El término hacker deriva del verbo inglés to hack, que significa literalmente cortar o destrozar. En concreto, un hacker es alguien que “utilizando sus conocimientos en la técnica de programación de ordenadores electrónicos, es capaz de penetrar ilegalmente en una red de ordenadores para utilizar los datos y la información contenidos en ella, sobre todo para aumentar los grados de libertad de un sistema cerrado y enseñar a otros cómo mantenerlo libre y eficiente”.
Lo que mucha gente no sabe es el trasfondo del término hacker: qué herramientas utilizan, cómo se coordinan y cuáles son sus objetivos. Para averiguarlo, veremos a continuación cómo opera el grupo criminal que llamaremos con el nombre ficticio de BadKitties.
Cómo encontré el grupo de hackers
Fue un día como cualquier otro y como todos los demás días comprobé por la noche mis ordenadores “trampa” vulnerables a los ataques de fuerza bruta (brute forcing RDP) con credenciales de “administrador” y “admin”. Como es habitual habían sido “hackeados” y en las carpetas gestionadas por algunos de mis scripts encontré algún malware diferente al ransomware que suele encontrarse en estas situaciones.
Entonces me movilicé inmediatamente para el análisis del dispositivo buscando lo que el hacker que se había conectado previamente a mí había insertado. Al echar un vistazo a algunos procesos vi ejecutables no reconocidos ejecutados por tareas no insertadas por mí y obviamente maliciosas.
El siguiente paso fue realizar un Dynamic Analysis o análisis dinámico de todo el malware encontrado y verificar su acción. Encontré lo siguiente:
- Img.jpeg (7B78DD3B404E09ACEDAF1639DA1FCEAA)
Downloader ejecutado por una Tarea que descarga y ejecuta cargas útiles de un dominio contenido en el código encriptado
- Vnc.exe (9052D06C6AC53471F8496263F8FEF2EB)
Descargado de “img.jepeg” utilizando “cscript.exe” o “wscript.exe”.
- Svchost.exe (7677775201F88F7A9F509553E0BE876C)
“Vnc.exe” renombrado a “Svchost.exe” y colocado en la carpeta “public”
Se encarga de mantener la persistencia de los distintos componentes (incluido “img.jpeg”) al reiniciar con claves de registro, tareas y la creación de un archivo “.lnk” dentro de la carpeta “Startup”.
- vint.exe (9F544E2F85D341E7C414174473FD9051)
Escáner de masas en la web
(INFOGRAFÍA SIN TRADUCCIÓN: https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2020/05/IMG-JPEG-Figura-Code.png)
Después de descifrar el descifrador y de entender cómo funciona el descargador, esperé unos días dejando la carga útil activa.
De hecho, el malware se despertó al cabo de unos días y me hizo encontrar un archivo por lotes en el “Inicio” llamado Sth.bat (33504718106A8F39B53796B999B9A31A) que, tras abrirlo con un editor de texto, inmediatamente resultó ser un backdoor del tipo Escritorio Remoto.
(INFOGRAFÍA SIN TRADUCCIÓN: https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2020/05/FIGURA-1BadKitties-RDP-BackDoor.png)
En resumen, el hacker que entró (mediante brute forcing de credenciales) colocó un escáner web que estaba probando algunas palabras clave en direcciones IP en el puerto “3389” acompañando a la herramienta con una serie de ejecutables con nombres muy similares a algunos componentes “core” de Windows.
Este malware pretendía mantener un usuario “ASP.NET” dentro del dispositivo con derechos “LocalAdmin” y “Remote Desktop User”.
En ese momento me di cuenta de que el payload principal era el backdoor, y en muchos archivos de configuración el grupo de Telegram “@BadKitties” aparecía varias veces.
BadKitties Hacking Team: Cómo convertirse en hacker
BadKitties es un grupo de hackers bien estructurado compuesto, hasta la fecha, por más de 400 personas. Empezar tu carrera dentro de este grupo criminal es relativamente fácil: en cuanto recibas una invitación de un miembro, tendrás que ponerte en contacto con el líder del grupo a través de un “bot de Telegram” para obtener instrucciones para empezar a “trabajar” en el campo.
