Tag Informatica

El grupo publicó en su sitio de la dark web que atacó al Ministerio de Hacienda de Costa Rica y solicitó el pago de 10 millones de dólares. En las últimas horas informó que también accedió a información de otras instituciones costarricenses.

A comienzos de esta semana, los atacantes anunciaban que habían atacado al Ministerio de Hacienda los cibercriminales y afirmaron haber robado 1TB con información extraída del Portal de Administración Tributaria (ATV) y documentos internos. En esa publicación en su sitio, los cibercriminales revelaban también que habían solicitado el pago de 10 millones de dólares para recuperar los archivos del cifrado. Además de publicar una muestra para su descarga con una parte de la información robada, amenazaron con publicar la totalidad de los datos el 23 de abril. Con el transcurso de los días fueron actualizando la información que publicaron en su blog sobre el ataque y comenzaron a advertir que los ataques a los ministerios continuarían si no pagan.

En el día de hoy los cibercriminales dieron más detalles y dicen haber obtenido acceso a unos 800 servidores y extraído 900 GB de bases de datos, y 100 GB con documentos internos del Ministerio de Hacienda y bases de datos que contienen nombres completos y direcciones de correo.

Además de extorsionar a la víctima con la información, los atacantes aseguran haber implantado una gran cantidad de backdoors en varios ministerios públicos y compañías privadas. Asimismo, en su sitio de la dark web agregaron en las últimas horas para su descarga cuatro archivos comprimidos con información supuestamente extraída de los sistemas de la víctima.

Imagen 2. Información publicada el 20 de abril en la publicación de su blog sobre el ataque al Ministerio de Hacienda de Costa Rica y que incluye más de 10GB en cuatro archivos para su descarga.

Por su parte, desde el Ministerio de Hacienda comunicaron en un extenso hilo de Twitter que en la madrugada del lunes 18 de abril comenzaron a tener inconvenientes en algunos de sus servidores y que desde entonces están investigando y analizando en profundidad lo que ocurrió. Mientras tanto, suspendieron temporalmente las plataformas ATV y TICA y explicaron que volverán a estar disponibles luego del análisis.

Asimismo, en cuanto a los datos expuestos hasta ese entonces por los atacantes, el organismo manifestó que la información divulgada corresponde a la Dirección General de Aduanas y que la misma es utilizada como insumo y soporte, pero que no es de carácter histórico.

Acerca del ransomware Conti

Conti es un ransomware que opera bajo el modelo de ransomware as a service y que ha sido entre los distintos grupos de ransomware el que más actividad tuvo en 2021, sumando a un mes de finalizar el 2021 unas 599 víctimas. Esta actividad se enmarca en un contexto en el cual la actividad de los grupos de ransomware comenzó a crecer significativamente en 2020 desde el inicio de la pandemia, causando gran preocupación a nivel mundial por el elevado costo de los rescates, la interrupción de las operaciones que provoca esta amenaza en las organizaciones, y por los daños a la reputación.

Este grupo está en actividad desde el año 2019 y en América Latina afectó a organizaciones de Argentina, Colombia, Honduras, Brasil y República Dominicana.

En cuando a la forma de operar de este grupo, desde ESET hemos analizado alguna de sus muestras para ver cuáles son sus principales características de este ransomware. De acuerdo con lo que hemos visto, esta amenaza suele distribuirse a través de correos de phishing que incluyen adjuntos maliciosos que descargan un malware que en instancias posteriores termina en la descarga de Conti en el equipo de la víctima. Otros mecanismos de acceso inicial utilizados por Conti son la explotación de vulnerabilidades o los ataques a servicios RDP expuestos y débilmente configurados.

Para más información sobre cómo opera, compartimos este artículo sobre las principales características del ransomware Conti y cómo operan sus afiliados.

Otros ataques de Conti que tuvieron gran repercusión fueron el que afectó al sistema de salud de Irlanda y que provocó la interrupción en el funcionamiento de sus sistemas. Más acá en el tiempo, este mes el grupo también afirmó ser el responsable de un ataque a Nordex, una compañía muy importante que se dedica a la fabricación de molinos eólicos y que debió interrumpir sus sistemas tecnológicos tras el incidente.

En febrero solamente, más de 3400 usuarios en Argentina se infectaron con malware que roba información y más de 142 mil usuarios a nivel global.

