Credenciales de ciudadanos paraguayos expuestas en Internet

En el Centro de Respuestas a incidentes Cibernéticos CERT-PY hemos sido alertados recientemente acerca de una base de datos de credenciales que se estaban ofreciendo en foros online, entre las cuales había diversas credenciales de ciudadanos paraguayos. Entre los datos filtrados se encuentran: correos electrónicos, cédula de identidad, URL de los servicios ingresados y contraseñas en texto plano. El análisis de esta base de datos permitió establecer que estos datos habían sido obtenidos por criminales a partir de la infección de dispositivos con varias familias de malware.

Se trata de programas maliciosos (malware) que extraen credenciales del navegador web (credenciales guardadas) mayormente y/o del clientes de correos. Entre los datos filtrados había credenciales de cuentas de correo personales, redes sociales, plataformas de e-commerce, plataformas gubernamentales, entre muchas otras. Tenemos la información que los datos fueron extraídos por los siguientes malware: AZORult, Racoon, Vidar, Emotet, LokiBot entre otros.

La filtración ocurrió alrededor del año 2019, pero no se sabe cuando los malware extrajeron los datos de las víctimas y ni cuando las víctimas accedieron a los sistemas. Puede darse el caso que los navegadores hayan almacenado contraseñas de sistemas por años y que estos sistemas hoy en día ya no estén activos.

Desde el CERT-PY hemos iniciado una campaña para notificar a los ciudadanos cuyas cuentas fueron expuestas. Si sus credenciales fueron expuestas, es posible que haya recibido una notificación del CERT-PY a su correo o a través de alguna otra organización a quien hayamos avisado.

Si usted recibió una notificación del CERT-PY o de alguna organización que le reenvió nuestro mensaje, le recomendamos lo siguiente:

  • Ejecutar un análisis de los dispositivos desde los cuales ha utilizado estas cuentas y proceder a una limpieza y desinfección de los mismos con algún antivirus actualizado de su preferencia.
    • Tenga en cuenta que uno de los malware, LokiBot, también tienen versiones para Android, por lo que recomendamos analizar su teléfono con un antivirus.
  • Realizar un cambio de contraseña de todos los servicios reportados y también de todos los servicios donde utilice la misma contraseña. Recuerde seguir las siguientes indicaciones: Es importante elegir una contraseña robusta: mínimo 10~12 caracteres, combinación de minúsculas, mayúsculas, números, caracteres especiales, evitar palabras fáciles o comunes, etc.
  • Por lo general, no es recomendable guardar las credenciales en el navegador y tampoco es bueno repetir contraseñas entre servicios online. En caso de que tenga dificultades para recordarlas, le recomendamos que considere utilizar un gestor de contraseña. Puede leer más sobre ello en el siguiente artículo: https://www.cert.gov.py/noticias/almacenar-credenciales-de-acceso-en-navegadores-web-es-inseguro/

Tenga en cuenta que es posible que haya otras credenciales suyas que se hayan filtrado, por lo que recomendamos revisar las credenciales guardadas en su navegador, eliminarlas todas y cambiar todas las credenciales. El siguiente tutorial puede serle de utilidad:

https://www.solvetic.com/tutoriales/article/2343-ver-contrasenas-guardadas-en-el-navegador/

Es frecuente que algunos malware busquen extraer credenciales del navegador; a continuación damos una breve reseña de los malware citados, los cuales están involucrados en la filtración de las credenciales:

El malware AZORULT es un troyano con capacidades de Infostealer (ladrón de información) que roba el historial de navegación, cookies, ID / contraseñas, información de criptomonedas y más. También puede actuar como «downloader» de otro malware. Los kits de explotación como Fallout Exploit Kit (EK) y los correos de phishing con técnica de ingeniería social son ahora los principales vectores de infección del malware AZORult. Otras familias de malware como Ramnit y Emotet también descargan AZORult.