Después de enviar la solicitud de contacto al bot, no tuve que esperar más de 10 minutos para que “X” me enviara un mensaje directo; es increíble lo rápido que recibí la respuesta.
Así que empezamos a escribirnos a través de Telegram y, tras recabar cierta información sobre la dinámica dentro del grupo, empecé a preguntar por él y por cuál era su papel dentro de la organización.
Sin ningún problema me dijo que él era el “Jefe” del grupo y que por una serie de malentendidos pensaba que yo era otra persona de la que esperaba un mensaje: a partir de ese momento empezamos a entrar en el meollo de la cuestión y me explicó lo más importante: cómo funciona un hacker.
Cómo trabaja un hacker: la primera tarea
La primera tarea que me asignaron tras unos minutos de charla fue entrar en algunos servidores vía RDP (3389) con unas credenciales que me dio el propio “X” y ejecutar un ransomware o un Web Scanner si el dispositivo tenía buenas estadísticas de hardware.
Obviamente, estas dos acciones aportan dos tipos diferentes de ganancias:
- Ejecución del ransomware: Este tipo de ataque me haría ganar entre el 10 y el 25 por ciento del rescate pagado por el usuario una vez validado el pago a “X”. Sin embargo, me informaron que si demostraba mi valía dentro del grupo, se me proporcionaría un “generador de ransomware” que, por supuesto, me permitiría dirigir la operación y encabezar los pagos de las víctimas en una cartera personal de Bitcoin, teniendo en cuenta que podría reclutar a otras personas para aumentar mi red de ganancias; todo ello, por una pequeña “cuota” de cada pago confirmado;
- Ejecución de Web Scanner: este tipo de ataque me hubiera permitido ganar mucho menos dinero que el anterior porque hubiera tenido que vender a otros miembros del grupo archivos CSV que contenían IP pública, puerto, RDP-User, RDP-Password, CPU, socket, memoria y uptime, recogidos con métodos personales o mediante el uso de su “webscanner.exe”. Como bien puedes imaginar, las transacciones no están reguladas de ninguna manera y por lo tanto es posible que, aunque envíes estos archivos, no recibas ninguna devolución en Bitcoin. El “webscanner.exe” que se me proporcionó fue compilado para realizar un escaneo brute forcing del puerto de Escritorio Remoto (3389) de todas las direcciones IP de Internet (todas las IP públicas globales) desglosadas por país dentro de archivos “.txt” que debía pasar por un cuadro de texto contenido en el formulario, y cada resultado encontrado era enviado al grupo de Telegram de BadKitties, con una referencia a quien había publicado estos datos específicos.
(INFOGRAFÍA SIN TRADUCCIÓN: https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2020/05/FIGURA-4-BadKitties-RDP-leak-Censored.png)
La segunda tarea de los hackers
La segunda tarea era utilizar un generador de ransomware enviado directamente desde “X” que me permitiera:
- generar un malware de la familia del ransomware (Dharma);
- obtener una clave de descifrado para ese binario específico;
- obtener una clave maestra para todo el malware generado por ese generador de Ransomware ad a Service (RaaS).
Una vez hecho esto, debía utilizar las listas obtenidas de la primera tarea y otras que me proporcionara “X” para comenzar mi ascenso en el Olimpo de los hackers y empezar a ganar dinero con este “trabajo”.
Reflexiones personales sobre el grupo BadKitties
Definitivamente, este grupo de hackers no es el tipo de organización que moviliza sus fuerzas por ideales y, por lo tanto, realiza ataques dirigidos o sofisticados; lo que les interesa es el dinero y, de hecho, las metodologías utilizadas para atacar se basan en estadísticas y en la desinformación general en el ámbito de la seguridad.
Ahora hay más dispositivos con direcciones IP en el mundo que tarjetas de identificación.
Los miembros del grupo son personas “normales” que, para tener ingresos adicionales a su trayectoria de trabajo o estudio común, han decidido tomar este camino.
Aunque parezca superfluo afirmarlo, no fue necesario infringir la ley para elaborar este artículo, sino que, para mi sorpresa, encontré al otro lado de la pantalla a un líder (“X”) que se mostró muy servicial y amable con quienes demostraron tales habilidades en el campo que fue posible seguirles la pista sin ningún conocimiento interno.