En febrero aumentó la cantidad de víctimas de malware del tipo infostealer que tiene como objetivo robar información del equipo infectado y enviarlo a los cibercriminales. Este tipo de código maliciosos, conocido en inglés como Infostealer malware, suele ser distribuido en mercados clandestinos de la dark web por poco dinero para que otros actores maliciosos lo utilicen en sus campañas. Solo en Argentina se detectaron 3471 nuevos usuarios infectados con este tipo de malware en febrero de 2022, lo que representa un aumento de más de 2.000 usuarios con respecto a enero. En Brasil fueron 13.598 el número de usuarios afectados en febrero, lo que significa 2.560 víctimas más que el mes anterior.

La cifra a nivel global también aumentó, ya que en febrero se registró un aumento de más de 39 mil infecciones en comparación con los más de 104 mil usuarios infectados en enero. Según datos de la telemetría de ESET tan solo para una de las tantas variantes de RedLine en actividad que existe, en lo que va de 2022 se observa un aumento constante en la cantidad de detecciones y el pico máximo se está registrando en marzo.

Lectura relacionada: Más de 1.7 millones de credenciales de acceso a servicios públicos robadas con malware
Los datos fueron publicados por DarkTracer, un servicio de Inteligencia de amenazas que monitorea la actividad de la dark web que compartió la información a través de su cuenta de Twitter. Además, aseguran que más de 12.7 millones de credenciales de usuarios están siendo distribuidas en foros de la dark web.

Son varios los Infostealers en actividad. Entre los más populares está RedLine Stealer y Raccon Stealer, pero existen otros, como Vidar, Taurus o AZORult, por nombrar algunos más. En el caso de RedLine, según revelaron algunas fuentes en 2021, este malware en particular ha sido la principal fuente de credenciales robadas en los mercados clandestinos.

Como suele distribuirse este tipo de malware
La forma de distribución de estos códigos maliciosos es muy amplia. El año pasado este malware en particular ha estado siendo distribuido en campañas a través YouTube. Los cibercriminales colocaban enlaces maliciosos en la descripción de videos sobre cracks de software, cheats para videojuegos o criptomonedas, entre otras temáticas. Hace unos días investigadores detectaron una nueva campaña dirigida a gamers que distribuía RedLine a través de videos de YouTube relacionados al juego Valorant. Los actores de amenazas promovían un cheat para el juego a través de un enlace en la descripción que conducía a la descarga del infostealer.

Otra forma de distribuir este tipo de malware han sido los cracks de software. Este año se detectó una campaña distribuyendo RedLine que se hacía pasar por un falso instalador de Windows 11. Los cibercriminales crearon un sitio de apariencia similar al sitio oficial de Microsoft para engañar a los usuarios y que descarguen el falso instaldor. Algo similar reveló un usuario en Reddit que hizo una búsqueda en Google para descargar el editor de código Sublime Text y llegó a un sitio falso que alojaba Redline.

Además del robo de cookies, datos de tarjetas de crédito y otro tipo de información, este malware suele recolectar credenciales, ya sea de cuentas como de servicios, por ejemplo, VPN.

Investigadores revelaron hace algunos meses un caso de un usuario que trabajaba de manera remota y que fue infectado con RedLine. El malware robó las credenciales almacenadas en el gestor de contraseñas de un navegador basado en Chromium, lo que le permitió obtener las credenciales de la VPN que utilizaba para conectarse a la red de la compañía, lo que permitió que actores maliciosos comprometieran la red interna de la compañía unos meses después utilizando las credenciales de la VPN robadas.

Como recomendación final para los usuarios, activar siempre que sea posible la autenticación en dos pasos. De esta manera el atacante no podrá acceder a nuestras cuentas con la contraseña y el usuario, ya que necesitará también verificar su identidad con un código único que está en poder del usuario

Por último, recordar también utilizar contraseñas seguras, de ser posible frases como contraseña, utilizar un administrador de contraseñas confiable que permita crear y almacenar de manera ordenada contraseñas únicas para cada cuenta o servicio y de esta manera evitar la tentación de reutilizar las mismas credenciales o leves variaciones para acceder a otras cuentas.

Fuente: https://www.welivesecurity.com/

Las nuevas preocupaciones sobre la cadena de suministro de software surgieron en la comunidad de código abierto cuando una popular biblioteca de Javascript comenzó a eliminar todos los archivos en los sistemas de Bielorrusia y Rusia como protesta por la guerra en Ucrania

Node-ipc, una biblioteca npm que es una dependencia del extremadamente popular marco Javascript frontend Vue.js, se actualizó la semana pasada para incluir código malicioso que sobrescribía archivos en sistemas con direcciones IP bielorrusas o rusas. El mantenedor de Node-ipc, RIAEvangelist, pronto revirtió el código para simplemente dejar caer un archivo titulado «CON AMOR-DE-AMERICA.txt» que contenía un mensaje que pedía paz.

