00:00:08
[Música]
00:00:10
Hola hackers Bueno Veníamos a hablar un
00:00:12
poco del daño que que genera el
00:00:14
cibercrimen y terminamos rompiendo un
00:00:16
poco toda la el estante lo primero eh
00:00:21
quiero hacer una una consulta que me
00:00:23
levantéis la mano quién identificáis de
00:00:26
vosotros el título de la presentación
00:00:28
Smoke on the water Fire in the Cloud
00:00:31
nadie si hay uno bien yo tengo el
00:00:35
problema de identificarme con una
00:00:36
persona joven y al estar creando la
00:00:39
presentación me di cuenta efectivamente
00:00:41
que que mi percepción estaba un poco
00:00:43
equivocada No creo que no he encontrado
00:00:45
una sola foto en HD de de Deep Purple
00:00:48
para para poder hacer un poco la
00:00:50
referencia así que bueno vamos vamos a
00:00:52
ello para que nos podamos conocer me
00:00:54
quiero presentar yo soy Federico teti
00:00:56
actualmente soy zto en zer me pueden a
00:01:00
través de My public inbo o si no también
00:01:02
voy a estar en el stand Deer un ratín mi
00:01:05
pasión es toda la parte de información
00:01:08
seguridad de la información y mi tiempo
00:01:10
libre o esa personalidad alterna que que
00:01:13
tenemos fuera de la vida profesional
00:01:14
tiene que ver con con el
00:01:16
pentesting hace mucho tiempo he tenido
00:01:18
varias certificaciones cuando tenía
00:01:20
tiempo para estudiar yic más a ello y
00:01:22
por alguna razón que es conozco me gusta
00:01:26
hacerme pasar por estas situaciones de
00:01:27
estrés y termino hablando en varias
00:01:29
conferen Así que un poco cuando Estaba
00:01:32
preparando esta presentación quería
00:01:34
armar algo que fuera un poco para para
00:01:36
toda la audiencia tanto para los
00:01:38
técnicos que asisten a Estos tipos de
00:01:39
eventos como quizás a los comerciales o
00:01:41
a las personas que trabajan en esta
00:01:43
industria y es difícil balancearlo todo
00:01:45
alguno de ustedes levantar la mano Quién
00:01:47
ha escuchado sobre operation end
00:01:49
game y no por la charla y no por la
00:01:52
película de
00:01:53
Marvel bien bien me gusta a mí me
00:01:57
sorprendió y la verdad que me interesó
00:01:59
hablar sobre esto porque si bien en su
00:02:01
momento hace un par de meses cuando esta
00:02:04
operación tomó lugar allí por finales de
00:02:07
mayo La verdad es que no vi mucha mucho
00:02:11
movimiento en los medios o en la
00:02:12
comunicación en general y ha sido una
00:02:16
operación llevada a cabo por las fuerzas
00:02:18
de seguridad muy importante y Qué tiene
00:02:20
de diferente operation endgame desde el
00:02:22
punto de vista de operación en sí lo que
00:02:25
tiene de diferente en principio es que
00:02:27
es una operación que llevaron a cabo las
00:02:28
fuerzas públicas y también distintos
00:02:31
actores del ámbito privado vale como por
00:02:33
ejemplo celas caler y varios más y el
00:02:36
segundo punto importante de mi
00:02:38
perspectiva es que apunta en específico
00:02:40
a una parte del cibercrimen que en
00:02:43
general se suele dejar un poco de lado y
00:02:45
esto tiene que ver con el mundo de los
00:02:47
droppers no sé si reconocéis algunos de
00:02:49
los droppers mencionados allí pero
00:02:51
muchos de ellos son el el el pie inicial
00:02:54
dentro de muchas de las grandes brechas
00:02:55
que conocemos y de las grandes eh los
00:02:58
grandes daños que se han llevado a cabo
00:03:00
con distintas operaciones de
00:03:01
rams yo voy a estar haciendo foco en
00:03:04
mader en particular para poder hablar un
00:03:06
poquito de lo técnico y qu es lo
00:03:08
diferente que tiene el mismo pero la
00:03:10
operación en sí quiero que tengan en
00:03:12
cuenta que es es muy difícil llevar a
00:03:14
cabo una operación de este estilo Porque
00:03:16
la infraestructura crítica que utilizan
00:03:18
los malos no es infraestructura que sea
00:03:20
fácilmente de acceder no es que es un
00:03:23
servidor al cual uno simplemente con un
00:03:25
IP puede llegar las conexiones que
00:03:27
tienen estas herramientas de malware
00:03:29
para con la infraestructura que está por
00:03:31
detrás es está muy ofuscada es muy
00:03:34
difícil llegar a ella y realmente cuando
00:03:37
eh un organismo lleva a cabo una
00:03:39
operación de este estilo lo tiene que
00:03:40
hacer de manera sincronizada a nivel
00:03:43
mundial aquí estamos hablando de que se
00:03:44
ha involucrado países de Europa como
00:03:46
Países Bajos España Alemania Armenia
00:03:50
Ucrania y Tenemos también Estados Unidos
00:03:52
por el otro lado y esta operación llevó
00:03:55
a cabo distintos
00:03:58
eh distintas
00:04:00
se llevó a cabo distintas
00:04:01
investigaciones y atracos por decir de
00:04:03
alguna manera en 16 ubicaciones
00:04:04
diferentes que como resultado se obtuvo
00:04:07
que se pudieron conseguir el control
00:04:09
sobre más de 100 servidores que en este
00:04:11
tipo de infraestructura es muy
00:04:13
importante hacerlo de manera conjunta
00:04:16
