hackers

Ucrania expone una operación de piratería rusa expansiva dirigida a su gobierno e infraestructura

Editor YPT 10/11/2021

La principal agencia de aplicación de la ley de Ucrania publicó un análisis detallado el jueves que revela lo que dice son los piratas informáticos rusos y los "traidores que se pusieron del lado del enemigo" detrás de una amplia campaña que comenzó en 2014.

Los piratas informáticos, según el Servicio de Seguridad de Ucrania, son responsables de más de 5.000 ciberataques a entidades estatales ucranianas e infraestructura crítica que intentaron "infectar" más de 1.500 sistemas informáticos gubernamentales.

El informe dice que la agencia de inteligencia rusa, el Servicio Federal de Seguridad (FSB), está detrás del grupo "Armageddon", conocido más ampliamente fuera de las fronteras de Ucrania como Gamaredon o Primitive Bear.

Es distinto de otros grupos de inteligencia y piratería militar rusos detrás de los ataques a objetivos en todo el mundo, incluidos los infames ataques del Comité Nacional Demócrata y la campaña de Hillary Clinton antes de las elecciones de 2016. Armageddon se remonta a 2013 o 2014, dice el informe ucraniano, por lo que es "relativamente joven", pero sin embargo digno de atención y "capaz de convertirse en una ciberamenaza con consecuencias, cuya escala superará el efecto negativo" del otro ruso. grupos de piratería del gobierno.

Si bien el equipo de piratería de Gamaredon ha demostrado tener un alcance global, ha regresado repetidamente a su antigua república constituyente soviética. Ucrania está destacando las intrusiones en un momento de creciente conflicto con Rusia .

Los agentes del FSB implicados, así como los ex agentes del orden ucranianos, están siendo acusados de varios delitos en Ucrania, incluido el espionaje, la interferencia no autorizada en el trabajo de los sistemas informáticos y la creación y uso de software malintencionado.

La información que publicaron los ucranianos incluye un análisis escrito de 35 páginas , una presentación de diapositivas y videos que incluyen grabaciones de los supuestos piratas informáticos del gobierno ruso discutiendo los ataques en tiempo real. “El servicio especial ucraniano reveló las identidades de los intrusos [y] obtuvo evidencia incontrovertible de su actividad ilegal, incluida la interceptación de sus llamadas telefónicas”, escribió la agencia.

https://www.youtube.com/watch?v=Rci5xiyMv7k&t=2s

SSU interceptó conversaciones de piratas informáticos del FSB que llevaron a cabo más de 5000 ciberataques a organismos estatales

Sus principales objetivos incluían el control de la infraestructura crítica, el robo y recopilación de inteligencia e información clasificada, "operaciones de información e influencia psicológica" y el bloqueo del acceso a los sistemas de información, alega la agencia ucraniana. Los agentes del FSB implicados, así como los ex agentes de la ley ucranianos, están siendo acusados de varios delitos en Ucrania, incluido el espionaje, la interferencia no autorizada en el trabajo de los sistemas informáticos y la creación y uso de software malintencionado.

La actividad llevada a cabo por el grupo es parte de la guerra híbrida en curso librada por el gobierno ruso contra Ucrania, que combina tácticas militares abiertas tradicionales con tácticas encubiertas y sutiles, como operaciones de influencia y ataques cibernéticos para llevar a cabo ataques de espionaje y denegación de servicio. Incluso ha incluido ataques agresivos a la infraestructura crítica, como en diciembre de 2015 cuando los piratas informáticos rusos desactivaron temporalmente la electricidad en Ucrania.

El informe del jueves dice que el objetivo principal del grupo es la actividad de inteligencia cibernética dirigida, particularmente contra las agencias gubernamentales. Las tácticas y los métodos de Armageddon no son particularmente sofisticados y no están tratando de mantenerse fuera del radar. “Las actividades del grupo se caracterizan por la intromisión y la audacia”, afirma el informe.

