Estados Unidos se unió hoy al Reino Unido y Australia para sancionar al ciudadano ruso de 31 años Dmitry Yuryevich Khoroshev como presunto líder del infame grupo de ransomware LockBit. El Departamento de Justicia de Estados Unidos también acusó a Khoroshev y lo acusó de utilizar Lockbit para atacar a más de 2.000 víctimas y extorsionar al menos 100 millones de dólares en pagos de ransomware. Imagen: Agencia Nacional contra el Crimen del Reino Unido. Khoroshev (Дмитрий Юрьевич Хорошев), residente de Voronezh, Rusia, fue acusado de 26 cargos por un gran jurado en Nueva Jersey. «Dmitry Khoroshev concibió, desarrolló y administró Lockbit, la variante y grupo de ransomware más prolífico del mundo, lo que le permitió a él y a sus afiliados causar estragos y causar miles de millones de dólares en daños a miles de víctimas en todo el mundo», afirmó el fiscal federal Philip R. dijo Sellinger en un comunicado emitido por el Departamento de Justicia. La acusación formal alega que Khoroshev actuó como desarrollador y administrador del grupo de ransomware LockBit desde su inicio en septiembre de 2019 hasta mayo de 2024, y que normalmente recibió una participación del 20 por ciento de cada pago de rescate extorsionado a las víctimas de LockBit. El gobierno dice que las víctimas de LockBit incluyeron individuos, pequeñas empresas, corporaciones multinacionales, hospitales, escuelas, organizaciones sin fines de lucro, infraestructura crítica y agencias gubernamentales y policiales. “Khoroshev y sus cómplices extrajeron al menos 500 millones de dólares en pagos de rescate de sus víctimas y causaron miles de millones de dólares en pérdidas más amplias, como pérdida de ingresos, respuesta a incidentes y recuperación”, dijo el Departamento de Justicia. «El grupo de ransomware LockBit atacó a más de 2.500 víctimas en al menos 120 países, incluidas 1.800 víctimas en los Estados Unidos». El desenmascaramiento de LockBitSupp se produce casi tres meses después de que las autoridades de EE. UU. y el Reino Unido confiscaran los sitios web de la red oscura administrados por LockBit y los modernizaran con comunicados de prensa sobre las medidas policiales y herramientas gratuitas para ayudar a las víctimas de LockBit a descifrar los sistemas infectados. Los federales utilizaron el diseño existente en el sitio web de LockBit para avergonzar a las víctimas para presentar comunicados de prensa y herramientas de descifrado gratuitas. Uno de los títulos de blog que las autoridades dejaron en el sitio incautado fue una página teaser que decía: «¿Quién es LockbitSupp?», que prometía revelar la verdadera identidad del líder del grupo de ransomware. Ese artículo presentaba un reloj de cuenta regresiva hasta la gran revelación, pero cuando el cronómetro del sitio expiró no se ofrecieron tales detalles. Tras la redada del FBI, LockBitSupp acudió a los foros rusos sobre ciberdelincuencia para asegurar a sus socios y afiliados que la operación de ransomware todavía estaba en pleno funcionamiento. LockBitSupp también planteó otro conjunto de sitios web de la red oscura que pronto prometieron divulgar datos robados de varias víctimas de LockBit rescatadas antes de la redada del FBI. Una de las víctimas que LockBitSupp continuó extorsionando fue el condado de Fulton, Georgia. Después de la redada del FBI, LockbitSupp prometió liberar documentos confidenciales robados del sistema judicial del condado a menos que pagara una demanda de rescate antes de que expirara el temporizador de cuenta regresiva de LockBit. Pero cuando los funcionarios del condado de Fulton se negaron a pagar y el cronómetro expiró, nunca se publicó ningún registro robado. Los expertos dijeron que era probable que el FBI hubiera confiscado todos los datos robados de LockBit. LockBitSupp también se jactó de que su verdadera identidad nunca sería revelada, y en un momento ofreció pagar 10 