth G.Estafadores se aprovechan de los corazones solitarios chinos
5.jpg

Se incrementan los ataques de Ransomware en los Estados Unidos

Por más de doce meses, Baltimore (Estados Unidos) ha estado sufriendo un muy costoso ataque de Ransomware. De hecho, a la fecha, el ataque ha dejado a los funcionarios incapaces de procesar los pagos e incluso responder a los correos electrónicos. Trágico, ¿no es cierto? Sin embargo, lastimosamente Baltimore no es solo un caso aislado. Se incrementan los ataques de Ransomware en los Estados Unidos.

En los últimos dos meses, ha habido ataques de ransomware en Greenville, Carolina del Norte, California, Stuart, Florida, Cleveland, Ohio, Augusta, Maine,Lynn, Massachusetts, Cartersville, Georgia entre otros, lo que ha puesto a todo el país en alerta .

Aumentan ataques de ransomware

Para los que desconocen lo que es un ransomware, este es un programa malicioso que restringe al usuario evitándole tener acceso a diferentes archivos de su sistema operativo. Dicho de otra forma un ransomware es un programa que secuestra tus datos literalmente y luego te piden el pago de un rescate para volverlos a tener. Los ransomware pueden quitarte el control por completo de tu ordenador y hacerte pasar momentos de absoluta oscuridad y en Estados Unidos esta oscuridad va creciendo rápidamente.

Los ataques con ransomware aumentaron de 38 en 2017 a 53 en 2018, según los datos recopilados por la firma Recorded Future. Sin embargo, se espera que estos números vayan en aumento y de forma acelerada en los próximos años.

A medida que las corporaciones refuerzan sus defensas contra los ataques de ransomware, los piratas informáticos han encontrado objetivos convenientes en ciudades, especialmente en los municipios locales cuyas defensas son mucho más débiles. Y a medida que las ciudades y pueblos se apresuran a digitalizar cada vez más su infraestructura, el potencial de ataques se hace más grande y desde luego mucho más devastadores.

Gary Hayslip, un experto en seguridad cibernética que anteriormente actuó como director de seguridad de la información en San Diego. Noticias VICE dijo:

“El gobierno sabe que necesita cambiar, pero se mueven lentamente en comparación con la rapidez con que las empresas privadas se preparan ante la posibilidad de quedar expuestos ante una nueva amenaza. Hasta que se ordene que las ciudades, los condados y los estados cumplan con un nivel específico de seguridad y tengan demostraciones periódicamente como se hace en el cumplimiento de las normas comerciales, las entidades gubernamentales continuarán siendo un blanco fácil para los ciberdelincuentes”.

Hay que entender que un ransomware no es un fenómeno nuevo. El malware ha sido popular entre los piratas informáticos durante años, ya que les da una forma fácil de extraer millones de dólares, generalmente en bitcoins, de usuarios confiados en todo el mundo al infectar sus computadoras y mantener sus datos como rehenes hasta que pagan.

Y según los expertos el riesgo va a empeorar, y para combatir adecuadamente la creciente amenaza del ransomware contra los gobiernos locales y estatales, es necesario tener una idea clara de cuán grande es el problema y cómo los hackers están explotando estos sistemas. De hecho se cre que el número de ataques revelados es inferior al real.

leer más
Diarleth G.Se incrementan los ataques de Ransomware en los Estados Unidos