Porque estos tienen mecanismos de
00:04:17
fallback yo tengo una máquina infectada
00:04:19
que se conecta a un servidor n si ese
00:04:21
servidor por lo que fuera deja de
00:04:22
funcionar termino recayendo en otro
00:04:24
servidor y en otro servidor y así
00:04:26
entonces poder conseguir todos esos
00:04:28
servidores al mismo tiempo Es realmente
00:04:30
muy importante no solamente para la
00:04:32
operación en ese momento sino para la
00:04:34
operación a futuro eso genera un gran
00:04:35
daño el segundo punto es poder haber
00:04:38
conseguido más de 2000 dominios tomar el
00:04:40
control que son los dominios que están
00:04:42
cifrados dentro del código mismo del
00:04:43
malware al cual el ordenador infectado
00:04:46
se termina conectando y el tercer punto
00:04:48
es que se han podido conseguir eh meter
00:04:51
en prisión una cantidad de personas
00:04:52
cuatro personas en particular y e
00:04:55
finalmente también lo otro interesante
00:04:57
es que se han conseguido conseguir
00:04:59
órdenes de captura para otro tipos de
00:05:01
actores vale evidentemente este tipo de
00:05:04
acción en conjunto es muy interesante
00:05:06
que se puede llevar a cabo pero también
00:05:08
necesitas el compromiso de las
00:05:09
autoridades locales para poder llevar a
00:05:11
cabo estas detenciones estas ocho
00:05:13
personas se encuentran eso se creen en
00:05:15
Rusia con lo cual hace que sea muy
00:05:17
difícil poder conseguir una extradita yo
00:05:20
voy a enfocarme en nuestro amigo airat
00:05:21
gruber en particular y vamos a hablar de
00:05:24
él como un ejemplo de de superación y de
00:05:28
crecimiento en este mundo del
00:05:32
cibercrimen Cómo empieza la caída de
00:05:35
smok loader cómo empieza la operación
00:05:36
end la operación de endgame A diferencia
00:05:39
de otras operaciones que se llevaron en
00:05:41
el pasado apunta a hac un sops todos
00:05:45
saben lo que es un sops han escuchado
00:05:47
alguna vez la palabra no bueno es una
00:05:50
operación psicológica En definitiva Esta
00:05:53
no es la primera operación que lleva a
00:05:54
cabo este tipo de de de técnicas ha
00:05:58
habido otras en el pasado especialmente
00:06:00
unos meses antes existió otra que se
00:06:02
llamó operación cronos que estuvo
00:06:04
afectando parte de la infraestructura de
00:06:06
logbit seguramente lo hayan escuchado a
00:06:08
logbit y vamos a comentar un poquitito
00:06:10
Cómo funciona la parte de los
00:06:13
asops Cómo empezaron en principio lo que
00:06:16
hicieron la gente de la europol es crear
00:06:18
un sitio web donde empezaron a publicar
00:06:20
videos muy cortos de 37 segundos
00:06:23
aproximadamente y con un formato muy de
00:06:25
animación y muy Tecno y muy moderno en
00:06:28
donde En definitiva en mostrando
00:06:30
distintos casos de uso y trataban de
00:06:32
apuntar a distintos tipos de actores por
00:06:34
ejemplo en el primer capítulo se apunta
00:06:36
a un actor en particular llamándolo
00:06:38
Green horse y lo que se mostraba en este
00:06:42
tipo de de video es la posibilidad de
00:06:45
que este actor estuviera llevando a cabo
00:06:48
sus actividades y que en el mismo video
00:06:51
se empezaron a mostrar Migajas de
00:06:53
información que las autoridades tienen
00:06:55
sobre esta persona y a qué apunta esto
00:06:58
en realidad
00:07:00
cualquier tipo de de guerra o de batalla
00:07:02
cibernética que querramos tener sabemos
00:07:04
que tiene paralelismo con la guerra del
00:07:05
día a día no O sea una guerra normal
00:07:08
donde el objetivo es dañar el físico de
00:07:10
tu de tu adversario de tu enemigo de tu
00:07:12
contrincante en un sops evidentemente o
00:07:15
en una batalla cibernética el objetivo
00:07:17
no es el cuerpo de una persona sino la
00:07:19
mente de esa
00:07:20
persona y En definitiva lo que buscan
00:07:23
hacer las autoridades a través de estas
00:07:25
técnicas es generar una desconfianza
00:07:27
dentro de los mismos actores y poder
00:07:29
hacer que se equivoquen Entonces cómo
00:07:33
funciona esto tenemos dos objetivos
00:07:35
afectar la marca la reputación de la
00:07:37
marca y afectar las relaciones
00:07:38
interpersonales dentro de los malos cómo
00:07:41
lo Tratamos de hacer o cómo lo trataron
00:07:43
de hacer Bueno en principio de dos
00:07:45
maneras la primera es la credibilidad
00:07:47
del líder en el caso de logbit que fue
00:07:49
la primera vez que se empezó a hacer
00:07:50
empezaron a filtrar el nombre logbit sub
00:07:52
y se empezaron a ex filtrar
00:07:54
informaciones por ejemplo Qué tipo de
00:07:55
automóvil maneja O informaciones de
00:07:58
quées son los sitios que visitó en el
00:08:00
último año que estuvo de vacaciones por
00:08:01
ejemplo también se buscaba decir que
00:08:03
estaba colaborando con las fuerzas de
00:08:05
seguridad con lo cual sus afiliados
00:08:08
empezaban a desconfiar si realmente esta
00:08:11
persona que estaba con ellos estaba
00:08:12
trabajando para las fuerzas o no y el