El nombre real del grupo ha sido cambiado para evitar represalias de los afectados contra el autor y el periódico; cuando hay dinero en juego y se trata con esta gente, nunca se está “a salvo”.
Telegram y los hackers
En el grupo de Telegram que se utiliza para las comunicaciones y la compra y venta de información, si se navega a la sección “Archivos” se pueden encontrar TXT con formato CSV que contienen grandes DBs con credenciales que afectan a varios tipos de sitios y servicios, aquí hay algunas marcas presentes:
- Gmail
- Outlook
- PornHub
- Spotify
- Gratis
- Yandex
- […]
Otros archivos que se pueden encontrar son versiones antiguas de escáneres web, lotes, generador de claves, generador de cargas útiles de ransomware, varias bases de datos que contienen filtraciones, listas de IP y mucho más.
La plataforma garantiza un cierto nivel de anonimato, y también puede utilizar bots para satisfacer las necesidades de quienes gestionan estos “equipos” de forma automatizada.
Los ataques más comunes
Hoy en día, los ataques más comunes y efectivos de los hackers llegan a nuestros sistemas a través del correo electrónico utilizando una variedad de metodologías que pueden ser más o menos efectivas. He aquí algunos ejemplos:
- Robo de identidad: Una vez robadas las credenciales de un usuario, éstas se utilizan para enviar correos electrónicos con “VBA.Downloaders” debidamente ofuscados a todos los contactos con los que el usuario se comunicaba regularmente;
- MITM (Man in The Middle): control del flujo de correos electrónicos entre dos interlocutores mediante la realización de pequeñas alteraciones en la conversación, como por ejemplo, cuando se paga un servicio o una determinada cantidad de productos, se cambia el IBAN contenido en un archivo adjunto al mensaje o escrito en texto plano en el cuerpo del mensaje;
- Spear phishing: Phishing dirigido y cuidadosamente diseñado para golpear eficazmente al objetivo elegido;
- phishing: phishing con contenido genérico ejecutado con correos electrónicos masivos para utilizar las estadísticas como punto fuerte.
Las cargas útiles más comunes
Normalmente, los tipos de malware más eficaces son los que parecen “más comunes”: a estas alturas, todo el mundo sabe que un ejecutable (.exe) enviado por correo electrónico no debe abrirse, pero pocos saben que incluso los archivos marcados como “Microsoft”, como Word (.doc), Excel (.xls), PowerPoint (.ppt) pueden contener macros escritas en Visual Basic que, una vez activadas, pueden comprometer todo el dispositivo y, en los casos más desesperados, toda la infraestructura informática.
A continuación se presentan las extensiones más utilizadas para los ataques por correo electrónico:
.xls, .doc, .ppt, .xlsx, .docx, .pptx, (otras extensiones de Microsoft Office), .vba, .vbs, .js, .jar, .jse, .msi, .scr, .lnk, .pif, (Extensión de archivo comprimido) + Protección con contraseña, .htm, .pdf, .bat
Cómo reconocer un ataque y qué hacer para protegerse
Para ser eficaces en la detección de un ataque de hackers hay que ser conscientes de que cualquier cosa que nos pueda llegar por correo electrónico puede comprometer nuestro sistema tras unos pocos clics.
Con esto en mente, debemos prestar atención a detalles como los errores gramaticales, los cambios de datos inesperados de uno de nuestros proveedores o clientes, la solicitud de permisos especiales para abrir archivos adjuntos y, por último, la hora de recepción del correo electrónico.
La mayoría de las campañas de malware se dirigen a correos electrónicos con dominios corporativos, pero incluso un usuario particular puede caer en la espesa red de spam.
Hasta la fecha, desgraciadamente, la mayor vulnerabilidad es la interacción humana y la aplicación de parches sólo puede hacerse con educación y conciencia de lo que puede ocurrir cuando se trabaja con un dispositivo conectado a Internet.
Para concluir, para mitigar los ciberataques pueden ser útiles algunos trucos:
- mantener el sistema operativo en la última versión estable;
- actualización del software antivirus y antimalware;
- uso de antispam dedicado;
- cortafuegos en el acceso a la red;
- Compromiso del Centro de Operaciones de Seguridad (SOC) para la supervisión proactiva de la infraestructura;
- SIEMs configurados con reglas de alerta para actividades sospechosas.