Los autores ucranianos dividieron la evolución de Armageddon en dos fases, de 2014 a 2017, y de 2017 hasta el presente. Durante los primeros años, el grupo se basó principalmente en software disponible públicamente, pero después de 2017 comenzó a desarrollar un malware personalizado llamado Pterodo / Pteranodon, "que expandió ampliamente la funcionalidad del grupo".

Un representante de prensa de la embajada rusa en Washington, DC, no respondió de inmediato a una solicitud de comentarios.

Por: AJ Vicens

Fuente: https://www.cyberscoop.com/ukraine-russian-hackers-armageddon-videos-gamaredon/

Las verdaderas víctimas de los masivos robos cibernéticos de criptomonedas

Guido Rosales 08/09/2021

"Estoy fijo a perder el equivalente de casi 2.500 euros (US$2.940) en criptomonedas", dice.

Chris se describe a sí mismo como "un pequeño propietario de criptomonedas de Austria" y es una de las muchas víctimas de un ataque cibernético contra la plataforma de intercambio de criptomonedas Liquid Global que sucedió la semana pasada.

La empresa insiste en que reembolsará a todos los clientes que sufrieron pérdidas en el ataque de US$100 millones.

Pero, hasta que no reciban el dinero, muchos de los clientes están preocupados.

Cada vez que Chris, un taxista de 38 años, recoge un pasajero en su viejo Volkswagen, se recuerda de lo que está en juego.

"Mi auto tiene más de 20 años y hubiera podido comprar uno nuevo de segunda mano con ese dinero", afirma Chris. "No es catastrófico, pero sigue siendo una buena suma de dinero para mí. Duré por lo menos un año ahorrando esa cifra"

"Mi nivel de estrés está en 8 sobre 10"

En Indonesia, Dina, de 27 años, dice estar en estado de shock. "Me siento tan iracunda con los hackers, y me siento estresada. Tengo unos US$30.000 y es un dinero que necesito para vivir. Soy apenas un ama de casa tratando de ganar dinero del cripto".

Al otro lado del espectro, un doctor noruego de 42 años dice que le cuesta trabajo concentrarse, porque podría perder una fortuna que ha visto acumularse durante años.

"Mi estado de liquidez es de 969.000 euros [US$1.141.000]. Es extremadamente preocupante para mí y mi nivel de estrés está en ocho sobre 10. No dejo de pensar en ello".

El pánico de sus padres

En Sídney, James describe el estrés que el hackeo a puesto sobre sus padres, que lograron retirar su dinero antes de que la compañía bloqueara las transacciones.

"Mi mamá y papá tenían un bitcoin ahí, o sea unos 70.000 dólares australianos (US$50.830). Era y es mucho dinero para ellos".

"Obviamente se genera un estrés. Al comienzo no tenían idea de lo que estaba sucediendo, después sintieron que estaban siendo forzados a vender en pánico y retirarse, lo que les significó una pérdida de unos 10.000 (US$7.260)".

Liquid Global fue objeto del hackeo la semana pasada, y el dinero probablemente no será recuperado.

La empresa japonesa dijo el miércoles que está llevando a cabo una robusta revisión de seguridad y quiere "asegurar a sus usuarios de que no sufrirán ninguna pérdida debido al incidente".

Muchos clientes se han quejado de que no les informaron directamente del hackeo y que no se hubieran enterado a menos que hubieran visto los tuits de la compañía o leído las noticias

¿Qué tan seguras son las plataformas de intercambio?

Las plataformas de intercambio como Liquid son una parte vital del creciente mundo de las criptomonedas. Son sitios web que les permiten a las personas comprar y vender monedas digitales como bitcoin y ethereum, así como un lugar donde se pueden guardar esas monedas bajo protección.

Sin embargo, la protección o seguridad de las plataformas de intercambio es cuestionable.

A principios de este mes, otra plataforma cripto llamada Poly Network también fue hackeada y perdió US$610 millones en fondos de sus clientes.

Decenas de otros ataques cibernéticos contra los servicios de criptomoneda en la web han visto el robo de por lo menos US$2.196 millones por hackers desde 2014.

Los más grandes robos de criptomoneda en la historia

BitGrail: US$146 millones fueron hackeados de una plataforma de intercambio italiana en 2018. Se estima que 230.000 usuarios de BitGrail perdieron fondos.
KuCoin: US$281 millones fueron robados por supuestos hackers de Corea del Norte en este ataque contra una plataforma basada en las islas Sheychelles en 2020. La empresa recuperó la mayoría de los fondos y reembolsó a sus clientes.
MtGox: US$450 millones en bitcoins fueron hackeados en 2014 produciendo el colapso de esta plataforma japonesa. Ningún cliente ha sido reembolsado hasta ahora.
Coincheck: US$534 millones fueron robados en 2018 de esta plataforma japonesa. Los clientes fueron finalmente reembolsados.
Poly Network: US$610 millones en varias monedas desaparecieron de esta plataforma china a comienzos de este mes. El hacker devolvió todos los fondos y se han empezado a reembolsar a lo clientes.

Situaciones que involucran decenas de millones, o hasta cientos de millones de dólares suceden casi cada par de meses y, debido a que estas plataformas en su mayoría no están controladas, no hay garantía de que sus clientes recuperen su dinero.

Una "peluqueada"

Se han dado muchos casos de clientes perdiendo hasta sus últimos centavos digitales o siendo solo parcialmente reembolsados, lo que se conoce afectivamente como "una peluqueada".

"Habrá cero peluqueadas", tuiteó este martes Seth Melamed, director de operaciones de Liquid Global.

La analista financiera Frances Coppola dice que los sistemas de criptomonedas no están aprendiendo las lecciones de seguridad lo suficientemente rápido.

"El sistema tradicional de la banca es increíblemente protectora de la seguridad y tiene controles hasta el tope", señala.

"En realidad los bancos sufren ataques cibernéticos todo el tiempo. Simplemente están mejor defendidos y también tienen la responsabilidad de reembolsar a sus clientes, lo que las plataformas de criptomodenas no tienen".

Ella dice que son los usuarios individuales los que son más susceptibles a que los hackeen o defrauden en los sistemas tradicionales de la banca, lo que sucede todo el tiempo y cuesta millones.

Hackers de bancos tradicionales

La doctora Amber Ghaddar, que ha trabajado para grandes bancos y ahora es fundadora de la plataforma de criptomonedas AllianceBlock, dice que la banca tradicional también ha tenido una buena parte de grandes hackeos.

Señala al ataque cibernético de US$81 millones sufrido por un banco en Bangladesh en 2016, y el incidente de 2017 en el Union Bank de India, donde los hackers robaron US$171 millones, que luego fueron recuperados. En cada caso, ni un sólo cliente sostuvo pérdidas.

La doctora Ghaddar dice que los criptopiratas son un síntoma de un sector que aun es nuevo y está creciendo demasiado rápido.

"Parte del problema es que estos sistemas están armados sobre una tecnología de código abierto. El código abierto es fantástico porque usa la inteligencia colectiva de una comunidad para mejorar el software y los protocolos, pero la otra cara de la moneda es que algunas mentes brillantes allá afuera podrían encontrar unas debilidades en el código".

La doctora Ghaddar cree que la única manera de evitar que estos ataques sigan sucediendo es introduciendo más controles y reglas.

"Necesitamos auditoría y evaluaciones. Necesitamos tener varios estándares que necesitan ser monitoreados para proteger la integridad del mercado, si realmente queremos que las criptomonedas sean adoptadas por las masas".

Cripto caos

Así como con los ciberataques, los inversionistas ordinarios ha sido golpeados por otros tipos de "cripto catástrofes" como los llamados "fraudes de salida" y las "corridas de tapete".

Los investigadores todavía están tratando de establecer cuándo millones se perdieron en la misteriosa quiebra de la plataforma de intercambio Africrypt, que se desplomó a comienzos de esta año cuando sus fundadores desaparecieron.