millones de dólares a cualquiera que pudiera descubrir su verdadero nombre. KrebsOnSecurity ha estado en contacto intermitente con LockBitSupp durante varios meses mientras informaba sobre diferentes víctimas de LockBit. LockBitSupp, contactado con la misma identidad de mensajería instantánea ToX que el líder del grupo de ransomware promovió en los foros rusos sobre cibercrimen, afirmó que las autoridades nombraron al tipo equivocado. «No soy yo», respondió LockBitSupp en ruso. “No entiendo cómo el FBI pudo conectarme con este pobre tipo. ¿Dónde está la cadena lógica de que soy yo? ¿No sientes lástima por una persona inocente al azar? Se sabe que LockBitSupp, que ahora tiene una recompensa de 10 millones de dólares por su arresto del Departamento de Estado de Estados Unidos, es flexible con la verdad. El grupo Lockbit practicaba habitualmente la “doble extorsión” contra sus víctimas: exigía un pago de rescate por una clave para desbloquear los sistemas secuestrados y un pago separado a cambio de la promesa de eliminar los datos robados a sus víctimas. Pero los funcionarios del Departamento de Justicia dicen que LockBit nunca eliminó los datos de sus víctimas, independientemente de si esas organizaciones pagaron un rescate para evitar que la información se publicara en el sitio web de LockBit para avergonzar a las víctimas. Khoroshev es la sexta persona acusada oficialmente como miembro activo de LockBit. El gobierno dice que el ciudadano ruso Artur Sungatov utilizó el ransomware LockBit contra víctimas en empresas de fabricación, logística, seguros y otras empresas en todo Estados Unidos. Ivan Gennadievich Kondratyev, también conocido como «Bassterlord», supuestamente implementó LockBit contra objetivos en Estados Unidos, Singapur, Taiwán y Líbano. Kondratyev también está acusado (PDF) de tres cargos penales derivados de su presunto uso de la variante de ransomware Sodinokibi (también conocido como «REvil») para cifrar datos, exfiltrar información de la víctima y extorsionar el pago de un rescate a una víctima corporativa con sede en el condado de Alameda, California. . En mayo de 2023, las autoridades estadounidenses revelaron acusaciones contra dos presuntos afiliados de LockBit, Mikhail “Wazawaka” Matveev y Mikhail Vasiliev. En enero de 2022, KrebsOnSecurity publicó Who is the Network Access Broker ‘Wazawaka’, que siguió pistas de los numerosos seudónimos y detalles de contacto de Wazawaka en los foros de cibercrimen en ruso hasta Mikhail Matveev, de 31 años, de Abaza, RU. Matveev sigue prófugo, presumiblemente todavía en Rusia. Mientras tanto, el Departamento de Estado de Estados Unidos tiene una oferta de recompensa de 10 millones de dólares por información que conduzca al arresto de Matveev. Vasiliev, de 35 años, de Bradford, Ontario, Canadá, está detenido en Canadá en espera de ser extraditado a los Estados Unidos (la denuncia contra Vasiliev se encuentra en este PDF). En junio de 2023, el ciudadano ruso Ruslan Magomedovich Astamirov fue acusado en Nueva Jersey por su participación en la conspiración LockBit, incluido el despliegue de LockBit contra víctimas en Florida, Japón, Francia y Kenia. Astamirov se encuentra actualmente bajo custodia en Estados Unidos en espera de juicio. El Departamento de Justicia insta a las víctimas de LockBit a que se comuniquen con el FBI en https://lockbitvictims.ic3.gov/ para presentar una queja oficial y determinar si los sistemas afectados se pueden descifrar con éxito. URL de la publicación original: https://krebsonsecurity.com/2024/05/us-charges-russian-man-as-boss-of-lockbit-ransomware-group/Categoría y etiquetas: A Little Sunshine,Ne’er-Do- Well News,La guerra de Rusia contra Ucrania,Dmitry Yuryevich Khoroshev,LockBitSupp,Fiscal estadounidense Philip R. Sellinger,Departamento de Justicia de EE.UU.,Дмитрий Юрьевич Хорошев – Un poco de sol,Ne’er-Do-Well News,La guerra de Rusia contra Ucrania,Dmitry Yuryevich Khoroshev,LockBitSupp,Fiscal estadounidense Philip R. Sellinger,Departamento de Justicia de Estados Unidos,Дмитрий Юрьевич Хорошев