Lo que mucha gente no sabe es el trasfondo del término hacker: qué herramientas utilizan, cómo se coordinan y cuáles son sus objetivos. Para averiguarlo, veremos a continuación cómo opera el grupo criminal que llamaremos con el nombre ficticio de BadKitties.
Cómo encontré el grupo de hackers
Fue un día como cualquier otro y como todos los demás días comprobé por la noche mis ordenadores “trampa” vulnerables a los ataques de fuerza bruta (brute forcing RDP) con credenciales de “administrador” y “admin”. Como es habitual habían sido “hackeados” y en las carpetas gestionadas por algunos de mis scripts encontré algún malware diferente al ransomware que suele encontrarse en estas situaciones.
Entonces me movilicé inmediatamente para el análisis del dispositivo buscando lo que el hacker que se había conectado previamente a mí había insertado. Al echar un vistazo a algunos procesos vi ejecutables no reconocidos ejecutados por tareas no insertadas por mí y obviamente maliciosas.
El siguiente paso fue realizar un Dynamic Analysis o análisis dinámico de todo el malware encontrado y verificar su acción. Encontré lo siguiente:
- jpeg (7B78DD3B404E09ACEDAF1639DA1FCEAA)
Downloader ejecutado por una Tarea que descarga y ejecuta cargas útiles de un dominio contenido en el código encriptado
- exe (9052D06C6AC53471F8496263F8FEF2EB)
Descargado de “img.jepeg” utilizando “cscript.exe” o “wscript.exe”.
- exe (7677775201F88F7A9F509553E0BE876C)
“Vnc.exe” renombrado a “Svchost.exe” y colocado en la carpeta “public”
Se encarga de mantener la persistencia de los distintos componentes (incluido “img.jpeg”) al reiniciar con claves de registro, tareas y la creación de un archivo “.lnk” dentro de la carpeta “Startup”.
- exe (9F544E2F85D341E7C414174473FD9051)
Escáner de masas en la web
(INFOGRAFÍA SIN TRADUCCIÓN: https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2020/05/IMG-JPEG-Figura-Code.png)
Después de descifrar el descifrador y de entender cómo funciona el descargador, esperé unos días dejando la carga útil activa.
De hecho, el malware se despertó al cabo de unos días y me hizo encontrar un archivo por lotes en el “Inicio” llamado Sth.bat (33504718106A8F39B53796B999B9A31A) que, tras abrirlo con un editor de texto, inmediatamente resultó ser un backdoor del tipo Escritorio Remoto.
(INFOGRAFÍA SIN TRADUCCIÓN: https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2020/05/FIGURA-1BadKitties-RDP-BackDoor.png)
En resumen, el hacker que entró (mediante brute forcing de credenciales) colocó un escáner web que estaba probando algunas palabras clave en direcciones IP en el puerto “3389” acompañando a la herramienta con una serie de ejecutables con nombres muy similares a algunos componentes “core” de Windows.
Este malware pretendía mantener un usuario “ASP.NET” dentro del dispositivo con derechos “LocalAdmin” y “Remote Desktop User”.
En ese momento me di cuenta de que el payload principal era el backdoor, y en muchos archivos de configuración el grupo de Telegram “@BadKitties” aparecía varias veces.
BadKitties Hacking Team: Cómo convertirse en hacker
BadKitties es un grupo de hackers bien estructurado compuesto, hasta la fecha, por más de 400 personas. Empezar tu carrera dentro de este grupo criminal es relativamente fácil: en cuanto recibas una invitación de un miembro, tendrás que ponerte en contacto con el líder del grupo a través de un “bot de Telegram” para obtener instrucciones para empezar a “trabajar” en el campo.
Después de enviar la solicitud de contacto al bot, no tuve que esperar más de 10 minutos para que “X” me enviara un mensaje directo; es increíble lo rápido que recibí la respuesta.
Así que empezamos a escribirnos a través de Telegram y, tras recabar cierta información sobre la dinámica dentro del grupo, empecé a preguntar por él y por cuál era su papel dentro de la organización.
