Informe de (In)seguridad: El extorsionador de Baguettes, sabotaje de Disney y el desfile de credenciales comprometidas

05.12.2024

Es hora de analizar los incidentes de seguridad informática interesantes y de gran repercusión que tuvieron lugar en noviembre. La selección incluye una estafa multimillonaria de un ex alto directivo, un ciberenvenenador en Disney World y ecos del hackeo de MOVEit en Amazon... y eso no es todo.

Alergia al despido

Qué ocurrió: Un ex empleado de Disney saboteó a su empleador.

Cómo ocurrió: Michael Scheuer era gerente de desarrollo de menús en Disney cuando lo despidieron por razones disciplinarias en junio de este año. Luego utilizó su nombre de usuario y contraseña corporativos aun activos para acceder a Menu Creator, el programa de inventario y creación de menús para los restaurantes de Disney World.

En el programa, cambió los precios del menú, añadió malas palabras a los textos y luego cambió completamente el tipo de letra por símbolos Wingdings. Esto inutilizó todas las versiones del menú de la base de datos y obligó a Disney a desactivar el Menu Creator de la red para empezar a restaurar los datos de las copias de seguridad y restablecer las credenciales de inicio de sesión.

Pero Scheuer no se detuvo ahí y pronto invadió a los servidores FTP que Disney utilizaba para imprimir. Allí subió una versión ligeramente modificada del menú. Tenía precios ligeramente diferentes e información distorsionada sobre los alérgenos. Por ejemplo, Scheuer indicó que los platos que contenían cacahuetes eran seguros para las personas alérgicas. Afortunadamente, los cambios se descubrieron a tiempo y nadie se vio afectado.

Además, el saboteador escribió un script que intentaba incesantemente adivinar las contraseñas de las cuentas de los empleados en el portal interno de Disney. Como resultado, el sistema bloqueó automáticamente 14 cuentas de usuarios inocentes.

El atacante fue identificado, como es habitual, por su IP: el ataque se llevó a cabo desde la misma dirección IP desde la que Scheuer había trabajado anteriormente. Ahora se enfrenta a una pena de hasta 15 años de cárcel.

¿Por qué cancelar? ¡Mejor gana!

Lo que sucedió: Un empleado del gobierno estadounidense robó más de 400.000 dólares de un programa estatal.

Cómo ocurrió: Brittany Joyce May, de 35 años, trabajaba como especialista administrativa para el Departamento de Salud y Servicios Humanos de Kentucky, ayudando a las empresas que eran elegibles para recibir fondos bajo programas estatales.

Los pagos se realizaban en dos etapas: en primer lugar, Brittany introducía en el sistema los datos personales y de otro tipo de los propietarios de las empresas y, a continuación, esperaba a que le facilitaran los documentos pertinentes para completar la transacción. Si las empresas no entregaban los documentos a tiempo o surgían dificultades, el pago debía cancelarse de acuerdo con la normativa.

Sin embargo, Brittany no cancelaba la operación en estos casos, sino que transfería los fondos a sus cuentas personales. Para evitar sospechas, emitía las facturas a nombre de las empresas que solicitaban financiación, pero sin su consentimiento. Más tarde, cuando May "le cogió el gusto", empezó a falsificar solicitudes de financiación en lugar de esperar a una posible cancelación. En este caso, también utilizó datos del sistema, pero cambió las direcciones de los propietarios de las empresas cuyos datos obtuvo para que no recibieran notificaciones por escrito

Así, desde julio de 2021 hasta mayo de 2023, Brittany realizó más de 540 pagos por un total de 444.663 dólares. Ahora, recibió una condena de tres años de prisión.

Con amigos así, ¿quién necesita enemigos?

Qué ocurrió: Un hacker obtuvo datos de 1,5 millones de pacientes de una gran cadena de clínicas médicas francesas.

Cómo ocurrió: El 19 de noviembre ^, un desconocido puso a la venta en un foro de hackers un acceso no autorizado a una cuenta en MediBoard perteneciente a una cadena de clínicas francesa. MediBoard es una plataforma de gestión de datos médicos que contiene toda la información sobre el trabajo de las clínicas y la salud de los pacientes. Según afirmó el intruso, el acceso a la cuenta permitió ver los datos de 1,5 millones de pacientes de cinco clínicas, así como cambiar la hora de las citas y los datos de los historiales médicos.

Para confirmar sus palabras, el atacante puso a la venta los datos de más de 750 mil pacientes. Los datos filtrados incluían: nombre, fecha de nacimiento, género, dirección, número de teléfono, correo electrónico, información del historial médico, etc.