Etiqueta: Krebs sobre la seguridad
El jefe de contrainteligencia de una división del Servicio Federal de Seguridad de Rusia (FSB) fue sentenciado la semana pasada a nueve años de prisión por aceptar un soborno de 1,7 millones de dólares para ignorar las actividades de un prolífico grupo ruso de cibercrimen que hackeó miles de sitios electrónicos. sitios web de comercio. El esquema de protección quedó al descubierto en 2022 cuando las autoridades rusas arrestaron a seis miembros del grupo, que vendía millones de tarjetas de pago robadas en llamativas tiendas en línea como Trump’s Dumps. Una tienda de tarjetas ahora desaparecida que vendía tarjetas de crédito robadas e invocaba la imagen y el nombre de 45. Como informó The Record, la semana pasada un tribunal ruso condenó al ex oficial del FSB Grigory Tsaregorodtsev por aceptar un soborno de 1,7 millones de dólares de un grupo cibercriminal que buscaba un “techo”, un funcionario policial corrupto y bien ubicado con quien se pudiera contar para Ambos ignoran sus actividades ilegales de piratería informática e interfieren con las autoridades en caso de ser arrestados. Tsaregorodtsev era jefe del departamento de contrainteligencia de una división del FSB con sede en Perm, Rusia. En febrero de 2022, las autoridades rusas arrestaron a seis hombres en la región de Perm acusados de vender datos de tarjetas de pago robadas. También confiscaron varias tiendas de tarjetas administradas por la pandilla, incluidas Ferum Shop, Sky-Fraud y Trump’s Dumps, una popular tienda de fraude que invocaba la imagen del 45º presidente y prometía «hacer que el fraude con tarjetas de crédito vuelva a ser grandioso». Todos los dominios incautados en esa redada fueron registrados por una empresa de consultoría de TI en Perm llamada Get-net LLC, que era propiedad en parte de Artem Zaitsev, uno de los seis hombres arrestados. Según se informa, Zaitsev era un conocido programador cuya empresa suministraba servicios y arrendamiento a la oficina local del FSB. El mensaje para los usuarios de Trump’s Dumps dejado por las autoridades rusas que se apoderaron del dominio en 2022. Los sitios de noticias rusos informan que los funcionarios de Asuntos Internos del FSB comenzaron a sospechar cuando Tsaregorodtsev se interesó demasiado en el caso luego de los arrestos del grupo de hackers. Según los informes, el ex agente del FSB había asegurado a los piratas informáticos que podrían transferir su caso y que pronto serían libres. Pero cuando la libertad prometida no se materializó, cuatro de los acusados derribaron los muros del plan y derribaron su propio techo. El FSB arrestó a Tsaregorodtsev y confiscó 154.000 dólares en efectivo, 100 lingotes de oro, bienes raíces y automóviles caros. En el juicio de Tsaregorodtsev, sus abogados argumentaron que su cliente no era culpable de soborno per se, pero que admitió haber cometido fraude porque en última instancia no pudo realizar plenamente los servicios para los que había sido contratado. El medio de comunicación ruso Kommersant informa que los cuatro que cooperaron fueron puestos en libertad condicional o con trabajos correccionales. Zaitsev recibió una sentencia de 3,5 años de prisión y el acusado Alexander Kovalev recibió cuatro años. En 2017, KrebsOnSecurity hizo un perfil de Trump’s Dumps y descubrió que la dirección de contacto que figura en el sitio estaba vinculada a una dirección de correo electrónico utilizada para registrar más de una docena de dominios que parecían llamadas legítimas de Javascript que muchos sitios de comercio electrónico realizan habitualmente para procesar transacciones. – como «js-enlace[dot]su», «js-stat[dot]su” y “js-mod[dot]eso.” La búsqueda en esos dominios