El Banco Chino ICBC sufre un ataque de Ransomware y afecta el mercado del Tesoro de EEUU

Desde que el cibercrimen se posicionó como la actividad delictiva más lucrativa de la historia a nivel mundial, el sector financiero se convirtió en el preferido por los ciberatacantes enfocados en ofensivas contra compañías.

La razón resulta un tanto obvia, al ser el ámbito donde por lógica se acumula el capital electrónico a nivel mundial; una vulneración a su sistema implica una alta probabilidad de obtener ganancias económicas directas.

Uno de los ejemplos más recientes y de impacto internacional, fue la vulneración al banco chino ICBC, una de las instituciones financieras más importantes de China, que al mismo tiempo generó consecuencias en el panorama internacional.

El ciberataque registrado fue un ransomware y al parecer, de acuerdo a la postura oficial la información comprometida no significó una pérdida importante como para afectar las actividades a mediano plazo.

Sin embargo, al parecer esto sí provocó que sus actividades se detuvieran momentáneamente y a su vez, trajo consigo un efecto cadena que llegó al mercado del Tesoro estadounidense.

Este es solo uno de los ejemplos más recientes que demuestra cuan fácil puede colapsar el sistema económico mundial a partir de un ciberataque a gran escala, ya que si tomamos como base las consecuencias que tuvo un ataque de ransomware "menor", si alguna institución financiera estadounidense, china, inglesa, alemana o de algún otro país que concentre una importante cantidad de recursos en el mundo llega a ser víctima de una vulneración de alto impacto, esta situación podría materializarse.

El 2024 se perfila como el año del cibercrimen a través de la IA

A poco más de mes y medio para que el 2023 culmine, se puede considerar al pasado 2022 como el año donde la Inteligencia Artificial se posicionó como un recurso común más allá de la industria tecnológica, pero fue en el actual 2023 donde aconteció la explosión mediática y de uso cotidiano para el usuario común.

Aunque la mayoría de usuarios se concentraba en agilizar varias actividades, y otro tanto únicamente hacía uso de estas herramientas con fines puramente de ocio; era de esperarse que los cibercriminales también empezaran a darle uso para sofisticar sus ataques.

Por razones de prevención, y en consideración a la alta cantidad de visitantes en este blog, no se profundizará ni se darán instrucciones específicas de cómo se puede utilizar una IA para realizar ciberataques. Pero sí se pueden dar indicios de algunas actividades que los cibercriminales han realizado con fines maliciosos:

• En un primer ejemplo, nos encontramos con el uso de la escritura de código para la creación de malware, destacando principalmente para el diseño de ransomware, convirtiéndose en uno de los ciberataques más comunes.
• Otro uso inadecuado ha sido en la creación de páginas apócrifas, las cuales ahora gracias a la IA, se pueden realizar con una velocidad tan avanzada que se pueden crear decenas simultáneamente, favoreciendo el robo de información y las estafas.
• Adicionalmente otra faceta preocupante es la falsificación de voces, vídeos e imágenes; ya que si bien las notificas falsas han sido una constante durante más de una década, ahora el realismo de este material generado ha multiplicado su impacto.

Es de esta manera como se ha abierto un nuevo panorama para la cibercriminalidad, sin embargo, también nos hemos encontrado con nuevas herramientas de ciberseguridad que han sido potenciadas por la IA, y depende de los profesionales en el área realizar los estudios correspondientes, intentando equilibrar el complejo escenario de nuestra seguridad de la información.

Se detecta un troyano preinstalado en miles de dispositivos chinos Android disponibles en Amazon y Mercado Libre

Durante varios años, la abrumadora presencia de China en la exportación de sus dispositivos tecnológicos ha sido una costumbre para la mayoría de países en el mundo. La principal razón reside en primer lugar en sus bajísimos precios en comparación al resto de exportadores, así como en su variedad de sus modelos y en el acceso a dispositivos con funciones y características que muchas veces pueden igualar o incluso superar las que ofrecen marcas de otros países en sus líneas premium.

Como era de esperarse de este crecimiento comercial, muchas hipótesis se crearon alrededor de esta industria; muchas veces exageradas y con un sospechoso origen por parte de algunas empresas europeas que se veían seriamente afectadas por esta oleada de productos que superaban su oferta.