El desarrollador de MediBoard, la empresa de software Medical Group, respondió al incidente y confirmó que los datos estaban comprometidos. Sin embargo, como dijo la empresa, los datos filtrados no estaban almacenados en sus servidores. De hecho, los datos estaban almacenados en los servidores de la cadena de clínicas médicas. El desarrollador también señaló que el incidente fue causado por una cuenta comprometida del lado del cliente, no por una vulnerabilidad o una configuración incorrecta de la plataforma. La organización afectada no hizo comentarios sobre el incidente.

Houston, tenemos una fuga

Qué pasó: Maxar Technologies, productor de satélites, sufrió una fuga de datos de sus empleados.

Cómo ocurrió: A principios de octubre, un atacante desconocido irrumpió en uno de los sistemas de Maxar que almacenaban archivos de datos de empleados.

La propia empresa lo notificó a sus empleados y dijo que el departamento de SI de Maxar detectó la intrusión el 11 de octubre y tomó inmediatamente medidas para contener el incidente. Sin embargo, el atacante consiguió acceder a los datos de los empleados. Entre ellos: nombre, sexo, dirección, número de la seguridad social (SSN), cargo, datos de contacto del gerente, sucursal de la empresa, número personal del empleado, etc.

También se ha informado de que no sólo se han filtrado datos de empleados, sino también cierta información técnica. Esto puede ser especialmente grave porque Maxar tiene negocios con la NASA y sus desarrollos desempeñan un papel importante en la construcción de vehículos espaciales.

La empresa informó del incidente a las autoridades y contrató a expertos externos para investigarlo. Además, ofreció a los empleados actuales y anteriores una suscripción gratuita a un servicio de protección de datos personales y de control financiero.

¿Debería haber continuado?

Lo que sucedió: Un ex alto directivo de una subsidiaria de Bridgestone robó más de 14 millones de dólares a su empleador.

Cómo ocurrió: Saju Khatiwada se unió a Bridgestone Americas en 2016. Durante sus cuatro años en la empresa, Khatiwada ocupó varios puestos hasta convertirse en jefe de operaciones financieras.

En 2020, Khatiwada abusó de sus nuevos poderes para quedarse con más de lo que le correspondía. Así, creó una empresa falsa, Paymt -Tech, LLC, que utilizó para robar fondos corporativos. Para ello, «confeccionaba» las facturas de reembolso de los gastos bancarios a los proveedores, las enviaba a Bridgestone Americas y liberaba él mismo los pagos. Esto continuó durante cuatro años, hasta que el propio Khatiwada abandonó la empresa.

Después de eso, los contables se dieron cuenta de que los pagos a los proveedores de los que Khatiwada era responsable se hicieron significativamente inferiores. La discrepancia se detectó y la investigación corporativa se convirtió en una investigación federal. El FBI descubrió que Khatiwada había realizado 47 transacciones fraudulentas por un total de 15 millones de dólares. Ahora el defraudador se enfrenta a una pena de hasta 30 años de prisión y a una multa equivalente al doble de la cantidad que robó.

El poder de la marca

Qué ocurrió: Un hacker robó 400 GB de datos del gigante fintech británico Finastra.

Cómo ocurrió: El 7 de noviembre, el SOC de Finastra detectó una actividad sospechosa en una plataforma interna de transferencia de archivos y empezó a investigar el incidente. Al día siguiente, apareció un post en un foro sospechoso en el que se anunciaba el pirateo de Finastra y la venta de 400 GB de datos robados, incluidos datos de clientes.

La empresa notificó el incidente a algunos clientes financieros ese mismo día. Les informó de que seguía trabajando con normalidad y que había involucrado a expertos en seguridad de la información de terceros en la investigación. Juntos descubrieron que el atacante había accedido a la plataforma SFTP de la empresa, utilizada para transferir archivos de gran tamaño fuera de la red corporativa. La intrusión se atribuyó provisionalmente al compromiso del nombre de usuario y la contraseña de una de las cuentas. Los investigadores no encontraron pruebas de que la intrusión se extendiera más allá de la plataforma de transferencia de archivos.

Cabe señalar que el atacante ya había intentado vender los datos anteriormente, pero sin éxito. El 31 de octubre publicó un mensaje en el mismo foro, pero no encontró comprador. La cuestión es que el atacante no anunció inicialmente que se trataba de Finastra y de los datos de sus clientes, lo que significa que el «poder» de la marca no funcionó.