Racoon infostealer, visto por primera vez en abril de 2019, es un infostealer popular hoy en día debido a su bajo precio (USD $75 por semana y $200 por mes se vende como MaaS – Malware as a Service) y sus numerosas funciones. También conocido como «Racealer», Racoon se utiliza para robar información sensible y confidencial, incluidas credenciales de inicio de sesión, información de tarjetas de crédito, billeteras de criptomonedas e información del navegador (cookies, historial, autocompletar) de casi 60 aplicaciones.

Vidar es un troyano ladrón de información que se identificó por primera vez en diciembre de 2018. Es una bifurcación de Arkei o el resultado de su evolución. Permite robar información de máquinas infectadas, tomar capturas de pantalla, robar criptomonedas y más. Siendo otro malware que está disponible para su compra basado en el modelo comercial MaaS (Malware-as-a-Service), Vidar se puede comprar en su sitio web «oficial» por un alto precio de $700, al menos para la versión PRO. Sin embargo, se puede obtener una versión reducida del malware por solo $250.

Emotet es un troyano que se propaga principalmente a través de correos electrónicos de spam (malspam). La infección puede llegar a través de archivos maliciosos, archivos de documentos habilitados para macros o enlaces maliciosos. Además, Emotet es un troyano bancario polimórfico que puede evadir la detección típica basada en firmas. Tiene varios métodos para mantener la persistencia, incluidos los servicios y las claves de registro de inicio automático. Utiliza bibliotecas de vínculos dinámicos (DLL) modulares para evolucionar y actualizar continuamente sus capacidades.

EUROPOL y varios organismos de aplicación de la ley han realizado una operación para desmantelar la botnet EMOTET. No solo han tomado control de la infraestructura de comando y control (C2), sino que, a través de uno de los servidores controlados, han inyectado una modificación en el malware a través de una actualización controlada, una «bomba de tiempo» en el código del malware que ejecutará una rutina de desinstalación del malware el pasado 25 de abril. Eso significa que, muy probablemente, la/s máquina/s infectada/s dentro de su organización ya se hayan desinfectado automáticamente en esa fecha. Como la infraestructura central de la Botnet ya no está en manos de los criminales, el malware ya no es peligroso y ya no puede realizar acciones dañinas, actualmente. Sin embargo, igual recomendamos hacer el mayor esfuerzo de identificar máquinas comprometidas, así como también revisar si máquinas infectadas no sirven como punto de entrada para otros malware relacionados a Emotet. Le recomendamos revisar también nuestra alerta del 29/01/2021:

https://cert.gov.py/noticias/operacion-internacional-para-desbaratar-emotet-la-botnet-mas-grande-del-mundo

El malware LokiBot roba las credenciales mediante el uso de un keylogger (registrador del teclado) para monitorear la actividad del navegador y del escritorio. También tiene funcionalidades para robar contraseñas del gestor de contraseña incluido en los navegadores. LokiBot también puede crear un backdoor (puerta trasera) en los sistemas infectados para permitir que un atacante instale otros software maliciosos. También hay una variante para Android, que, entre otras cosas, permite robar contraseñas e incluso desplegar un ransomware en el teléfono.

Recomendaciones:

  • Cambiar las contraseñas de las cuentas comprometidas. En caso que hayan reutilizado las contraseñas en otras cuentas y/o sistemas, cambiarlas también.
  • Activar autenticación multifactor siempre que sea posible, que ayudará a mitigar el abuso de cualquier credencial comprometida.
  • Instalar un antivirus en su máquina host y mantenerlo actualizado para mitigar amenazas conocidas. Realizar escaneo rutinario en busca de malware en su sistemas.
  • No guardar nunca contraseñas en el navegador web. Puede leer más sobre esto en el siguiente artículo: https://cert.gov.py/noticias/almacenar-credenciales-de-acceso-en-navegadores-es-seguro.
  • Puede utilizar el gestor de contraseña incluido en su sistema y/o otros gestor de contraseñas conocidos como: LastPass, 1Password, etc.

Más información:

Compartir: