Robo de Datos de Hot Topic
El 20 de octubre, un hacker que se hace llamar Dark X afirmó haber ingresado a un servidor y robado los datos personales de 350 millones de clientes de Hot Topic. Al día siguiente, Dark X puso a la venta los datos, incluidos supuestos correos electrónicos, direcciones, números de teléfono y números parciales de tarjetas de crédito, en un foro clandestino. Al día siguiente, Dark X declaró que Hot Topic los había expulsado.
Acceso a Credenciales
Dark X me dijo que la aparente violación de datos, que podría ser la mayor hackeo a un minorista de consumidores, se debió en parte a la suerte. Simplemente lograron obtener las credenciales de inicio de sesión de un desarrollador que tenía acceso a los “joyas de la corona” de Hot Topic. Para demostrarlo, Dark X me envió las credenciales de inicio de sesión del desarrollador para Snowflake, una herramienta de almacenamiento de datos que los hackers han atacado repetidamente recientemente. Alon Gal de la firma de ciberseguridad Hudson Rock, que encontró primero el vínculo entre los infostealers y la violación de Hot Topic, dijo que el hacker le envió el mismo conjunto de credenciales.
La Industria de los Infostealers
Sin embargo, el hackeo reclamado de Hot Topic es también la última violación directamente conectada a una extensa industria clandestina que ha hecho que hackear algunas de las compañías más importantes del mundo sea un juego de niños. Entre las empresas afectadas están AT&T, Ticketmaster, Banco Santander, Neiman Marcus y Electronic Arts. Estos no fueron incidentes aislados. En cambio, todos fueron hackeados gracias a los “infostealers”, un tipo de malware diseñado para saquear contraseñas y cookies almacenadas en el navegador de la víctima.
Los infostealers han dado lugar a un ecosistema complejo que ha crecido en la sombra, donde los criminales cumplen diferentes roles. Hay programadores de malware rusos que actualizan continuamente su código; equipos de profesionales que utilizan anuncios llamativos para contratar a contrapartes que propagan el malware a través de YouTube, TikTok o GitHub; y adolescentes angloparlantes del otro lado del mundo que utilizan las credenciales obtenidas para infiltrarse en corporaciones.
A finales de octubre, una colaboración de agencias de seguridad pública anunció una operación contra dos de los ladrones más prevalentes del mundo. Pero el mercado ha crecido y madurado tanto que ahora es poco probable que una acción de las fuerzas del orden contra una sola parte de este tenga un impacto duradero en la propagación de los infostealers.
El Ecosistema de Infostealers
Basándose en entrevistas con desarrolladores de malware, hackers que utilizan las credenciales robadas, y una revisión de manuales que indican a los nuevos reclutas cómo propagar el malware, 404 Media ha mapeado esta industria. El resultado es que la descarga de un software de apariencia inocente por parte de una sola persona puede llevar a una violación de datos en una empresa multimillonaria, poniendo a Google y otros gigantes tecnológicos en un juego de gato y ratón con los desarrolladores de malware para mantener a las personas y empresas seguras.
“Somos profesionales en nuestro campo y continuaremos trabajando para eludir futuras actualizaciones de Google,” me dijo un administrador de LummaC2, uno de los infostealers más populares, en un chat en línea. “Toma algo de tiempo, pero tenemos todos los recursos y conocimientos para continuar la lucha contra Chrome.”
Tipos de Infostealers
El ecosistema de infostealers comienza con el malware en sí. Existen docenas de estos, con nombres como Nexus, Aurora, META y Raccoon. El infostealer más extendido en este momento es uno llamado RedLine, según la firma de ciberseguridad Recorded Future. Tener un software de malware preempacado también reduce drásticamente la barrera de entrada para un nuevo hacker en ciernes.
Inicialmente, muchos de estos desarrolladores estaban interesados en robar credenciales o claves relacionadas con carteras de criptomonedas. Armados con estos, los hackers podían vaciar las carteras digitales de una víctima y obtener dinero de forma rápida. Muchos hoy en día todavía comercializan sus herramientas como capaces de robar bitcoin e incluso han introducido OCR para detectar frases semilla en imágenes. Pero recientemente esos mismos desarrolladores y sus asociados se dieron cuenta de que todas las demás cosas almacenadas en un navegador —como las contraseñas del lugar de trabajo de la víctima— podrían generar un flujo secundario de ingresos.
Fuente y créditos: www.wired.com
Cats: Security