«Este comportamiento está más que jodido. Claro, la guerra es mala, pero eso no justifica este comportamiento (por ejemplo, eliminar todos los archivos para los usuarios de Rusia/Bielorrusia y crear un archivo extraño en la carpeta del escritorio). F** k tú, vete al infierno. Acabas de arruinar con éxito la comunidad de código abierto. ¿Estás feliz ahora @RIAEvangelist ? «, Escribió un comentarista en Nopde-ipc Github.RIAEvangelist negó que haya una carga útil destructiva; sin embargo, la carga útil fue bien documentada por la comunidad de Github y Snyk .

Cuando RIAEvangelist actualizó Node-ipc, también actualizó los números de versión, lo que provocó la actualización automática del código para muchos usuarios intermedios.“Obviamente querían enviar un mensaje en un momento en el que estamos teniendo muchas crisis en todo el mundo, hay un dolor comprensible. Puedo entender eso. También me gustaría decir que esta no es la mejor manera de hacerlo. «, dijo Liran Tal, director de defensa de desarrolladores en Snyk, a SC Media.

Tal escribió la publicación del blog de Snyk, que incluye en términos inequívocos su postura sobre la guerra: «Snyk apoya a Ucrania». El problema, dijo, es que el software destructivo, incluso «protestware», un término acuñado por algunos para Node-ipc, corre el riesgo de dañar los sistemas colaterales y la comunidad de código abierto en general.»El radio de explosión aquí fue grande», dijo.

Muchos desarrolladores ven el software de código abierto como un monolito, una sola comunidad en lugar de un grupo de proyectos individuales. Incluso entre los proyectos populares, estos pueden abarcar toda la gama de grandes organizaciones con juntas directivas y muchos contribuyentes, como dijo XKCD , «un proyecto que alguna persona al azar en Nebraska ha estado manteniendo desde 2003 sin agradecer».

Node-ipc es la segunda instancia importante de un proyecto de código abierto mantenido por un solo individuo que fue saboteado como una forma de activismo el año pasado, luego de un largo período sin activismo alguno. Colors.js y Faker.js, ambos mantenidos por la misma persona, agregaron un bucle infinito al código en enero para protestar contra las grandes empresas que usan software de código abierto sin contribuciones financieras. En ese caso, sin embargo, la protesta estaba ligada al medio: era una protesta de código para los codificadores, en lugar de un tercero.

La lección puede ser incluir proyectos dirigidos por individuos, o proyectos con dependencias de proyectos dirigidos por individuos, como su propio riesgo en un modelo de amenaza.»Tienes que confiar en las personas de las que obtienes los componentes. Y creo que la moraleja de la historia vuelve a la higiene. Cuando eliges qué proyectos usar, debes elegir los de lugares que son respaldado por fundaciones», dijo Brian Fox, director de tecnología de la empresa de cadena de suministro de software Sonatype.

Una organización como Apache, donde una decisión tan radical como agregar un código malicioso requeriría una votación, sería menos probable que hiciera tal movimiento, dijo Fox.

Pero el punto, dijo, no debería ser que el activismo por sí solo sea el problema. En cambio, todo esto juega con un problema mayor, que las empresas siguen sin estar preparadas para los riesgos de la cadena de suministro de software, incluso después de un año mostrando cuántas formas diferentes entran. a SC Media eran para versiones peligrosamente desactualizadas del popular paquete Java.»Si no podemos manejar Log4j después de tres meses, ¿cómo podemos manejar algo que sucedió anoche?», dijo.

Lo merezca o no, el daño causado a la credibilidad del código abierto probablemente no se limitará a proyectos mantenidos por individuos individuales. (Los teléfonos celulares de los proveedores comerciales «probablemente se están volviendo locos ahora», dijo Adam Meyers, vicepresidente senior de inteligencia de Crowdstrike, ya que las empresas buscan una alternativa administrada de manera más profesional).

Para el código abierto en general, «no ha sido un buen aspecto», dijo, incluso cuando la mayoría de las personas en la comunidad de código abierto lo ven como «tremendamente irresponsable».»No había discreción sobre qué tipo de usuarios había en Rusia o Bielorrusia», dijo. «Podría haber sido, ya sabes, infraestructura crítica, cuidados críticos. Extremadamente mal juicio».