00:08:15
segundo punto era
00:08:18
e la reputación de la marca y esto tiene
00:08:20
que ver con que en la exfiltración que
00:08:22
se logra hacer A través de las de los
00:08:24
organismos de logbit cuando se consigue
00:08:27
toda la información que tenían descubren
00:08:30
que a pesar de que las víctimas estaban
00:08:31
pagando el ramsonware muchísimas veces
00:08:34
esa información no era borrada de los
00:08:36
sistemas sino que continuaba el ramson
00:08:39
donde le decían que si por ejemplo no
00:08:41
volvían a pagar otro suma de dinero la
00:08:44
información que tenían la iban a ex
00:08:45
filtrar a la web o iban a contactar a
00:08:48
las autoridades para contarle qué tan
00:08:50
malas prácticas de seguridad internas
00:08:51
tenían o mismo contactar a sus clientes
00:08:54
con lo cual esto generaba en las
00:08:56
víctimas un un doble un doble daño
00:08:59
porque en este momento se enfrentaban
00:09:01
con que habían pagado un ransom pero que
00:09:02
a su vez corrían el riesgo de que las
00:09:05
autoridades lo multar o de perder los
00:09:08
clientes a través de la reputación
00:09:09
Entonces qué pasó a través de esta
00:09:12
filtración que llevan a cabo las
00:09:14
autoridades lbit empieza a perder
00:09:16
credibilidad las personas que estan
00:09:18
siendo afectadas por este tipo de ramson
00:09:21
dicen para qué voy a pagar si En
00:09:23
definitiva me van a seguir presionando
00:09:24
de otra manera Me termina me conviene
00:09:26
pagar la multa que pagar el RAM defo va
00:09:29
a tener este problema Entonces qué es lo
00:09:33
que se buscaba De hecho si si se fijan y
00:09:36
buscan esto hay muchísima información no
00:09:38
nos da el tiempo hoy para conversarlo
00:09:39
pero si lo buscan van a encontrar un
00:09:41
montón de posteos en la web donde los
00:09:43
actores maliciosos empiezan a querer
00:09:46
enfrentar a las autoridades de manera
00:09:47
digital y esto En definitiva los lleva a
00:09:50
cometer distintos tipos de
00:09:52
errores Cuál es el objetivo de El sops
00:09:56
en operation endgame el objetivo es que
00:09:59
los adversarios entiendan que nadie es
00:10:01
imposible de rastrear que a pesar que
00:10:03
nosotros creamos muchas veces que
00:10:04
nuestros huellas son invisibles por
00:10:05
utilizar una VPN o por usar algún Script
00:10:09
o lo que fuese En definitiva todos
00:10:12
tenemos una huella digital vale Y esa
00:10:14
huella digital hace que En definitiva
00:10:16
nadie sea invisible tenemos que entender
00:10:20
que estos actores abusan de esas
00:10:22
circunstancias Entonces el primer
00:10:25
mensaje es que nadie es imposible de
00:10:27
rastrear y de hecho a través de la de
00:10:30
los videos que iban subiendo los
00:10:31
episodios se empiezan a ver algunas
00:10:33
Migajas que si bien parecen detalles
00:10:35
dentro de las animaciones son r datos
00:10:38
reales de los actores a los cuales
00:10:40
estaban persiguiendo investigando
00:10:42
podemos por ejemplo encontrar el apodo
00:10:44
de superstar 75 737 que es relacionado
00:10:48
al final lo vamos a hacer el match con
00:10:50
gruer es uno de sus tantos personajes
00:10:52
También tenemos Mr Fox 84 que tampoco
00:10:55
tenemos muy claro quién es pero aparece
00:10:57
allí y endgame con moniker un poco
00:11:00
extraño evidentemente se refiere a la
00:11:02
gente de de la fuerz de seguridad que
00:11:05
esté interactuando con los malos de
00:11:08
manera oculta tratando de conseguir
00:11:10
acceso a esta
00:11:13
botnet en el mismo video podemos ya ver
00:11:16
otra tipo de migaja que tenemos allí
00:11:18
donde por ejemplo tenemos anpat que
00:11:20
significa airat es la traducción en ruso
00:11:23
y
00:11:25
1982 para nosotros puede significar nada
00:11:27
pero para gruer que es uno de los
00:11:30
operadores de la botnet y que llevó a
00:11:31
cabo finalmente una de las botnet más
00:11:33
grandes que se encuentran Ho día the
00:11:35
droppers Ese es su nombre real y esa es
00:11:38
su fecha de
00:11:39
nacimiento para nosotros significa muy
00:11:41
poco pero para los malos que saben que
00:11:43
están detrás de esto empiezan a ver que
00:11:45
hay información de ellos que empieza a
00:11:47
estar
00:11:48
pública hasta ahí lo que pasó con
00:11:50
operation gman y alguna de las figuras o
00:11:52
personajes que tenemos allí dentro Qué
00:11:54
es Smoke loader algunos de ustedes
00:11:56
levantaron la mano diciendo que sí lo
00:11:57
conocían
00:11:59
Smoke loader es un dropper Generalmente
00:12:02
nos habla mucho de los droppers en
00:12:04
ciberseguridad por cualquier razón
00:12:06
seguramente tiene mejor marketing a
00:12:07
hablar de ramses y demás pero los
00:12:10
droppers son artefactos muy muy muy
00:12:13
importantes dentro de la cadena de
00:12:14
ataque dentro del cibercrimen Por qué
00:12:17
Porque es el primer estadío en general
00:12:19
Estos artefactos no son maliciosos en Sí
00:12:22
con lo cual hace que sean bastante
00:12:23
difíciles de detectar y de hecho tienen
00:12:25
muchísimas técnicas para no ser
00:12:27
detectados pero tiene una particularidad
00:12:30
smer además de ser un droper que entra y
00:12:34
hace ese inicio dentro de la cadena de
00:12:36
ataque y permitir que luego los malos
00:12:38
vengan con sus pay y rra inf y
00:12:44
dem se fue
00:12:46
transformando realmente termina
00:12:48
convirtiéndose en una herramienta de
00:12:50
multi con plugins Enton
00:12:55
también que tenemos que entender es
00:12:57
queos
00:12:59
en tecnología adoptan nuevas tecnologías
00:13:01
buscan nuevas maneras de llevar a cabo
00:13:03
sus
00:13:04
cometidos Entonces si bien comienza en
00:13:07
2011 evidentemente ya estamos en son 13
00:13:11
años si buscas en análisis de de
00:13:14
reversing de esto van a encontrar un
00:13:15
montón de información hay algunas cosas
00:13:18
que son muy interesantes si bien arranca
00:13:19
e como objetivo principal Windows eh las
00:13:24
primeras muestras se encuentran en el
00:13:25
2011 y tiene una presencia mucho más
00:13:28
fuerte en 2014 cuando tiene su primer
00:13:30
upgrade realmente lo que hay que
00:13:33
entender es que esto es un Bot muy
00:13:35
barato $1600 Y tenemos acceso a una
00:13:38
suite completa para poder comprometer
00:13:40
cualquier tipo de
00:13:41
organización y si bien inicialmente no
00:13:44
es un artefacto que que comprometa o que
00:13:46
infecte eh ordenadores Y tal Es cierto
00:13:50
que algunos malos empezaron a entender
00:13:52
que podían armarlo y en el momento en
00:13:54
que el dropper se carga en memoria pueda
00:13:57
usar esa carga en memoria
00:13:59
para desplegar otro tipo de ataques como
00:14:02
un rans evitándose un montón de saltas
00:14:04
dentro de la cadena más tradicional de
00:14:07
ataque dentro de de un evento de estos
00:14:09
de
00:14:10
ciberseguridad Qué cosas son importantes
00:14:12
entender es importante entender que esto
00:14:15
funciona con un modelo que se llama ppi
00:14:17
p per install los malos no hablan de
00:14:20
infectados hablan de instalaciones es un
00:14:23
modelo de negocio Entonces como tal
00:14:27
modelo de negocio tiene que tener su
00:14:29
comercialización Este posteo es un
00:14:31
posteo del
00:14:32
2018 donde si ustedes pueden observar se
00:14:36
ve bastante claro dentro lo lo que pude
00:14:38
conseguir es un detalle específico de
00:14:40
qué es lo que provee la herramienta de
00:14:42
hecho inclusive podemos ver que tiene
00:14:44
funcionalidades muy interesantes Como
00:14:46
por ejemplo geolocalización este tipo de
00:14:48
herramienta puede detectar si está el
00:14:50
teclado en modos idílico y detectar si
00:14:53
es un ordenador que puede estar en Rusia
00:14:55
y de tal manera no
00:14:58
infectarlo sorta un montón de
00:15:00
funcionalidades con lo cual hace que sea
00:15:02
muy complicado detectarlo y que sea muy
00:15:05
peligroso Pero qué es lo que más lo hace
00:15:08
complejo la set de plugins en 2014 se
00:15:11
empiezan a incluir plugins Dentro de
00:15:13
este tipo de herramienta plugins que por
00:15:15
ejemplo nos permiten hacer una captura
00:15:17
de http post para poder ver en texto
00:15:20
claro lo que puede hacer que los
00:15:21
usuarios estén mandando a la web que
00:15:23
puedan esnifar passwords que se estén
00:15:25
moviendo a través de la red por ejemplo
00:15:27
vía
00:15:27
ftp poder levantar sesiones de team
00:15:30
viwer en modo usuario para ver lo que el
00:15:32
usuario está haciendo sin tomar
00:15:33
ownership de la sesión poder usar dns
00:15:37
falsos para redirigir tráfico si el
00:15:39
usuario quiere acceder no sé google.com
00:15:41
redirigir a otro tipo de servicio que en
00:15:44
realidad des malicioso y que va a a
00:15:48
confundir el usuario y por qué digo que
00:15:51
esto es importante porque por ejemplo al
00:15:53
día de hoy dns sobre https es una manera
00:15:56
de inscripción de dns muchas tecnologías
00:15:59
inclusive bueno El fabricante de su
00:16:01
trabajo en particular tiene posibilidad
00:16:03
de poder detectar y poder desencriptar
00:16:05
ese tráfico y mirarlo pero la mayoría de
00:16:07
las tecnologías que tenemos hoy
00:16:08
disponible no pueden desencriptar
00:16:10
tráfico https dns sobre https y es un
00:16:14
problema porque en el 2014 este tipo de
00:16:16
tecnología Ya implantó esa
00:16:19
funcionalidad capacidad para Buscar
00:16:21
ficheros a través de un Rex muy simple
00:16:24
poder insertarse utilizando procmon para
00:16:27
generar tareas en en base a
00:16:29
procesamientos que se puedan ir
00:16:30
levantando y detectar si hay un proceso
00:16:32
en específico que está buscando
00:16:33
detectarlo genera una tarea que
00:16:35
desinstale alguno de los payloads por
00:16:38
ejemplo evidentemente hablábamos de que
00:16:40
esto es un dropper pero también ustedes
00:16:42
V que tienen funcionarias de doos con lo
00:16:45
cual acá nuestro amigo airat va a
00:16:47
empezar a tomar un poquito más de fuerza
00:16:49