Sin ningún problema me dijo que él era el “Jefe” del grupo y que por una serie de malentendidos pensaba que yo era otra persona de la que esperaba un mensaje: a partir de ese momento empezamos a entrar en el meollo de la cuestión y me explicó lo más importante: cómo funciona un hacker.
Cómo trabaja un hacker: la primera tarea
La primera tarea que me asignaron tras unos minutos de charla fue entrar en algunos servidores vía RDP (3389) con unas credenciales que me dio el propio “X” y ejecutar un ransomware o un Web Scanner si el dispositivo tenía buenas estadísticas de hardware.
Obviamente, estas dos acciones aportan dos tipos diferentes de ganancias:
- Ejecución del ransomware: Este tipo de ataque me haría ganar entre el 10 y el 25 por ciento del rescate pagado por el usuario una vez validado el pago a “X”. Sin embargo, me informaron que si demostraba mi valía dentro del grupo, se me proporcionaría un “generador de ransomware” que, por supuesto, me permitiría dirigir la operación y encabezar los pagos de las víctimas en una cartera personal de Bitcoin, teniendo en cuenta que podría reclutar a otras personas para aumentar mi red de ganancias; todo ello, por una pequeña “cuota” de cada pago confirmado;
- Ejecución de Web Scanner: este tipo de ataque me hubiera permitido ganar mucho menos dinero que el anterior porque hubiera tenido que vender a otros miembros del grupo archivos CSV que contenían IP pública, puerto, RDP-User, RDP-Password, CPU, socket, memoria y uptime, recogidos con métodos personales o mediante el uso de su “webscanner.exe”. Como bien puedes imaginar, las transacciones no están reguladas de ninguna manera y por lo tanto es posible que, aunque envíes estos archivos, no recibas ninguna devolución en Bitcoin. El “webscanner.exe” que se me proporcionó fue compilado para realizar un escaneo brute forcing del puerto de Escritorio Remoto (3389) de todas las direcciones IP de Internet (todas las IP públicas globales) desglosadas por país dentro de archivos “.txt” que debía pasar por un cuadro de texto contenido en el formulario, y cada resultado encontrado era enviado al grupo de Telegram de BadKitties, con una referencia a quien había publicado estos datos específicos.
(INFOGRAFÍA SIN TRADUCCIÓN: https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2020/05/FIGURA-4-BadKitties-RDP-leak-Censored.png)
La segunda tarea de los hackers
La segunda tarea era utilizar un generador de ransomware enviado directamente desde “X” que me permitiera:
- generar un malware de la familia del ransomware (Dharma);
- obtener una clave de descifrado para ese binario específico;
- obtener una clave maestra para todo el malware generado por ese generador de Ransomware ad a Service (RaaS).
Una vez hecho esto, debía utilizar las listas obtenidas de la primera tarea y otras que me proporcionara “X” para comenzar mi ascenso en el Olimpo de los hackers y empezar a ganar dinero con este “trabajo”.
Reflexiones personales sobre el grupo BadKitties
Definitivamente, este grupo de hackers no es el tipo de organización que moviliza sus fuerzas por ideales y, por lo tanto, realiza ataques dirigidos o sofisticados; lo que les interesa es el dinero y, de hecho, las metodologías utilizadas para atacar se basan en estadísticas y en la desinformación general en el ámbito de la seguridad.
Ahora hay más dispositivos con direcciones IP en el mundo que tarjetas de identificación.
Los miembros del grupo son personas “normales” que, para tener ingresos adicionales a su trayectoria de trabajo o estudio común, han decidido tomar este camino.
Aunque parezca superfluo afirmarlo, no fue necesario infringir la ley para elaborar este artículo, sino que, para mi sorpresa, encontré al otro lado de la pantalla a un líder (“X”) que se mostró muy servicial y amable con quienes demostraron tales habilidades en el campo que fue posible seguirles la pista sin ningún conocimiento interno.
El nombre real del grupo ha sido cambiado para evitar represalias de los afectados contra el autor y el periódico; cuando hay dinero en juego y se trata con esta gente, nunca se está “a salvo”.