Según la cronología, la primera publicación apareció en el foro una semana antes de que el SOC de la empresa detectara el incidente. Esto puede indicar que el atacante ha vuelto a la escena del crimen para robar aún más datos.

Por el momento, el anuncio de venta de datos de Finastra ha sido eliminado del foro sospechoso, al igual que la cuenta del hacker con todos los datos de contacto.

Oferta de baguette

Qué ocurrió: Un hacker robó 40 GB de datos del conglomerado francés Schneider Electric y exigió un rescate en baguettes.

Cómo ocurrió: un desconocido atacó el servidor Jira de Schneider Electric usando credenciales robadas. Informó de ello a los medios y compartió los detalles de forma pública.

Se supo que, tras acceder al servidor, el hacker utilizó la API REST de MiniOrange para recopilar 400 mil líneas de datos de usuarios. Entre ellos se encuentran 75 mil direcciones de correo electrónico únicas y nombres de empleados y clientes de la empresa. Además, se filtraron proyectos, tareas y complementos de desarrolladores del servidor Jira de la empresa.

El hacker también dijo que exigía 125.000 dólares en “baguettes” para mantener la confidencialidad de los datos, pero que la cantidad se reduciría si la empresa publicaba un “comunicado oficial”. Esto último se debe a que el atacante quiere hacer publicidad de su recién creado grupo de hackers. Su primera víctima fue un conglomerado francés.

Schneider Electric dijo que estaba investigando el incidente, que cree que involucró un acceso no autorizado a una de sus plataformas internas de seguimiento de proyectos.

Lo nuevo no es más que lo viejo bien olvidado...

Lo que sucedió: un hacker compartió más de 2,8 millones de registros que contenían datos de empleados de Amazon en un foro de la dark web.

Cómo ocurrió: El 8 de noviembre, un ciberdelincuente publicó en un foro sospechoso más de 2,8 millones de registros con datos de empleados de Amazon. Los datos filtrados contienen nombres, datos de contacto, lugar de trabajo, direcciones de correo electrónico, etc. El ciberdelincuente afirma que los datos se remontan a mayo del año pasado y forman parte de la filtración masiva MOVEit

Unos días después de la publicación de los datos, Amazon reconoció la filtración ante los medios de comunicación. La empresa afirmó que el atacante había robado datos de sistemas pertenecientes a un proveedor de servicios externo. Sin embargo, un representante de Amazon afirmó que no se habían robado datos sensibles como números de seguridad social, documentos de identidad, etc.

Cabe destacar que el hacker también publicó datos de otras 25 empresas. Según él, la información se obtuvo de “fuentes de terceros”, incluidos los almacenamientos de objetos de AWS y Azure sin protección, así como de sitios de grupos extorsionadores.

No hagas el "bien" y tampoco obtendrás el mal

Qué ocurrió: Un estadounidense hackeó varias empresas para ofrecerles sus servicios de seguridad informática.

Cómo ocurrió: Nicholas Michael Kloster, de 31 años, fue acusado de “actividades ilegales con computadoras protegidas”. Según documentos judiciales, Kloster pirateó dos empresas, una cadena de gimnasios y una organización sin fines de lucro para ofrecer a sus propietarios sus servicios de ciberseguridad.

El primer incidente se produjo el 26 de abril. Kloster entró en el recinto de un gimnasio y consiguió acceder a sus sistemas. Después, envió un correo electrónico a uno de los propietarios de la empresa en el que informaba de lo que había hecho y describía cómo había burlado la autorización de los sistemas de videovigilancia y había conseguido acceder a la configuración del router utilizando sus direcciones IP visibles. Al final del correo electrónico, el atacante ofrecía sus servicios de seguridad informática y adjuntaba un currículum.

Al mismo tiempo, Kloster mantuvo un silencio "delicado" sobre el robo de la credencial de un empleado, la eliminación de su foto de la base de datos y la reducción de su cuota de membresía a un dólar. El atacante también publicó en las redes sociales una captura de pantalla del sistema de videovigilancia que tenía bajo su control, en la que se veía la inscripción "Cómo conseguir que una empresa utilice sus servicios de seguridad".

Tras no recibir una oferta de trabajo, Kloster intentó un segundo ataque. El 20 de mayo, entró en las instalaciones de la organización sin fines de lucro, encontró una computadora conectada a la red local y utilizó un disco de arranque en ella. Con el disco, pudo cambiar las contraseñas de varios usuarios sin autorización y configurar una VPN. Los documentos judiciales indican que esto le causó a la organización sin fines de lucro más de $5,000 en pérdidas. Si es condenado, Kloster podría enfrentar hasta 15 años de prisión.