Archivo mensual abril 2021

Pormalwarebytes

Zoom deepfaker engaña a los políticos … dos veces

Zoom deepfaker engaña a los políticos ... dos veces

Zoom deepfaker engaña a los políticos … dos veces

Al corriente: por 

Nos dijo recientemente deepfakes “siguen siendo el arma de elección para las campañas de interferencia maligna, granjas trol, la venganza, la pornografía y celebridades a veces humorísticos cara swaps”. El escepticismo de que estas técnicas funcionarían a gran escala, como una elección, permanece. En el ámbito de la interferencia maligna y las payasadas a menor escala , sin embargo, los deepfakes continúan forjando nuevos caminos.

Una cosa es pretender ser agentes de la ley anónimos en el otro extremo de una llamada web, sin una participación falsa. Otra muy distinta es fingir profundamente al ayudante de un líder de la oposición rusa encarcelado.

Zoom en territorio deepfake

Recientemente, varios grupos de parlamentarios fueron engañados para que pensaran que estaban hablando con Leonid Volkov, un político ruso y jefe de gabinete de la campaña electoral presidencial de 2018 de Alexei Navalny. En cambio, a los parlamentarios holandeses y estonios en diferentes reuniones se les presentó una entidad completamente ficticia forjada en los incendios deepfake . Al observar los diversos informes sobre estos incidentes, no estamos del todo seguros de si Leonid falso respondió a las preguntas o se apegó a un guión escrito previamente. Tampoco sabemos si los culpables fingieron su voz o empalmaron fragmentos reales para formar oraciones. Según este informe , parece que la llamada de Zoom fue conversacional, pero los detalles son escasos. Lo más probable es que el objetivo del juego sea que los parlamentarios digan que quieren apoyar a la oposición rusa con mucho dinero. 

¿Cómo pasó esto?

Parece que no se siguieron las prácticas básicas de seguridad. Nadie verificó de antemano que fuera él. No se hizo ping a su correo electrónico, nadie dijo «Hola …» en las redes sociales. Esto es bastante increíble, teniendo en cuenta que las personas que hacen un Pregúntame cualquier cosa en Reddit mostrarán una nota de «Hola Reddit, soy yo» como mínimo. Con un procedimiento de seguridad tan inexistente en su lugar, seguramente se producirá un desastre.

Uno se pregunta, dada la ausencia de contacto con la Leonid real, cuán falsa Leonid había organizado las sesiones de Zoom en primer lugar. ¿ Alguien puede concertar una llamada con una sala de diputados si afirman ser otra persona? ¿Se realizan reuniones en línea con regularidad sin ningún esfuerzo para garantizar que todos los involucrados sean legítimos? Todo esto parece un poco peculiar y un poco preocupante.

Bloqueo de deepfakes: a largo plazo

Fuera del ámbito de las llamadas Zoom sin verificación con parlamentarios, se están llevando a cabo más movimientos para detectar deepfakes. SONY ha entrado en un campo de batalla ya poblado por herramientas de bricolaje e investigadores que intentan luchar contra la falsificación en línea. En otros lugares, tenemos mapas generados por IA . Si bien esto suena aterrador, no es algo por lo que debamos entrar en pánico todavía .

Los deepfakes continúan incrustándose más en la conciencia pública, lo que solo puede ayudar a crear conciencia sobre el tema. ¿Quieres algo de ficción para jóvenes adultos sobre deepfakes? ¡Seguro que sí ! ¿Actores que ayudan a popularizar el concepto de video falso como algo esperado? Absolutamente . Dondequiera que mires… ahí está.

Ruido de bajo nivel y desorientación silenciosa

Por ahora, las campañas de interferencia maligna y las travesuras a pequeña escala están a la orden del día. Nunca ha sido más importante tomar algunas medidas para verificar a sus conversadores basados ​​en la web. Ya sea un deepfake generado por IA o alguien con una peluca realmente convincente y una voz falsa, los políticos deben implementar algunas rutinas de verificación básicas.

La verdadera preocupación aquí es que si cayeron en esto, quién sabe qué más se les escapó por correo electrónico, redes sociales o incluso llamadas telefónicas antiguas. Tenemos que esperar que los sistemas de verificación que existan para los métodos alternativos de comunicación entre los políticos sean significativamente mejores que los anteriores.

Pormalwarebytes

Cómo están conectadas las bandas de ransomware, compartiendo recursos y tácticas

Cómo están conectadas las bandas de ransomware, compartiendo recursos y tácticas

Cómo están conectadas las bandas de ransomware, compartiendo recursos y tácticas

Al corriente: por 
Última actualización:

Muchos de los que leemos las noticias a diario nos encontramos con un ritmo de tambor regular de historias de ransomware que son a la vez preocupantes y desgarradoras. Y lo que muchos de nosotros no nos damos cuenta es que a menudo están interconectados. Algunas de las pandillas detrás de las campañas de ransomware sobre las que leímos han establecido una relación entre ellas que puede describirse como «estar aliadas entre sí», pero carecen de ciertos elementos que puedan cimentar su estatus como un verdadero cartel en lo digital. mundo subterráneo.

Este es el hallazgo general de Jon DiMaggio, conocido luminaria de ciberseguridad y estratega jefe de seguridad de Analyst1, una empresa de inteligencia de amenazas.

En un documento técnico titulado «Ransom Mafia – Análisis del primer cártel de ransomware del mundo» , DiMaggio y su equipo tenían como objetivo proporcionar una evaluación analítica sobre si realmente existe un cártel de ransomware, o si hay indicios de que era algo que las bandas de ransomware fabricaron. distraer a los investigadores y las fuerzas del orden.