maliciosos reveló un informe de 2016 de RiskIQ, que muestra los dominios que ocuparon un lugar destacado en una serie de campañas de piratería contra sitios web de comercio electrónico. Según RiskIQ, los ataques se dirigieron a tiendas en línea que ejecutaban versiones obsoletas y sin parches de software de carrito de compras de Magento, Powerfront y OpenCart. Esas fallas en el carrito de compras permitieron a los delincuentes instalar «web skimmers», Javascript malicioso utilizado para robar detalles de tarjetas de crédito y otra información de formularios de pago en las páginas de pago de sitios de comercio electrónico vulnerables. Los datos de la tarjeta de pago del cliente robada se vendieron en sitios como Trump’s Dumps y Sky-Fraud. URL de la publicación original: https://krebsonsecurity.com/2024/04/russian-fsb-counterintelligence-chief-gets-9-years-in-cybercrime-bribery-scheme/Categoría y etiquetas: Un poco de sol,Ne’er- Do-Well News,Web Fraud 2.0,Alexander Kovalev,Artem Zaitsev,Servicio Federal de Seguridad (FSB),Ferum Shop,Get-Net LLC,Grigory Tsaregorodtsev,Sky-Fraud,Trump’s-Dumps – A Little Sunshine,Ne’er-Do -Well News,Web Fraud 2.0,Alexander Kovalev,Artem Zaitsev,Servicio Federal de Seguridad (FSB),Ferum Shop,Get-Net LLC,Grigory Tsaregorodtsev,Sky-Fraud,Trump’s-Dumps
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo hoy que está investigando una violación en la empresa de inteligencia empresarial Sisense, cuyos productos están diseñados para permitir a las empresas ver el estado de múltiples servicios en línea de terceros en un solo panel. CISA instó a todos los clientes de Sisense a restablecer todas las credenciales y secretos que puedan haber sido compartidos con la empresa, que es el mismo consejo que Sisense dio a sus clientes el miércoles por la noche. Sisense, con sede en la ciudad de Nueva York, tiene más de 1.000 clientes en una variedad de sectores verticales, incluidos servicios financieros, telecomunicaciones, atención médica y educación superior. El 10 de abril, el director de seguridad de la información de Sisense, Sangram Dash, dijo a los clientes que la empresa había tenido conocimiento de informes de que «cierta información de la empresa de Sisense puede haber estado disponible en lo que nos han informado que es un servidor de acceso restringido (que generalmente no está disponible en Internet). .)” “Estamos tomando este asunto en serio y comenzamos rápidamente una investigación”, continuó Dash. “Contratamos a expertos líderes de la industria para que nos ayudaran con la investigación. Este asunto no ha resultado en una interrupción de nuestras operaciones comerciales. Por precaución, y mientras continuamos investigando, le instamos a rotar de inmediato cualquier credencial que utilice en su aplicación Sisense”. En su alerta, CISA dijo que estaba trabajando con socios de la industria privada para responder a un compromiso reciente descubierto por investigadores de seguridad independientes que involucran a Sisense. «CISA está asumiendo un papel activo en la colaboración con socios de la industria privada para responder a este incidente, especialmente en lo que se refiere a las organizaciones del sector de infraestructura crítica afectadas», se lee en la escasa alerta. «Proporcionaremos actualizaciones a medida que haya más información disponible». Sisense se negó a hacer comentarios cuando se le preguntó sobre la veracidad de la información compartida por dos fuentes confiables con conocimiento cercano de la investigación de la violación. Esas fuentes dijeron que la violación parece haber comenzado cuando los atacantes de alguna manera obtuvieron acceso al repositorio de código de la compañía en Gitlab, y que en ese repositorio había un token o credencial que les dio a los malos acceso a los depósitos Amazon S3 de Sisense en la nube. Ambas fuentes dijeron que los atacantes utilizaron el acceso a S3 para copiar y exfiltrar varios terabytes de datos de clientes de Sisense, que aparentemente incluían millones de tokens de acceso, contraseñas de cuentas de correo electrónico e incluso certificados SSL. Los clientes pueden usar Gitlab como una solución alojada en la nube en Gitlab.com o como una implementación autoadministrada de Gitlab. KrebsOnSecurity entiende que Sisense estaba usando la versión autoadministrada de Gitlab. El incidente plantea dudas sobre si Sisense estaba haciendo lo suficiente para proteger los datos confidenciales que le confiaron los clientes, como por ejemplo si el enorme volumen de datos robados de los clientes alguna vez fue cifrado mientras estaba en reposo en estos servidores en la nube de Amazon. Sin embargo, está claro que los atacantes desconocidos ahora tienen todas las credenciales que los clientes de Sisense utilizaron en sus paneles. La infracción también deja en claro que Sisense está algo limitado en las acciones de limpieza que puede tomar en nombre de los clientes, porque los tokens de acceso son esencialmente archivos de texto en su computadora que le permiten permanecer conectado durante períodos prolongados de tiempo, a veces de forma indefinida. . Y dependiendo de qué servicio estemos hablando, es posible que los atacantes reutilicen esos tokens de acceso para autenticarse como víctima sin tener que presentar credenciales válidas. Más allá de eso, depende en gran medida de los clientes de Sisense decidir si cambian las contraseñas de los diversos servicios de terceros que previamente han confiado a Sisense y cuándo. Hoy temprano, una firma de relaciones públicas que trabaja con Sisense se acercó para saber si KrebsOnSecurity planeaba publicar más actualizaciones sobre su violación (KrebsOnSecurity publicó una captura de pantalla del correo electrónico del cliente del CISO tanto en LinkedIn como en Mastodon el miércoles por la noche). El representante de relaciones públicas dijo que Sisense quería asegurarse de que tuvieran la oportunidad de comentar antes de que se publicara la historia. Pero cuando se enfrentó a los detalles compartidos por mis fuentes, Sisense aparentemente cambió de opinión. «Después de consultar con Sisense, me dijeron que no desean responder», dijo el representante de relaciones públicas en una respuesta enviada por correo electrónico. Nicholas Weaver, investigador del Instituto Internacional de Ciencias de la Computación (ICSI) de la Universidad de California en Berkeley y profesor de la UC Davis, dijo que una empresa a la que se le han confiado tantos inicios de sesión confidenciales debería cifrar esa información. «Si alojan datos de clientes en un sistema de terceros como Amazon, será mejor que estén cifrados», dijo Weaver. “Si le dicen a la gente que restablezca sus credenciales, eso significa que no estaban cifradas. Entonces, el error número uno es dejar las credenciales de Amazon en su archivo Git. El error número dos es usar S3 sin usar cifrado encima. Lo primero es malo pero perdonable, pero lo segundo, dado su negocio, es imperdonable”. Actualización, 6:49 pm, ET: Se agregó una aclaración de que Sisense está usando una versión autohospedada de Gitlab, no la versión en la nube administrada por Gitlab.com. Además, CISO Dash de Sisense acaba de enviar una actualización directamente a los clientes. El último consejo de la compañía es mucho más detallado e implica restablecer una cantidad potencialmente grande de tokens de acceso en múltiples tecnologías, incluidas las credenciales de Microsoft Active Directory, las credenciales de GIT, los tokens de acceso web y cualquier secreto o token de inicio de sesión único (SSO). . El mensaje completo de Dash a los clientes se encuentra a continuación: “Buenas tardes. Estamos dando seguimiento a nuestra comunicación anterior del 10 de abril de 2024, con respecto a los informes de que cierta información de la empresa Sisense puede haber estado disponible en un servidor de acceso restringido. Como se señaló, nos estamos tomando este asunto en serio y nuestra investigación continúa. Nuestros clientes deben restablecer cualquier clave, token u otra credencial en su entorno utilizada dentro de la aplicación Sisense. Específicamente, debe: – Cambiar su contraseña: cambiar todas las contraseñas relacionadas con Sisense en http://my.sisense.com – Sin SSO: – Reemplazar el secreto en la sección Seguridad de configuración base con su GUID/UUID. – Restablecer contraseñas para todos los usuarios en la aplicación Sisense. – Cierre la sesión de todos los usuarios ejecutando GET /api/v1/authentication/logout_all en Usuario administrador. – Inicio de sesión único (SSO): – Si utiliza SSO JWT para la autenticación del usuario en Sisense, deberá actualizar sso.shared_secret en Sisense y luego usar el valor recién generado en el lado del controlador de SSO.– Recomendamos encarecidamente rotar el certificado x.509 para su proveedor de identidad SSO SAML.– Si utiliza OpenID, es imperativo gire también el secreto del cliente. – Después de estos ajustes, actualice la configuración de SSO en Sisense con los valores revisados. – Cierre sesión en todos los usuarios ejecutando GET /api/v1/authentication/logout_all en Usuario administrador. – Credenciales de la base de datos del cliente: restablezca las credenciales en su base de datos que se utilizó en la aplicación Sisense para garantizar la continuidad de la conexión entre los sistemas. – Modelos de datos: cambie todos los nombres de usuario y contraseñas en la cadena de conexión de la base de datos en los modelos de datos. – Parámetros de usuario: si está utilizando la función Parámetros de usuario, restablecerlos.– Active Directory/LDAP: cambie el nombre de usuario y la contraseña de usuario de los usuarios cuya autorización se utiliza para la sincronización de AD.– Autenticación HTTP para GIT: rote las credenciales en cada proyecto GIT.– Clientes B2D: utilice la siguiente API PATCH api/ v2/b2d-connection en la sección de administración para actualizar la conexión B2D.– Aplicaciones Infusion: gire las claves asociadas.– Token de acceso web: gire todos los tokens.– Servidor de correo electrónico personalizado: gire las credenciales asociadas.– Código personalizado: restablezca los secretos que aparecen en cuadernos de códigos personalizados. Si necesita ayuda, envíe un ticket de atención al cliente en https://community.sisense.com/t5/support-portal/bd-p/SupportPortal y márquelo como crítico. Contamos con un equipo de respuesta dedicado en espera para ayudarlo con sus solicitudes. En Sisense damos suma importancia a la seguridad y estamos comprometidos con el éxito de nuestros clientes. Gracias por su colaboración y compromiso con nuestra seguridad mutua. Saludos, Director de seguridad de la información de Sangram Dash” URL de la publicación original: https://krebsonsecurity.com/2024/04/why-cisa-is-warning-cisos-about-a-breach-at-sisense/Categoría y etiquetas: Un poco Sunshine,violaciones de datos,la tormenta que viene,Nicholas Weaver,Sangram Dash,violación de Sisense,Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Agencia
Tres estadounidenses fueron acusados esta semana de robar más de 400 millones de dólares en un ataque de intercambio de SIM en noviembre de 2022. El gobierno de EE. UU. no nombró a la organización víctima, pero todo indica que el dinero fue robado del ahora desaparecido intercambio de criptomonedas FTX, que acababa de declararse en quiebra ese mismo día. Un gráfico que ilustra el flujo de más de 400 millones de dólares en criptomonedas robadas de FTX del 11 al 12 de noviembre de 2022. Imagen: Elliptic.co. Una acusación formal revelada esta semana y de la que Ars Technica informó por primera vez alega que Robert Powell, un hombre de