gruber porque con esto podemos generar
00:16:51
una botnet cuando operation endgame toma
00:16:56
lugar además de los servidores y los
00:16:58
dominios
00:16:59
había cientos de miles de máquinas que
00:17:01
contaban con este tipo de infección esas
00:17:04
máquinas fueron recuperadas también al
00:17:06
momento de que se puede cortar la
00:17:07
conexión con los C2 y se pudieron
00:17:09
desinfectar evidentemente tiene un kiler
00:17:11
con lo cual todo lo que escribamos en el
00:17:13
ordenador lo vamos a poder detectar y
00:17:15
puede exportar la libreta de contactos
00:17:17
de de de nuestro Outlook por ejemplo y
00:17:21
pasarnos los contactos vale en las
00:17:23
últimas versiones en el 2022 han
00:17:25
agregado alguna cuestión de crypt Mining
00:17:27
también pero es mu un poco lo que se ha
00:17:29
hecho en la última versión Respecto a
00:17:30
los plugins ahora
00:17:33
bien en general cuando hablamos de los
00:17:36
malos pensamos en que es un tío que está
00:17:38
con un judi sentado atrás de un
00:17:40
ordenador comiendo chitos tomando bebida
00:17:43
eh cualquiera y y nada más Pero En
00:17:47
definitiva hay que entender que el
00:17:49
cibercrimen es una organización muy
00:17:51
compleja muy compleja y que perdamos
00:17:54
esto de vista es muy grave Realmente
00:17:57
está mucho más organizado que que muchas
00:17:59
organizaciones de las cuales yo conozco
00:18:01
y esto que yo les estoy contando de smok
00:18:03
loader y de icd y de pabot y de varios
00:18:06
Drop más son una parte muy
00:18:09
pequeñita quiero que tengan en cuenta
00:18:12
que si tomamos Algunos números e dentro
00:18:16
de lo que se consiguió en operation
00:18:18
endgame se consiguió por ejemplo una
00:18:20
billetera de bitcoin con más de 70
00:18:22
millones de dólar en pagos para utilizar
00:18:25
esta botnet una botnet que vale 1,600
00:18:28
realmente o sea imagínense la cantidad
00:18:30
de la proliferación de instalaciones y
00:18:31
de Software que existe
00:18:34
no en este caso en particular los
00:18:36
droppers son utilizados por unos tipos
00:18:38
de de criminales que se denominan dentro
00:18:41
del segmento iabs son initials Access
00:18:44
Brokers son gente que se dedican
00:18:46
exclusivamente a conseguir acceso a
00:18:48
sistemas y redes para a partir de ahí
00:18:50
vender ese acceso Ahora qué pasa hay que
00:18:53
estar muy calificado para poder
00:18:55
conseguir esos accesos si bien es cierto
00:18:57
que hoy en día con campañas de fishing
00:18:59
mar spam la falta de Educación que
00:19:01
existen dentro de algunas organizaciones
00:19:02
para con sus empleados y también con
00:19:05
muchos empleados descontentos que muchas
00:19:07
veces se van y terminan filtrando
00:19:08
información esto facilita un poco eh la
00:19:11
vida de los
00:19:13
iabs pero como tal si pensamos en la
00:19:17
fácil proliferación de este tipo de
00:19:19
herramientas también nos vamos a
00:19:20
encontrar con otros actores que quizás
00:19:22
no sean tan capaces de utilizarla la
00:19:24
herramienta esto tiene un modo operandi
00:19:27
el modo operandi de la plataforma es muy
00:19:29
simple yo consigo que se infecte un
00:19:31
ordenador lo considero un instal Y a
00:19:33
partir de ahí puedo o vender el acceso a
00:19:35
este tipo de usuario y puedo publicar
00:19:38
que tengo miles de instalaciones en una
00:19:40
empresa x a través de la geolocalización
00:19:42
puedo apuntar a organizaciones que a mí
00:19:45
me interesen y que por ejemplo estén en
00:19:46
América solamente Y a partir de ahí o
00:19:49
puedo vender el acceso puedo exilar
00:19:52
información puedo ofrecer también un
00:19:55
modelo de partnership donde yo a los que
00:19:57
a un RAM Gang le puedo decir que tengo
00:20:00
acceso a una empresa específica ellos me
00:20:03
dan el ramsonware y yo lo despliego con
00:20:06
lo cual entenderán que esto es un
00:20:09
negocio en Sí ahora bien Dentro de este
00:20:12
negocio para poder entender cómo
00:20:15
funciona este tipo de de dropper esto es
00:20:18
un poquito más técnico pero lo vamos a
00:20:19
hacer muy simple Hay muchísimo análisis
00:20:21
de de este tipo de marware quiero que se
00:20:24
queden con la idea de que esto no es
00:20:25
algo tan simple que son dos personas
00:20:28
yndo hay una industria detrás realmente
00:20:31
el dropper o este tipo de marware cuenta
00:20:33
con tres estadíos el primer estadío es
00:20:35
muy simple realmente Una vez que el
00:20:37
usuario lo descarga y lo instala el
00:20:39
dropper lo que hace es subirse a la
00:20:41
memoria del sistema operativo que
00:20:43
estamos ejecutando cómo lo hace esto
00:20:45
Busca por ejemplo un servicio que ya
00:20:46
esté cargado en memoria como puede ser
00:20:48
Internet Explorer una vez que está ahí
00:20:51
Generalmente puede pasar que descargue
00:20:53
una nueva versión y se duplique o que
00:20:55
duplique ese proceso pero no lo vamos a
00:20:57
complicar demasiado nos vamos a quedar
00:20:59
con la idea de que ya se subió a la
00:21:00
memoria del sistema operativo Una vez
00:21:03
que se sube la memoria del sistema
00:21:04
operativo los controles más
00:21:05
tradicionales tienen ciertos problemas
00:21:08
alguna vez alguno de ustedes escuchó que
00:21:10
es muy difícil escanear lo que esté
00:21:12
pasando en la memoria sistema operativo
00:21:14
de Windows porque si no terminamos
00:21:15
teniendo un Blue screen of Death es por
00:21:18
eso que las soluciones más tradicionales
00:21:20
buscan la información del fichero cuando
00:21:22
se est ejecutando y no una vez que está
00:21:23
ejecutado y que está siendo corrido en
00:21:26
memoria por qué Porque una vez que se
00:21:28
sube a memoria pasamos al segundo
00:21:30
estadío Y acá es donde está la
00:21:32
inteligencia de este tipo de
00:21:34
herramientas qué es lo que va a hacer no
00:21:36
va a ir a buscar una librería con
00:21:37
información que un cualquier un edr un
00:21:40
antivirus está monitorizando y dice vino
00:21:42
el fichero n a querer escribir un
00:21:46
fichero en el
00:21:47
disco lo que va a hacer es Buscar
00:21:50
librerías que ya tienen estas
00:21:52
instrucciones cargadas en el en el
00:21:54
sistema y que funcionan a nivel de
00:21:56
kernel en el sistema operativo
00:21:58
imagínense Como si fuese vuestro cuerpo
00:22:00
en el cerebro ya está ahí ninguna
00:22:03
herramienta de seguridad puede estar
00:22:04
monitorizando constantemente todas las
00:22:06
instrucciones que ocurran por ejemplo en
00:22:09
ntdll.dll porque si lo hicieran sería
00:22:12
imposible que el sistema operativo
00:22:14
funcionase como tal Entonces qué han
00:22:16
hecho Estos tipos lo que hicieron fue
00:22:19
dentro de su código haar ponerle un
00:22:22
apodo a las distintas funcionalidades
00:22:24
que tienen entonces cuando quieren crear
00:22:26
un fichero descargar renombrar borrar lo
00:22:29
que fuese estas funciones tienen un
00:22:32
sobrenombre un apodo en vez de decir No
00:22:36
sé Federico dicen Rubio alto ojos
00:22:40
celestes pelo largo Entonces de esa
00:22:42
manera ofuscada Hay una identificación
00:22:45
de un objeto buscan ese objeto en la
00:22:48
memoria que ya sido ejecutado y lo
00:22:50
machan entonces hablan simplemente con
00:22:52
un con sobrenombres y códigos con jes Y
00:22:56
eso hace que sea muy difícil poder desof
00:22:59
entender que está haciendo Y qué es lo
00:23:01
otro que hacen evidentemente cuando los
00:23:03
analistas intentan entender el código Lo
00:23:05
pasan por distintas herramientas que nos
00:23:07
ayudan a entender que está
00:23:09
pasando estas funcionalidades tienen
00:23:12
muchísimos saltos y el código va y sube
00:23:14
y baja con distintos puntos cifrados que
00:23:16
hace que sea muy difícil
00:23:18
desencriptar por eso toda la parte de
00:23:21
ias hoy en el día ayuda muchísimo a toda
00:23:23
la parte de River cine malware pero
00:23:25
todavía es muy interesante y muy
00:23:26
importante el trabajo artesanal de la
00:23:29
gente que que se dedica a esto y que
00:23:30
puede seguir y perseguir cosas que la
00:23:32
tecnología le cuesta mucho ahora bien
00:23:35
evidentemente técnicas para evitar poder
00:23:37
ser detectado y demás y el tercer
00:23:39
estadio es una vez que yo tengo armado
00:23:41
mi mapa de funcionalidades lo que está
00:23:43
ocurriendo en el sistema operativo y lo
00:23:45
que yo quiero hacer lo voy a usar sin
00:23:47
que ninguna herramienta de seguridad
00:23:49
pueda detectarlo evidentemente Hay
00:23:51
herramientas hoy en día que pueden
00:23:52
entender el comportamiento del usuario Y
00:23:55
si algún artefacto está queriendo
00:23:56
acceder todo el tiempo todo el rato a la
00:23:58
misma funcionalidad puede detectar que
00:24:00
hay algo que esté de funcionando en mar
00:24:02
bien incorrecto que haya una posible
00:24:04
infección no se va a fijar el timeone se
00:24:07
va a fijar A dónde está se va a fijar el
00:24:09
tipo de lenguaje del teclado bueno va a
00:24:12
fijarse los los los privilegios que
00:24:14
tenga y la parte de m check es muy
00:24:17
interesante dependiendo del tipo de de
00:24:20
criminal que nos toque vamos a tener
00:24:22
criminales que son muy sofisticados y
00:24:24
que van a estar atentos para ver si esa
00:24:26
máquina ya está infectada si ya está
00:24:27
infectada
00:24:29
no vamos a volver a infectarlo seguimos
00:24:30
a otra no queremos que esa máquina
00:24:32
empiece a funcionar rar y que levante
00:24:33
sospechas ahora bien para los ner que le
00:24:37
guste la parte de mitre también he
00:24:38
puesto algunos slides es muy fácil de
00:24:40
entender la parte de acceso inicial
00:24:42
ejecución persistencia escalación de
00:24:44
privilegios evasión Discovery comand
00:24:47
control
00:24:48
finalmente Pero como estamos contando un
00:24:52
poco la la vida de esto también entender
00:24:54
que ha ido evolucionando en principio ha
00:24:56
sido una herramienta muy simple
00:24:57
simplemente
00:24:58
era la cuestión de que se conectase el