Telegram y los hackers
En el grupo de Telegram que se utiliza para las comunicaciones y la compra y venta de información, si se navega a la sección “Archivos” se pueden encontrar TXT con formato CSV que contienen grandes DBs con credenciales que afectan a varios tipos de sitios y servicios, aquí hay algunas marcas presentes:
- Gmail
- Outlook
- PornHub
- Spotify
- Gratis
- Yandex
- […]
Otros archivos que se pueden encontrar son versiones antiguas de escáneres web, lotes, generador de claves, generador de cargas útiles de ransomware, varias bases de datos que contienen filtraciones, listas de IP y mucho más.
La plataforma garantiza un cierto nivel de anonimato, y también puede utilizar bots para satisfacer las necesidades de quienes gestionan estos “equipos” de forma automatizada.
Los ataques más comunes
Hoy en día, los ataques más comunes y efectivos de los hackers llegan a nuestros sistemas a través del correo electrónico utilizando una variedad de metodologías que pueden ser más o menos efectivas. He aquí algunos ejemplos:
- Robo de identidad: Una vez robadas las credenciales de un usuario, éstas se utilizan para enviar correos electrónicos con “VBA.Downloaders” debidamente ofuscados a todos los contactos con los que el usuario se comunicaba regularmente;
- MITM (Man in The Middle): control del flujo de correos electrónicos entre dos interlocutores mediante la realización de pequeñas alteraciones en la conversación, como por ejemplo, cuando se paga un servicio o una determinada cantidad de productos, se cambia el IBAN contenido en un archivo adjunto al mensaje o escrito en texto plano en el cuerpo del mensaje;
- Spear phishing: Phishing dirigido y cuidadosamente diseñado para golpear eficazmente al objetivo elegido;
- phishing: phishing con contenido genérico ejecutado con correos electrónicos masivos para utilizar las estadísticas como punto fuerte.
Las cargas útiles más comunes
Normalmente, los tipos de malware más eficaces son los que parecen “más comunes”: a estas alturas, todo el mundo sabe que un ejecutable (.exe) enviado por correo electrónico no debe abrirse, pero pocos saben que incluso los archivos marcados como “Microsoft”, como Word (.doc), Excel (.xls), PowerPoint (.ppt) pueden contener macros escritas en Visual Basic que, una vez activadas, pueden comprometer todo el dispositivo y, en los casos más desesperados, toda la infraestructura informática.
A continuación se presentan las extensiones más utilizadas para los ataques por correo electrónico:
.xls, .doc, .ppt, .xlsx, .docx, .pptx, (otras extensiones de Microsoft Office), .vba, .vbs, .js, .jar, .jse, .msi, .scr, .lnk, .pif, (Extensión de archivo comprimido) + Protección con contraseña, .htm, .pdf, .bat
Cómo reconocer un ataque y qué hacer para protegerse
Para ser eficaces en la detección de un ataque de hackers hay que ser conscientes de que cualquier cosa que nos pueda llegar por correo electrónico puede comprometer nuestro sistema tras unos pocos clics.
Con esto en mente, debemos prestar atención a detalles como los errores gramaticales, los cambios de datos inesperados de uno de nuestros proveedores o clientes, la solicitud de permisos especiales para abrir archivos adjuntos y, por último, la hora de recepción del correo electrónico.
La mayoría de las campañas de malware se dirigen a correos electrónicos con dominios corporativos, pero incluso un usuario particular puede caer en la espesa red de spam.
Hasta la fecha, desgraciadamente, la mayor vulnerabilidad es la interacción humana y la aplicación de parches sólo puede hacerse con educación y conciencia de lo que puede ocurrir cuando se trabaja con un dispositivo conectado a Internet.
Para concluir, para mitigar los ciberataques pueden ser útiles algunos trucos:
- mantener el sistema operativo en la última versión estable;
- actualización del software antivirus y antimalware;
- uso de antispam dedicado;
- cortafuegos en el acceso a la red;
- Compromiso del Centro de Operaciones de Seguridad (SOC) para la supervisión proactiva de la infraestructura;
- SIEMs configurados con reglas de alerta para actividades sospechosas.
Hacker: chi sono, come funzionano le organizzazioni di criminal hacking, gli attacchi più comuni