Teniendo en cuenta este contexto, es indispensable para el investigador no crear prejuicios y esperar a emitir opiniones profesionales hasta que haya evidencia disponible, como fue en este caso.

La firma de ciberseguridad Human Security ha informado que millones de dispositivos, la mayoría de ellos diseñados para instalarse en Android TV han sido fabricados con malware preinstalado, aprovechando que el sistema operativo utilizado está basado en el modelo abierto de AOSP.

Este malware fue denominado por los especialistas como badbox, y se calcula que son más de 15 millones de dispositivos los que han sido exportados desde China.

La complejidad de este problema reside en que este puede ejecutarse de forma remota desde el momento en que el dispositivo es instalado o cuando se conecta a internet, lo que permite tomar el control del equipo y extraer toda la información que el artefacto recibe. Además de que preliminarmente se han encontrado bases de datos que son colocadas a la venta en la darkweb, aunque esto último deberá corroborarse en los próximos meses.

Asimismo se ha liberado una lista de los modelos donde se ha encontrado este malware, intentando advertirle a usuarios particulares, así como empresas e instituciones educativas. A continuación se compartirá con fines preventivos:

• T95 
• T95Z 
• T95MAX 
• X88 
• Q9 
• X12PLUS 
• MXQ Pro 5G
• J5-W

El ciberataque masivo al Departamento de Salud de EEUU y sus cientos de miles de víctimas

Las agencias gubernamentales de las principales potencias industriales en el mundo suelen volverse blanco de tentativas de ataques casi diario, por lo que sus sistemas de defensa deben estar en permanente guardia; a pesar de esto en ocasiones algunos grupos cibercriminales son capaces de completar exitosamente alguna clase de ciberataque.

Tal es el caso del grupo cibercriminal "CLOP" el cual completó un robo de datos masivo al Departamento de Salud de Estados Unidos, siendo reportado por importantes medios como CNN o la BBC.

Las cifras se calculan en alrededor de 100,000 registros personales. Esta situación adquiere un agravante en dicho país, ya que como se sabe el número de seguridad social representa uno de los recursos de identificación más recurrentes.

Hasta el momento de la redacción de esta entrada, los registros no han sido publicados, sin embargo, la posesión de estos por parte de los cibercriminales les permite una extensa variedad de oportunidades de beneficio a partir de la suplantación de identidad y su uso para distintos fines.

Este ataque se dio a conocer por obligación legislativa, ya que en Estados Unidos los organismos públicos están obligados a reportar cualquier ciberataque, que tenga un mínimo de 100,000 víctimas. Si bien el congreso ya ha sido enterado, aún no se han anunciado medidas oficiales.

En este tipo de vulnerabilidades, el primer paso de los equipos de respuesta es determinar el fin de la información robada, ya que las medidas que se deben tomar frente a una divulgación pública son muy distintas a aquellas donde se colocan a la venta en la DarkNet o que, como ya se mencionó si estas se robaron con el fin de crear suplantaciones de identidad de forma masiva.

La expansión de malware a través de software apócrifo de ChatGPT

La piratería o falsificación de software es un tema que continuamente se ha tocado en las entradas de este blog, incluso ha sido de las discusiones más profundizadas debido a las implicaciones ideológicas y de principios que hay alrededor de esta práctica.

Y es que también, una de las principales opciones de distribución de malware es a través de este medio: el software apócrifo que contiene malware. Y es un nuevo caso el que compete a esta entrada: el de malware asociado a versiones de el famoso ChatGPT.

Si no te encuentras familiarizado con lo que hace ChatGPT exactamente, debes saber que es un ChatBot (un programa diseñado para interactuar con el usuario a través de conversaciones de chat) que utiliza Inteligencia Artificial (AI por sus siglas en inglés), desarrollado por la empresa OpenAI la cual en un principio había colocado productos gratuitos, pero a medida que el proyecto se consolidó y comenzó a tener una creciente actividad de usuarios, así como una base de datos lo suficientemente extensa para ser comercializada, su servicio pasó a ser de paga y esto ocasionó malestar a quienes utilizaban su versión beta de forma libre.