Chicago, también conocido como “R”, “R$” y “ElSwapo1”, era el cabecilla de un grupo de intercambio de SIM llamado “Powell SIM Swapping Crew”. » Emily “Em” Hernandez, residente de Colorado, supuestamente ayudó al grupo a obtener acceso a los dispositivos de las víctimas al servicio de ataques de intercambio de SIM entre marzo de 2021 y abril de 2023. Carter Rohn, residente de Indiana, también conocido como “Carti” y “Punslayer”, supuestamente ayudó a comprometer los dispositivos. . En un ataque de intercambio de SIM, los delincuentes transfieren el número de teléfono del objetivo a un dispositivo que controlan, lo que les permite interceptar cualquier mensaje de texto o llamada telefónica enviada a la víctima, incluidos códigos de acceso de un solo uso para autenticación o enlaces de restablecimiento de contraseña enviados por SMS. La acusación afirma que los autores de este atraco robaron los 400 millones de dólares en criptomonedas el 11 de noviembre de 2022 después de que intercambiaron la tarjeta SIM de un cliente de AT&T haciéndose pasar por ellos en una tienda minorista utilizando una identificación falsa. Sin embargo, el documento se refiere a la víctima en este caso únicamente con el nombre “Víctima 1”. Andy Greenberg, de Wired, escribió recientemente sobre la carrera nocturna de FTX para detener un robo de criptomonedas de mil millones de dólares que ocurrió la noche del 11 de noviembre: “El personal de FTX ya había soportado uno de los peores días en la corta vida de la compañía. Lo que recientemente había sido uno de los principales intercambios de criptomonedas del mundo, valorado en 32 mil millones de dólares sólo 10 meses antes, acababa de declararse en quiebra. Después de una larga lucha, los ejecutivos habían persuadido al director ejecutivo de la empresa, Sam Bankman-Fried, para que entregara las riendas a John Ray III, un nuevo director ejecutivo ahora encargado de guiar a la empresa a través de una maraña de deudas de pesadilla, muchas de las cuales parecían no tener medios para pagar”. “Parecía que FTX había tocado fondo. Hasta que alguien (un ladrón o ladrones que aún no han sido identificados) eligió ese momento en particular para empeorar las cosas. Ese viernes por la noche, el exhausto personal de FTX comenzó a ver misteriosas salidas de la criptomoneda de la compañía, capturadas públicamente en el sitio web Etherscan que rastrea la cadena de bloques Ethereum, lo que representa el robo de cientos de millones de dólares en criptomonedas en tiempo real”. La acusación dice que los 400 millones de dólares fueron robados durante varias horas entre el 11 y el 12 de noviembre de 2022. Tom Robinson, cofundador de la firma de inteligencia blockchain Elliptic, dijo que los atacantes en el atraco a FTX comenzaron a vaciar las billeteras de FTX en la noche del 1 de noviembre. 11 de noviembre de 2022, hora local, y continuará hasta el 12 de noviembre. Robinson dijo que Elliptic no tiene conocimiento de ningún otro robo de criptomonedas de esa magnitud que haya ocurrido en esa fecha. «Calculamos el valor de los criptoactivos robados en 477 millones de dólares», dijo Robinson. “Los administradores de FTX han informado de pérdidas totales debido a “transferencias no autorizadas a terceros” de 413 millones de dólares; la discrepancia probablemente se deba a la posterior incautación y devolución de algunos de los activos robados. De cualquier manera, ciertamente son más de $400 millones, y no tenemos conocimiento de ningún otro robo de intercambios de cifrado a esta escala, en esta fecha». Los intercambiadores de SIM presuntamente responsables del robo de criptomonedas de 400 millones de dólares son todos residentes de EE. UU. Pero hay algunos indicios de que recibieron ayuda de ciberdelincuentes organizados con sede en Rusia. En octubre de 2023, Elliptic publicó un informe que encontró que el dinero robado de FTX