00:25:00
ordenador contra un C2 y poco más pero
00:25:03
evidentemente en 2014 que es cuando toca
00:25:06
más relevancia se agrega toda la parte
00:25:08
de los plugins y se empieza a hablar de
00:25:10
modularización ya lo dividen en
00:25:12
distintos estadíos lo cual empieza a ser
00:25:14
muchísimo más complejo el poder entender
00:25:17
lo que está haciendo la herramienta
00:25:18
inclusive empiezan a encriptar las
00:25:20
direcciones a donde la máquina que tenía
00:25:23
la instalación se va a conectar para que
00:25:25
no pueda ser descubierto tan fácil la
00:25:27
infraestructura que está detrás O sea ya
00:25:28
se está pensando en una
00:25:30
expansión en 2017 2015 2017 se implanta
00:25:34
por ejemplo la parte de nns sobre https
00:25:36
se empiezan a implantar otros tipos de
00:25:37
protocolos y se empiezan a usar ides
00:25:39
para que si hay muchas instalaciones no
00:25:41
se pisen entre sí Y también poder
00:25:43
entender dentro del dashboard de
00:25:46
administración en plan que me muestre si
00:25:48
está en línea si no está en línea Qué es
00:25:49
lo que está haciendo etcétera
00:25:51
etcétera En 2018 Es el cambio más grande
00:25:54
realmente Ahí es donde se han empezado a
00:25:56
agregar más técnicas de ofuscación y
00:25:58
hace que sea muy complejo analizar la
00:26:01
herramienta con técnicas tradicionales
00:26:03
no no se puede poner directamente en un
00:26:05
en un ID y avanzar con ello hay que
00:26:07
analizarlo realmente en un ambiente
00:26:08
aislado ahora por el otro lado tenemos
00:26:11
gente que no está tan capacitada para
00:26:12
utilizarlo entonces ellos también nos
00:26:15
pueden generar dinero Qué vamos a hacer
00:26:16
vamos a generar un mccp un panel de
00:26:20
partners afiliados vamos a decirle
00:26:22
directamente que tenemos n cantidad de
00:26:25
máquinas infectadas y les vamos a Ender
00:26:28
la posibilidad de desplegar lo que sea
00:26:30
que quieren estos estas personas son
00:26:33
menos
00:26:35
e les importa menos que ser detectados o
00:26:38
no En definitiva lanzan una campaña
00:26:40
donde sea infectan lo que pueden y
00:26:42
venden esos accesos 400 500 máquinas y
00:26:44
demás y aquí es donde nuestro amigo
00:26:46
gruer empieza a tomar relevancia Este es
00:26:49
un posteo del
00:26:50
2021 en donde realmente tiene un un Bot
00:26:54
en Telegram donde agiliza muchísimo
00:26:55
poder comprar estos accesos y él lo
00:26:57
vende
00:26:58
como loads como cargas no vende los
00:27:01
accesos como venden los iabs Simplemente
00:27:04
te dice tengo 500 máquinas qué queres
00:27:06
desplegar lockbit qué rames desplegar lo
00:27:09
que vos quieras A partir de aquí es
00:27:12
donde empieza a cambiar un poco la
00:27:14
modalidad porque esto se masiva Entonces
00:27:16
se termina convirtiendo realmente en una
00:27:18
especie de botnet muy muy grande
00:27:21
operation endgame evidentemente rompe
00:27:24
con esta infraestructura crítica no la
00:27:27
parte en la nube Fire in the sky la
00:27:29
referencia a deeple un poco pero En
00:27:32
definitiva cuando yo quise interactuar
00:27:34
con este Bot Me encontré con este
00:27:36
mensaje la policía de Países Bajos
00:27:39
realmente consiguió acceso al mismo y
00:27:41
empieza un poco con este juego me
00:27:42
reenvía al sitio de operation endgame me
00:27:44
dice que el Bot no está accesible que si
00:27:46
quería ser cliente lo lamentaban
00:27:48
muchísimo y me invitaban a ver el primer
00:27:50
capítulo de la
00:27:52
operación este sops realmente empieza a
00:27:55
tener movimiento dentro de lo que es la
00:27:58
web más oscura empezamos a ver algunos
00:28:00
actores que se lo toman con un poco de
00:28:02
diciendo esto se pasan inventando
00:28:05
dibujitos poniendo nombres pero no me
00:28:07
están realmente no están haciendo nada
00:28:09
pero si empieza a generar un poco de
00:28:10
malestar en otros en particular en un
00:28:12
grupo de WhatsApp perdón de Telegram se
00:28:14
empieza a ver Mr Fox 84 que es uno de
00:28:17
los primeros actores que mencionamos al
00:28:19
principio diciendo que era imposible de
00:28:22
doxear Ahora son imposibles de doxear no
00:28:26
todos tenemos un digital esta
00:28:28
información que están viendo en en la
00:28:30
pantalla pertenece a un foro ruso de vk
00:28:33
una red social de 2014 de nuestro amigo
00:28:35
gruber nuestro amigo gruber tiene varias
00:28:38
personalidades por decir de aluna manera
00:28:40
a mí siempre me gusta decir que bueno en
00:28:43
la vida real todos tenemos una identidad
00:28:45
con uno es padre hijo amigo y nos
00:28:48
conocen cada uno de una manera diferente
00:28:49
Pero el mundo digital es un poco
00:28:51
distinto no algunos Tenemos una cuenta
00:28:53
para comentar en YouTube otros para
00:28:55
mirar cosas en tiktok lo que fuese y En
00:28:59
definitiva tenemos una especie de
00:29:00
divergencia de personalidad en las redes
00:29:03
sociales y esto no es distinto los malos
00:29:05