Naturalmente esta decisión, acarreó una serie de reacciones inmediatas que muchos cibercriminales decidieron aprovechar para su beneficio: versiones gratuitas, extensiones, complementos y hasta versiones avanzadas del mismo servicio comenzaron a ofertarse en sitios de software libre y de piratería: a lo que muchos usuarios sin considerar en los riesgos han decidido instalar estos programas.

Como ha sucedido en la instalación de software no licenciado de aplicaciones legitimas (por ejemplo, en el comentado caso de las versiones de WhatsApp), empresas de ciberseguridad, como ESET han encontrado que el malware que contenían este falso contenido se enfocaban en la recolección de memoria cache y robo de datos de acceso, principalmente en cuentas de Facebook (las cuales son relativamente fáciles de vulnerar para quien ha robado información de usuario y contraseña).

Por esta razón se debe ser en extremo cuidadoso cuando se realiza la instalación de programas sin licencia y verificarlos previamente, ya que los problemas que estos causan pueden llegar a ser mucho más perjudiciales que el ahorro del pago por una licencia original.

WhatsApp Pink y las aplicaciones alternativas que terminan con millones de víctimas

La piratería existe aún antes del nacimiento de la computación, es una respuesta natural del ser humano que se origina por diversos factores frente a una versión "oficial" que aspira a ser la única.

No obstante, en la actualidad, en un mundo donde los sistemas computacionales ocupan buena parte o incluso la mayor parte de la vida de billones de seres humanos en el mundo, la piratería ha sido adoptada como una práctica común donde muy cerca del 100% de usuarios frecuentes de internet han utilizado programas no legítimos distintos al fabricante.

Es en este tenor donde las aplicaciones han sustituido decenas de actividades diarias, también han ido encontrando sus propias versiones apócrifas; algunas que eliminan la opción de pago por su uso y otras que, en el caso de que sean gratuitas ofrecen mayores opciones y herramientas que la aplicación original. Tal es el caso de Whatsapp, la mayor plataforma de mensajería instantánea de la actualidad en el mundo occidental. Esta herramienta es una de las que mayores alternativas no oficiales exitosas ha desarrollado, algunas de ellas muy peligrosas.

Entre estas populares versiones se encuentran el Whatsapp "Gold", Black" y "Blue", cada uno con distintas herramientas que permiten tomar ventajas sobre la privacidad del Whatsapp oficial, razón por la cual han sido millones de usuarios que se han arriesgado a instalar la aplicación en estos móviles, pero ¿qué consecuencias han traído para quienes cuentan con este software?

Naturalmente la exposición al malware se incrementa notoriamente al utilizar software desarrollado por terceros sin autorización, ya que incluso la aplicación oficial ha tenido problemas de vulnerabilidades y polémicas con el uso de datos de sus usuarios, esta situación se agrava al no haber regulaciones claras cuando un desarrollador es desconocido en el medio.

Entre las consecuencias que ya se han registrado oficialmente entre las víctimas de estos programas, han sido principalmente el spyware, es decir un malware cuya función es espiar en tiempo real información que el usuario comparte, comprometiendo crucialmente su privacidad; otro malware bastante común han sido los keyloggers los cuales son capaces de registrar cada palabra escrita para tener acceso a contraseñas y credenciales escritas en el dispositivo.

Ahora, en una de las versiones más recientes se ha popularizado el "Whatsapp Pink", el cual es particularmente más riesgoso que algunas de las opciones más populares de esta plataforma.

La razón, es que se ha confirmado que varias APKs contienen un malware muy agresivo que está específicamente dirigido hacía aplicaciones bancarias y de pago, con el propósito de realizar cargos no reconocidos o transferencias hacía cuentas internacionales. Si bien algunas instituciones bancarias cuentas con factores de autenticación, algunos malware son capaces de acceder (de acuerdo a los permisos otorgados) a los SMS o a la sección de llamadas, obteniendo así códigos por distintas vías, autorizandose ellos mismos las transacciones.

Esta es una de las mecánicas de ataque que se encuentran específicamente detalladas y esto permite alertar adecuadamente a cada usuario sobre la exposición a la que se enfrenta al hacer uso de este tipo de contenido.

El ciberataque a FEMSA y los grupos cibercriminales involucrados

Uno de los pocos ciberataques que atrajeron buena parte de atención por parte de la ciudadanía en general, fue el ocurrido en abril de 2023, donde la empresa FEMSA (la embotelladora y distribuidora responsable del producto Coca Cola en México y algunas zonas latinoamericanas, así como del embotellamiento y distribución de otras bebidas carbonatadas y alcohólicas); todo este revuelo se debió probablemente a que la trascendencia de la compañía en México es altísima debido a la fuerte presencia refresquera que existe en el país.

En principio se discutía acerca de la posibilidad de que existiera una interrupción de algunas de sus actividades (por lo que basado en el volumen de ventas que presenta esta empresa, sería económicamente desastroso), sin embargo, al menos en los pronunciamientos oficiales no existió alguna aceptación respecto a esta probable interrupción e incluso días después se llegó a desmentir.

Aunque ese escenario pueda parecer sorprendente a algunos recién iniciados en el estudio del cibercrimen, los alcances de un ciberatacante en la actualidad le permiten realizar vulnerabilidades que dificulten toda la operatividad de una empresa, incluso una de alcance internacional como la propia FEMSA.

Lo comunicado -semanas después- es que los propios directivos han confirmado la sustracción de datos financieros de la compañía y han advertido acerca de la posibilidad de que estos lleguen a ser filtrados públicamente, sin dejar de tomar esto como algo alarmante; ya que, de acuerdo a sus declaraciones la información sustraida no comprometerá el funcionamiento de la compañía.

Para finalizar, una situación inusual ha ocurrido respecto a los responsables. Es bastante común que los grupos cibercriminales se adjudiquen el ataque, mas, en esta ocasión fueron distintas redes cibercriminales quienes asumieron el ataque, en primera instancia fue el grupo Pro-Rusia: "Stormous", posteriormente fue el grupo cibercriminal Black Cat y momentos después, otra organización asociada a ALPHV decía ser partícipe de este ciberataque.

Si bien las redes cibercriminales que suelen adjudicarse vulneraciones para aumentar su prestigio son relativamente comunes, en este caso ocurrió que todos ellos proporcionaron capturas y datos confidenciales que indicaban sí estaban detrás de la perpetración ilegal. Hasta estos momentos, aún queda por definir con precisión al autor o autores detrás de este incidente.

¿Qué hay detrás de la noticia del hackeo a ChatGPT y la supuesta filtración de 100000 cuentas?

Aunque la mayoría de los medios de comunicación no han atendido este suceso, entre la comunidad de ciberseguridad ha causado gran alarma enterarse que, de acuerdo a la empresa de ciberseguridad "Group IB", la plataforma de ChatGPT ha sido vulnerada y la base de datos de más de 100,000 cuentas puede estar comprometida, ya que de acuerdo a los cibercriminales es esta la cantidad de información que han colocado a la venta.

Puedes conocer la fuente original de la noticia aquí.

¿Qué implica esta noticia? Cuando un usuario sin experiencia lee la nota, puede considerar como real la filtración y difundir la información sin ser verificada. Sin embargo, con la debida experiencia en el área, se sabe que este tipo de información debe tomarse con cautela y si bien existe la probabilidad de que esta vulnerabilidad sí haya ocurrido, hasta el momento de redactar la presente entrada (27 de junio de 2023), no existe evidencia que compruebe este incidente.

Si bien en una DarkNet es común encontrar venta de paquetes de datos obtenidos ilegalmente, y la mayoría de las filtraciones han ocurrido por ese medio, un verdadero especialista sabe que también algunos cibercriminales ya sea independientes o contratados por gobierno o incluso empresas rivales, suelen hacer uso de estos medios para "exponer" bases de datos ficticias e incidir en la valuación de una empresa o la reputación de un país que normalmente suelen encontrarse en conflicto, cuando ocurren estas supuestas filtraciones.

¿Cómo se puede corroborar la originalidad de este robo de información? La única vía segura es que alguien realice la transacción que el supuesto criminal pone a la venta, y una vez que la reciba decida hacerla pública.

Aunque parezca algo inviable, en muchas ocasiones son los propios cibercriminales quienes deciden filtrar públicamente los datos robados, en represalia cuando las empresas o gobiernos no responden a sus extorsiones. En otros casos, se sabe (aunque esto no se hace oficial debido a razones éticas y de reputación) que son las propias empresas quienes compran su información robada a través de la DarkNet, evitando así que termine siendo difundida por terceros y tampoco dejando registros de una transacción oficial, ya que se realiza por medios ilegítimos.

El ciberataque a la Fiscalía de Quintana Roo y el data breach de sus registros

Dentro de la "reducida" (en comparación a otros sectores profesionales mucho más numerosos) comunidad de investigadores en cibercriminalidad, es muy común acostumbrarse a que pocas noticias de ciberataques lleguen a filtrarse a los principales medios de comunicación, ya sea porque estos temas son difíciles de tocar para quienes redactan las notas debido al nivel de conocimiento requerido para redactar apropiadamente, o en un terreno de mayor especulación, debido a que esto significaría mostrar vulnerabilidades de poderosos organismos públicos y privados.

Si bien no quedó claro la razón por la cual el caso de data breach que se presentó a inicios del mes de enero de 2023 dentro de la Fiscalía de Quintana Roo no llegó a recibir una cobertura mediática considerable, sí nos hemos encontrado que la información filtrada corresponde a una enorme cantidad de registros de datos confidenciales (al menos así se planteaba en el mensaje de difusión de la información).

No obstante, al investigar sobre el tratamiento que se le dio a este incidente de parte de los servidores públicos involucrados, se encontró que existen declaraciones y comunicados oficiales, donde "aclaran" que esta información corresponde a "registros menores" y que la sensibilidad de los datos filtrados, no tienen la gravedad que se ha mencionado por parte del autor de la publicación donde se dio a conocer la respectiva filtración.

Es menester recordar que en los casos de ciberataques a gobiernos (y esto no se restringe a los gobiernos mexicanos) las versiones oficiales y las de los cibercriminales suelen distanciarse notoriamente (es oportuno recalcar que no se debe crear un sesgo de creencia basado en que las versiones de los gobiernos sean mentiras o que las de los ciberatacantes sean verdaderas).

Recordemos que cuando el ataque de ransomware ocurrió en las bases de datos de PEMEX, las instancias oficiales minimizaron el incidente afirmando que "únicamente" había sido menos del 5% de sus equipos afectados.

Por ello, para los investigadores de debe contar con un criterio muy agudo para evitar caer en sesgos de preferencias ideológicas o políticas, ya que ambas partes pueden estar modificando sus aseveraciones con base en sus intereses.

Lockbit, la evolución del ransomware a una poderosa agrupación cibercriminal internacional

En este blog comúnmente se abordan tendencias que ya son una problemática para la ciberseguridad a nivel mundial, o están encaminadas a serlo. Tal es el caso de Lockbit, que en una entrada pasada lo considerábamos como un ransomware de alto riesgo para instituciones del sector público y privado, como prueba de lo mencionado se comparte el enlace con redireccionamiento a dicha entrada: LockBit el malware de mayor amenaza creciente para México y la comunidad internacional en el 2023

En la mencionada publicación, se clasificaba a Lockbit como un ransomware agresivo y de fácil expansión, sin embargo, esta denominación fue utilizada por sus creadores para identificarse con el mismo título a la agrupación, la cual comenzó con una serie de ataques dirigidos a objetivos específicos.

Si bien las agrupaciones cibercriminales son un común denominador en la actualidad, su nivel de peligrosidad se mide no solo por el historial de sus miembros, sino por los antecedentes de sus ataques. Y en este caso, las "hazañas" recientes de estos cibercriminales, han ganado un respeto considerable, por la magnitud de algunos ciberataques, siendo el realizado al servicio postal británico uno de los más complejos, considerando que incluso las actividades de servicio al público se vieron paralizadas durante varios días.

Una mayor celebridad les generó una de sus más recientes decisiones: cuando después de cifrar archivos de un hospital infantil, sus miembros tomaron conciencia de las características de las víctimas de este ciberataque y ofrecieron de manera gratuita el software para poder desinstalar dicho ransomware, además de ofrecer una disculpa pública.

Es en este escenario donde se clasifica a Lockbit como una organización criminal de alta expansión y niveles de riesgo que pueden interferir en la prestación de servicios de los países más industrializados a nivel mundial. Por lo que a partir de esta entrada se realizarán enfoques específicos hacía este equipo, señalando aquellas actividades más trascendentales que los lectores del presente blog deben conocer.