había sido lavado a través de intercambios con vínculos con grupos criminales con sede en Rusia. «Un actor vinculado a Rusia parece una posibilidad más fuerte», escribió Elliptic. “De los activos robados que se pueden rastrear a través de ChipMixer, cantidades significativas se combinan con fondos de grupos criminales vinculados a Rusia, incluidas bandas de ransomware y mercados de la red oscura, antes de enviarlos a los intercambios. Esto apunta a la participación de un corredor u otro intermediario con un nexo en Rusia”. Nick Bax, director de análisis de la firma de recuperación de billeteras de criptomonedas Unciphered, dijo que el flujo de fondos FTX robados se parece más a lo que su equipo ha visto en grupos con sede en Europa del Este y Rusia que a cualquier cosa que hayan presenciado en intercambiadores de SIM con sede en EE. UU. . «Me sorprendió un poco este desarrollo, pero parece ser consistente con los informes de CISA. [the Cybersecurity and Infrastructure Security Agency] y otros con los que ha trabajado “Scattered Spider” [ransomware] grupos como ALPHV/BlackCat”, dijo Bax. La alerta de CISA sobre Scattered Spider dice que son un grupo cibercriminal que apunta a grandes empresas y sus servicios de asistencia técnica de tecnología de la información (TI) contratados. «Los actores de la amenaza Scattered Spider, según terceros de confianza, normalmente se han involucrado en el robo de datos con fines de extorsión y también se sabe que utilizan el ransomware BlackCat/ALPHV junto con sus TTP habituales», dijo CISA, refiriéndose a las «Tácticas, técnicas y procedimientos» característicos del grupo. .” Nick Bax, publicando en Twitter/X en noviembre de 2022 sobre su investigación sobre el atraco de FTX de 400 millones de dólares. A principios de esta semana, KrebsOnSecurity publicó una historia que señala que se cree que un hombre de Florida acusado recientemente de ser parte de una conspiración de intercambio de SIM es un miembro clave de Scattered Spider, un grupo de piratería también conocido como 0ktapus. Se ha culpado a ese grupo de una serie de intrusiones cibernéticas en importantes empresas tecnológicas estadounidenses durante el verano de 2022. Las reclamaciones financieras relacionadas con los procedimientos de quiebra de FTX están a cargo del gigante de consultoría financiera y de riesgos Kroll. En agosto de 2023, Kroll sufrió su propia infracción después de que le cambiaran la SIM a un empleado de Kroll. Según Kroll, los ladrones robaron información de los usuarios de múltiples plataformas de criptomonedas que dependen de los servicios de Kroll para manejar los procedimientos de quiebra. KrebsOnSecurity buscó comentarios para esta historia de Kroll, el FBI, los fiscales y Sullivan & Cromwell, el bufete de abogados que maneja la quiebra de FTX. Esta historia se actualizará en caso de que alguno de ellos responda. Los abogados del Sr. Powell dijeron que no saben quién es la Víctima 1 en la acusación, ya que el gobierno aún no ha compartido esa información. La próxima cita de Powell en la corte es una audiencia de detención el 2 de febrero de 2024. URL de la publicación original: https://krebsonsecurity.com/2024/02/arrests-in-400m-sim-swap-tied-to-heist-at-ftx /Categoría y etiquetas: Un poco de sol, violaciones de datos, noticias que no le van bien, intercambio de SIM, 0ktapus, ransomware ALPHV, Ars Technica, ransomware BlackCat, Carter Rohn, CISA, Elliptic, Emily Hernandez, FBI, FTX, Kroll ,Nick Bax,Powell SIM Swapping Crew,R$,Robert Powell,Scattered Spider,Intercambio de SIM,Tom Robinson,Unciphered – A Little Sunshine,Violaciones de datos,Ne’er-Do-Well News,SIM Swapping,0ktapus,ALPHV ransomware, Ars Technica,BlackCat ransomware,Carter Rohn,CISA,Elliptic,Emily Hernandez,fbi,FTX,Kroll,Nick Bax,Powell SIM Swapping Crew,R$,Robert Powell,Scattered Spider,SIM swapping,Tom Robinson,Unciphered
Source link