Los lazos que unen

Analyst1 ha identificado dos fuertes conexiones entre los grupos afiliados mencionados en su informe que establece cómo trabajan juntos como algo así como un cartel. Ellos son:

Sitios de fuga de datos compartidos

Las pandillas dentro del cartel comparten información sobre las empresas que han atacado, así como todos los datos que han extraído. En un ejemplo, los investigadores vieron a Twisted Spider publicando datos de víctimas recopilados por la pandilla Lockbit y Viking Spider. Esto se suma a que estas bandas publican datos de la empresa en sus respectivos sitios de filtración.

Infraestructura compartida

SunCrypt se encontró utilizando direcciones IP e infraestructura de comando y control vinculada a Twisted Spider para entregar la carga útil de ransomware en sus campañas. Esto se observó 10 meses después de que Twisted Spider los usara en sus operaciones. Este tipo de intercambio de recursos solo puede ocurrir si ya se ha establecido una relación de confianza.

Analyst1 también ha identificado otros vínculos circunstanciales y técnicos entre los grupos que, por sí solos, no son medidas suficientes para una atribución precisa.

Otros hallazgos dignos de mención

La investigación incluye varios otros hallazgos dignos de mención:

  • Los datos de las víctimas no son lo único que estas bandas afiliadas se transmiten entre sí. También se les observó compartir tácticas, como la creciente proliferación y persistencia de su malware en la naturaleza al hacer que un paquete de Ransomware-as-a-Service (RaaS) esté disponible para otros delincuentes e infraestructura de comando y control (C&C) .
  • Las bandas afiliadas parecen estar en movimiento para automatizar sus ataques, en evidencia de las capacidades automatizadas adicionales que se encuentran en las cargas útiles de ransomware. La infección manual de las empresas comprometidas es un sello conocido de los actores de amenazas de ransomware de caza mayor (BGH).
  • Algunos de los grupos involucrados se han abierto a entrevistas con los medios en el pasado. También emiten sus propios comunicados de prensa desde sus propios sitios web y utilizan múltiples medios para acosar a las víctimas para que paguen.
  • Las pandillas afiliadas han afirmado ser parte de un cartel en algún momento del pasado. Aunque algunos de ellos ya han negado sus conexiones, la evidencia contradice esto.

¿Quién está en el cartel?

Analyst1 agrupó las bandas de ransomware afiliadas bajo la etiqueta «Ransom Cartel». Sin embargo, tenga en cuenta que este colectivo se había nombrado a sí mismo el «Cartel del Laberinto» el mismo año en que se estableció su relación de cooperación.

El desglose de dicho «Cartel de rescate» con las cepas de ransomware que utilizan. Hay al menos 4 pandilleros que conocemos que están afiliados. Los actores de amenazas de SunCrypt se disolvieron en septiembre de 2020 (Fuente: Analyst1).

El Cartel del rescate surgió en mayo de 2020. Se dice que Twisted Spider, la banda detrás del ransomware Maze y otros, es el grupo que inició su creación. Su principal motivación fue la ganancia económica.

La mayoría de estos grupos tienen su sede en Europa del Este y hablan principalmente ruso, un atributo que no ocultan en absoluto. Algunos de estos grupos han desarrollado malware que no es ransomware; sin embargo, todos los grupos se aseguraron de que ninguno de ellos afectara a los usuarios en Rusia y en la Comunidad de Estados Independientes (CEI) .

A continuación se muestra una breve descripción general de los grupos individuales que se dice que componen el Cartel de rescate (tenga en cuenta que no todos buscan un nombre oficial. Como tal, se nombran según la variante de ransomware que utilizan):

Araña retorcida

Otros alias: Maze Team, FIN6

Malware: ransomware Maze (anteriormente conocido como ChaCha), ransomware Egregor , gusano Qakbot, otros kits de explotación de productos básicos

Detecciones de Malwarebytes: Ransom.Maze , Ransom.Sekhmet , Worm.Qakbot , respectivamente

Pandilla LockBit

Otro (s) alias: ninguno

Software malicioso: ransomware LockBit, registrador de teclas Hakops

Detección de Malwarebytes: Ransom.LockBit , Trojan.Keylogger , respectivamente

Araña mago

Otros alias: Grim Spider (aclamado como un subconjunto de Wizard Spider), UNC1878, TEMP.MixMaster

Software malicioso: troyano TrickBot , ransomware Ryuk , ransomware Conti, ransomware MegaCortex, puerta trasera BazarLoader

Detección de Malwarebytes: Trojan.TrickBot , Ransom.Ryuk , Ransom.Conti , Ransom.MegaCortex , Trojan.Bazar , respectivamente

Araña vikinga

Otro (s) alias: Grupo Ragnar

Software malicioso: ransomware de casilleros Ragnar

Detección de Malwarebytes: Ransom.Ragnar

Pandilla SunCrypt

Otro (s) alias : ninguno

Software malicioso: ransomware SunCrypt

Detección de Malwarebytes: Ransom.SunCrypt

«¿Qué cartel?»

Aunque de hecho existe confianza y se comparten recursos y tácticas, entre estas bandas de ransomware, Analyst1 ha evaluado que el Cartel de ransomware no es un verdadero cartel. Su informe concluye que la cooperación de la que fue testigo carecía de algunos de los elementos necesarios para alcanzar el nivel de un cartel, sobre todo la participación en los beneficios.