El riesgo de los anuncios de Google y su redireccionamiento a páginas falsas

Todos los usuarios en internet hemos automatizado procesos de manera habitual, ahorrando así esfuerzo y tiempo en nuestras actividades digitales.

Una de estas mecánicas que se volvió tan recurrente como desapercibida, fue el visitar sitios web a través de los buscadores, debido a que es muy común desconocer exactamente cómo se escriben las direcciones URL.

Desafortunadamente, como suele suceder en aquellas actividades donde los usuarios muestran descuidos asiduos, los cibercriminales aprovechan estos comportamientos que los ven como una enorme oportunidad de tomar ventaja de omisiones que pasan inadvertidas para la persona común.

¿En qué consiste el malware o phishing por anuncios publicitarios? Se tomará como ejemplo al buscador Google, ya que este concentra un dominio abrumador sobre el resto de sus competidores, incluso sumando las visitas totales de todos estos juntos. 

Para explicar este proceso, lo ejemplificaremos con un usuario promedio que busca descargar su estado de cuenta bancario y no recuerda el nombre de dominio de su banco. Por lo que decide ingresar a Google y escribir el nombre de su banco en el buscador para darle click al primer resultado encontrado.

En un escenario benigno, el usuario accede sin mayores contratiempos, ya que el resultado principal es el sitio web legitimo debido a que el buscador lo posicionó en el primer lugar debido a la valoración de los metadatos en la web.

Desafortunadamente, hay otras ocasiones que suceden en una pequeña frecuencia, aunque con un crecimiento cada vez más notorio. Ya que, haciendo uso del posicionamiento que ofrece Google a través de su servicio de anuncios, estos suelen colocarse en los primeros resultados de una búsqueda.

Basta con crear un sitio lo suficientemente similar en cuanto a características visuales, para posicionarlo a través de pagos de anuncios en el buscador de Google. Esta suplantación puede resultar enormemente efectiva, para aquellos clientes que no reparan en detalles de seguridad para identificar sitios dedicados al phishing.

Por ello, la principal recomendación que se puede realizar al respecto es cerciorarse del sitio en el que se está navegando. Se pueden utilizar apoyos externos, como visitar las redes digitales del sitio web para compararlo con el enlace oficial, también se pueden realizar sitios de verificación del certificado digital como site 24/7.

Tor Project el navegador más popular para acceder a la DarkNet víctima de ataques DDoS

Desde hace más de una década el proyecto Tor se ha considerado como el principal recurso de acceso a la DarkNet (vulgarizada como Deep Web), esto ha atraído no solo a especialistas de seguridad informática, activistas o periodistas que buscan difundir noticias de alto compromiso o cibercriminales que se benefician del anonimato para compartir contenido ilegal. También atrajo a millones de curiosos alrededor del mundo, que siguiendo las modas digitales de influencers y youtubers, se adentraban a navegar en foros para comprobar lo que leyendas digitales surgieron sobre estos espacios.

Esta popularidad ha obligado a sus desarrolladores a aumentar la capacidad de sus servidores para hacerlo funcional a cada usuario del browser. 

También, como era de esperarse algunos gobiernos o miembros de círculos empresariales que se han visto afectados por la difusión de material que atenta contra sus intereses a través de la DarkNet han intentado por mecanismos legales en algunas ocasiones, y medios de ciberofensiva en otras ocasiones intentar dificultar la actividad de TorProject.

Desafortunadamente en meses recientes, parece que algunos de estos ataques han resultado efectivos, ya que en el propio blog del browser han confirmado la existencia de ataques DDoS 

Si bien la autoría de sus ataques aún es desconocida, sí se ha podido corroborar que estos han ralentizado la funcionalidad del navegador, y que desafortunadamente estos ataques han sido continuos por más de 7 meses. Explicando que en algunas ocasiones la red ha estado más lenta en los puntos donde se han registrado una mayor cantidad de ataques.

Afortunadamente numerosos desarrolladores se han aliado para apoyar en distintas formas a la restauración de las actividades para regresarlas a su normalidad. Entre las que se encuentran:  Ocelot, Quiet, Wasabi Wallet / zKSNACKs, Fedimint, Trezor, OpenSats, y la Freedom of the Press Foundation.

Una vez que TorProject se estabilice se comunicará por esta vía.