tienen una vida normal como todos En
00:29:08
definitiva gruber también se llama de
00:29:10
varias maneras se llama radomir radamir
00:29:13
radamir asop y tiene distintos perfiles
00:29:16
en el perfil que está a la derecha que
00:29:18
dice galap perol se ve muy pequeñito
00:29:21
pero es un posteo de él buscando
00:29:24
desarrolladores en un sitio de trabajo
00:29:26
como si fuese un linkedin Ruso
00:29:28
Realmente está buscando desarrolladores
00:29:30
para su botnet no O sea tenemos
00:29:33
distintos profesionales que se encargan
00:29:35
de desarrollar distintas partes de la
00:29:37
misma y nunca se hablan entre sí esto
00:29:39
sería como cualquier otra empresa de
00:29:40
seguridad que tiene quien desarrolla el
00:29:42
Proxy quien desarrolla el farw y demás y
00:29:45
qué es lo que es interesante que uno de
00:29:47
sus nombres sí aparecía dentro de la
00:29:49
primera temporada El primer episodio de
00:29:51
la primera temporada se veía radamir
00:29:54
entonces En definitiva esta ilusión de
00:29:57
que
00:29:58
no saben Quiénes son y somos muy
00:30:00
difíciles de encontrar no es tal así
00:30:03
evidentemente
00:30:04
la operación smer des mi punto de vista
00:30:07
es muy interesante y creo va a haber aún
00:30:08
más más por delante y y no solamente cer
00:30:12
sino muchos otros fabricantes han
00:30:14
aportado muchísimo en cuanto a todos los
00:30:15
años que llevan analizando este tipo de
00:30:18
amenazas y han prohibido un montón de
00:30:20
información comentarios por ejemplo que
00:30:22
existían dentro del código antario que
00:30:24
es donde es original nuestro amigo
00:30:26
gruber se luego nacido el 21 de mayo de
00:30:29
1982 de tartaria que es una parte de la
00:30:32
República de Rusia y demás y unos días
00:30:34
antes de esta presentación encal
00:30:37
lanzamos una herramienta que permite
00:30:39
detectar este tipo de infección y
00:30:40
limpiar las máquinas así que lo quería
00:30:43
compartir también la temporada un acabó
00:30:45
la gente operation game promete que se
00:30:47
viene una temporada dos ya hay algunos
00:30:49
movimientos interesantes dando vuelta en
00:30:51
las redes con distintos ataques Así que
00:30:54
para finalizar simplemente decir hay que
00:30:57
estar nuos próximos pasos como dicen
00:31:00
amigos de operation y tener en cuenta
00:31:02
que aunque nosotros pensemos que somos
00:31:04
indetectables siempre puede ser que nos
00:31:06
estén mirando Muchas
00:31:11
gracias muchas gracias muy interesante y
00:31:14
tenemos alguna pregunta para formularte
00:31:16
antes de que te vayas nos preguntan por
00:31:18
ejemplo Cuál sería la mejor manera de
00:31:19
proteger nuestra organización del robo
00:31:21
de credenciales de equipos personales de
00:31:24
nuestros usuarios por tipo
00:31:28
maneras la primera por lo menos que es
00:31:29
por donde deberíamos empezar es por la
00:31:31
educación los recursos que tenemos
00:31:33
dentro la organización los empleados tú
00:31:35
yo cualquiera deberíamos de saber y
00:31:36
entender cuando estamos siendo Víctimas
00:31:39
de cualquier ataque Hay muchísimas
00:31:40
organizaciones que hoy cuando hay
00:31:42
campañas específicas alertan hay mucho
00:31:45
de esto hoy por hoy dentro las
00:31:46
organizaciones de tratar de
00:31:48
prevenirlo una última cuestión inquietud
00:31:51
personal decías que detrás de estas
00:31:52
herramientas no no podemos pensar que
00:31:54
hay una dos personas que es un equipo
00:31:55
desorganizado sino que es una seria nos
00:31:58
has puesto algún ejemplo Pero qué puede
00:32:00
haber detrás de una herramienta así en
00:32:01
cuanto a organización en cuanto a gente
00:32:03
bueno por ejemplo gruger que es este
00:32:05
personaje que elegí si uno mira para
00:32:07
atrás sus antecedentes es un
00:32:09
entrepreneur frustrado en 2011 quiso
00:32:12
tener sus bpcs ofreciendo una especie de
00:32:14
Amazon en Rusia que nunca funcionó esa
00:32:16
misma infraestructura en 2016 la empezó
00:32:18
a implantar para una herramienta de
00:32:21
criptomoneda para Perdón para una una
00:32:23
bitera criptomoneda que tampoco funcionó
00:32:25
y finalmente todo eso lo terminó
00:32:26
utilizando para una infraestructura de
00:32:29
de cibercrimen Y cuánta gente puede
00:32:31
estar coordinada en ese tipoo de muchim
00:32:33
muchísima Bueno lo veíamos antes o sea
00:32:36
tener números es Es difícil saber
00:32:38
cuántos pero sí te puedo dar una cifra
00:32:39
se estima que en pérdidas por año a
00:32:42
partir del 2031 en r estamos hablando de
00:32:45
265 billones de dólares es muchísimo
00:32:48
dinero si ponemos a pensar que si desde
00:32:50
hoy al 2031 pusiéramos 4 billones de
00:32:53
dólares anualmente para el 2031
00:32:56
podríamos terminar con el hambre en el
00:32:57
mundo ponerlo en perspectiva Cuánto
00:32:59
dinero mueve Y cuánta gente está detrás
00:33:00
de esta industria Muchísimas gracias
00:33:02
Federico muy interesante gracias
00:33:05
[Aplausos]
00:33:16
[Música]