Fuente: https://www.somoslibres.org/

Resulta bastante obvio a esta altura decir que el ransomware resulta atractivo para cibercriminales que encuentran en este negocio un modelo redituable en términos económicos. El crecimiento que ha tenido esta amenaza la ha convertido en una de las principales, afectando a compañías de todas las industrias, organismos gubernamentales, instituciones educativas, hospitales, etc., y solicitando a las víctimas montos cada vez más elevados por el pago de los rescates.

Luego de que el ransomware Maze a fines de 2019 implementara por primera vez el doxing como segunda modalidad extorsiva, otras bandas criminales adoptaron con gran rapidez esta estrategia a la dinámica  de sus ataques. El objetivo de esto es claro: presionar aún más a las víctimas para que paguen los rescates, ya que al hacerlo también evitarán que se exponga el nombre de la empresa y sobre todo que se libere para su descarga la información robada. Para llevar adelante esta dinámica, los grupos comenzaron a crear sitios, en su mayoría dentro de la red Tor.

Generalmente, los atacantes primero exponen el nombre de la empresa u organización víctima y unos pocos archivos para descargar como prueba de la intrusión. Luego suelen indicar una fecha en la que publicarán toda la información robada si no llegan a un acuerdo para negociar el pago del rescate. Si la víctima decide no pagar, los criminales probablemente publiquen la totalidad de la información robada o la vendan.

Más allá del daño a la reputación y a la imagen —además de posibles consecuencias legales— que representa para las compañías y organizaciones aparecer en uno de estos sitios que operan los grupos de ransomware, un caso que dejó claro el valor de la información robada para los grupos de ransomeware fue el ataque del ransomware Conti al servicio de salud público de Irlanda (HSE, por sus siglas en inglés) en mayo de 2021.

En esa oportuniodad los cibercriminales solicitaron en un primer momento 20 millones de dólares en bitcoin para que la entidad pueda recuperar los arhivos del cifrado y también evitar la circulación de la información robada, pero finalmente entregaron un descifrador de forma gratuita para que puedan recuperar los equipos afectados, aparentemente por tratarse de un organismo dedicado a la salud. Sin embargo, los criminales comunicaron que esto no evitaría que publiquen la información o que incluso la vendan.

Esta práctica del doxing, que se consolidó como tendencia en los primeros meses de 2020 con unos pocos grupos que la adoptaron, tiene hoy al menos 41 sitios activos creados por grupos de ransomware para publicar los nombres y la información sustraida de los sistemas de las victimas, cada uno de los cuales representa a una familia distinta en actividad.

En septiembre de 2021 se registran 41 familias de ransomware operativas de acuerdo a la actividad en el sitio que utilizan para publicar la información de las víctimas.

Atomsilo: nuevo ransomware que apareció en septiembre

La constante aparición de nuevas familias de ransomware que luchan por un lugar en una escena cada vez más saturada nos dan la pauta del crecimiento que ha tenido esta amenaza. Una de estas nuevas apariciones es la del ransomware Atomsilo, que surgió en la darknet a mediados de septiembre de 2021 con un sitio muy similar al del ransomware Blackmatter, tanto en la estética como en los textos que se despliegan en el sito —en algunos casos son copias exactas.

Sitio en la red Tor del nuevo ransomware Atomsilo

El sitio de Atomsilo contiene el nombre de lo que aparentemente el grupo asegura es su primera víctima: una compañía farmacéutica de Brasil llamada Cristália. Vale la pena mencionar que la compañía publicó en su sitio web que el pasado 9 de septiembre sufrió un ataque informático que afectó a sus sistemas y operaciones, aunque no confirmó que se trate de un ransomware. Sin embargo, la aparición del sitio en la red Tor parece haber sido días posterioes al incidente.

Los cibercriminales afirman haber robado 900Gb de información y publicaron nombres completos, números de CNP, direcciones particulares, números de teléfono, imágenes de documentos, entre otra información.

Sitio del nuevo ransomware Atomsilo publica lo que según ellos sería la primera víctima.

Otro de los grupos de ransomware que ha demostrado una importante actividad en América Latina en el último tiempo es Lockbit 2.0. Esta banda, que hace poco aseguró haber sido el responsable del ataque a la compañía Accenture, publicó en septiembre el nombre de cinco víctimas de América Latina; una compañía de México y cuatro de Brasil. Las víctimas van desde organismos gubernamentales, hoteles, compañías del sector de la construcción, hasta estudios de abogados.

Fuente: www.welivesecurity.com