Los clientes de la plataforma canadiense QuadrigaCX también están luchando para que los reembolsen después de que su fundador muriera dejando un déficit inexplicable de US$135 millones en criptomonedas en 2019.

El sistema financiero tradicional, por supuesto, está repleto de víctimas de timos piramidales de gran escala y otros fraudes que probablemente sobrepasan las pérdidas en el mundo de las criptomonedas.

Pero a pesar de su rápido crecimiento, el criptomercado es muchos más pequeño en general y su reciente historia apunta un problema de seguridad por toda la industria.

Tal como el hacker de los US$600 millones advirtió en un post público: "Nosotros, los hackers, somos las fuerzas armadas. Si te dan las armas y estás vigilando los miles de millones de la multitud mientras eres anónimo, ¿qué serás, un terrorista o Batman?

Dice por ahí “Los rusos le estan rompiendo la… a todo el mundo”

Guido Rosales 03/07/2021

Desde al menos mediados de 2019 hasta principios de 2021, la inteligencia principal del Estado Mayor ruso Centro Principal de Servicios Especiales (GTsSS), unidad militar 26165, usado un clúster de Kubernetes® para realizar fuerza bruta generalizada, distribuida y anónima intentos de acceso contra cientos de objetivos gubernamentales y del sector privado en todo el mundo.
La actividad cibernética maliciosa de GTsSS ha sido previamente atribuida por el sector privado utilizando los nombres Fancy Bear, APT28, Strontium y una variedad de otros identificadores. La 85th GTsSS dirigió una cantidad significativa de esta actividad a las organizaciones que utilizan Microsoft Servicios en la nube de Office 365®; sin embargo, también se dirigieron a otros proveedores de servicios y servidores de correo electrónico locales utilizando una variedad de protocolos diferentes. Estos esfuerzos son casi ciertamente todavía en curso. Esta capacidad de fuerza bruta permite que los actores del 85 ° GTsSS accedan a datos protegidos, incluido el correo electrónico e identificar las credenciales de cuenta válidas. Esas credenciales pueden ser utilizado para una variedad de propósitos, incluido el acceso inicial, la persistencia, la escalada de privilegios, y evasión defensiva. Los actores han utilizado credenciales de cuenta identificadas en conjunto con la explotación de vulnerabilidades conocidas públicamente, como la explotación de Microsoft Exchange servidores que utilizan CVE 2020-0688 y CVE 2020-17144, para la ejecución remota de código y
mayor acceso a las redes objetivo. Después de obtener acceso remoto, muchos conocidos Las tácticas, técnicas y procedimientos (TTP) se combinan para moverse lateralmente, evadir defensas y recopilar información adicional dentro de las redes objetivo. Los administradores de red deben adoptar y expandir el uso de la autenticación multifactor para
ayudar a contrarrestar la eficacia de esta capacidad. Mitigaciones adicionales para asegurar una fuerte Los controles de acceso incluyen funciones de tiempo de espera y bloqueo, el uso obligatorio de contraseñas, implementación de un modelo de seguridad Zero Trust que utiliza atributos adicionales a la hora de determinar el acceso, y analíticas para detectar accesos anómalos. Adicionalmente, las organizaciones pueden considerar negar toda la actividad entrante de la anonimización conocida servicios, como redes privadas virtuales comerciales (VPN) y The Onion Router (TOR), donde dicho acceso no está asociado con el uso típico.

Los actores utilizaron una combinación de TTP conocidos además de su spray de contraseñas operaciones para explotar redes de destino, acceder a credenciales adicionales, moverse lateralmente y recopile, organice y extraiga datos, como se ilustra en la figura siguiente. Los actores utilizaron un variedad de protocolos, incluidos HTTP (S), IMAP (S), POP3 y NTLM. Los actores también utilizó diferentes combinaciones de TTP de evasión de defensa en un intento de disfrazar algunos componentes de sus operaciones; Sin embargo, muchas oportunidades de detección siguen siendo viables para identificar la actividad maliciosa.

El articulo completo puede ser descargado desde:

https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/0/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF