Smoke(loader) in the water. Fire in the Cloud - Operación Endgame. Federico Teti (Zscaler)

00:33:18
https://www.youtube.com/watch?v=-kDkiahYCgU

摘要

TLDRNeste video, Federico Teti analiza o cibercrime, centrándose nunha operación denominada "Operation Endgame". Este proxecto liderado por forzas de seguridade en colaboración co sector privado, tiña como obxectivo combater o uso dos "droppers" no contexto do cibercrime. Un dropper é un tipo de software utilizado como vector inicial para introducir malware máis perigoso nun sistema informático. A operación destacouse por involucrar a múltiples países e conseguir a desactivación dunha infraestrutura complexa de servidores e dominios utilizados por ciberdelincuentes. Ademais, atraparon a varios ciberdelincuentes, aínda que moitos residen en países que dificultan as extradicións. Federico cualifica esta colaboración como crucial para futuras intervencións contra o cibercrime, revelando, ademais, algunhas estratexias psicolóxicas empregadas para desestabilizar aos cibercriminales. O video tamén aborda a dificultade de identificar droppers debido á súa tecnoloxía avanzadas e revisa o caso específico de Smoke Loader, un dropper altamente distribuído con múltiples capacidades maliciosas. A discusión inclúe tamén unha reflexión sobre a importancia da educación en seguridade informática nos lugares de traballo, resaltando que a organización e a sofisticación do cibercrime global medra exponencialmente, manexando sumas astronómicas de diñeiro anual, comparando con investimentos necesarios para outras causas sociais globais.

心得

  • 🎥 A presentación analizou o impacto do cibercrime nas infraestruturas globais.
  • 🌍 Operation Endgame involucrou a múltiples países e forzas de seguridade.
  • 🔍 Smoke Loader é un dropper complexo utilizado en ciberataques.
  • 🔐 A seguridade da información é clave para previr ataques.
  • 👥 A colaboración entre o sector público e privado é esencial.
  • 🛡️ Educación en ciberseguridade aumenta a protección organizacional.
  • 🕵️‍♂️ Técnicas psicolóxicas usadas para confundir ciberdelincuentes.
  • 💻 A sofisticación dos dropper dificulta a súa detección.
  • 🔗 A operación capturou e desmantelou redes de ciberdelincuentes.
  • 💰 A economía do cibercrime manexa cantidades de diñeiro masivas.

时间轴

  • 00:00:00 - 00:05:00

    O presentador comeza falando sobre a dificultade de atopar información en HD de Deep Purple para unha presentación cuxo título é 'Smoke on the water Fire in the Cloud'. Presenta o conferenciante Federico Teti, quen comenta sobre a súa paixón pola seguridade da información e menciona a operación endgame, levado a cabo por forzas de seguridade e privados contra cibercriminales.

  • 00:05:00 - 00:10:00

    Destácase a importancia de capturar servidores e dominios controlados por malware para evitar que as conexións volvan funcionar noutros servizos. Federico Teti analiza a sofisticación de Operation Endgame, que logrou detener a cibercriminales e fala sobre a importancia de controlar dominios cifrados para evitar que os sistemas infectados se conecten a servidores maliciosos.

  • 00:10:00 - 00:15:00

    Explícase a técnica SOPs (operación psicolóxica) utilizada para crear desconfianza entre os cibercriminales, afectando a líderes como o de Logbit. Menciónase o papel dos dropper malware como inicio de brechas de seguridade e dispois brindan acceso a outros tipos de ataques. Fálase sobre a operación con dropper Smoke Loader e como foi usado para exfilar información.

  • 00:15:00 - 00:20:00

    O droper Smoke Loader descríbese como unha ferramenta versátil que permite a criminales ter acceso a datos críticos. Exemplifícanse técnicas usadas por criminales para evadir detección, destacando a evolución de Smoke Loader en resposta ás tecnoloxías de seguridade melloradas. Federico analiza aspectos técnicos do malware e destaca o desafío de detectar droppers en sistemas comprometidos.

  • 00:20:00 - 00:25:00

    Federico explica o modelo de negocio detrás de dropper malware, enumerate as dificultades para detectar operacións de dropper debido á súa sofisticación. Describe o proceso de infección e menciona a complexidade organizativa do cibercrimen moderno. Resáltaa importancia da colaboración en operacións globais para capturar cibercriminales e intervir en infraestruturas críticas.

  • 00:25:00 - 00:33:18

    O presentador finaliza discutindo as técnicas avanzadas usadas por cibercriminales para esconder a súa identidade e manter operacións en segredo. Federico conclúe a charla destacando a importancia da educación en seguridade para reducir ameazas e a colaboración entre organizacións para mellorar a resiliencia contra ataques cibernéticos, mencionando posibles solucións e futuros desenvolvementos na loita contra o cibercrimen.

显示更多

思维导图

视频问答

  • ¿Cuál es el título de la presentación?

    Smoke on the water Fire in the Cloud.

  • ¿Quién es el presentador principal?

    Federico Teti.

  • ¿Qué operación destaca la presentación?

    Operation Endgame.

  • ¿Qué es un dropper en el contexto de ciberseguridad?

    Es un artefacto utilizado para iniciar una cadena de ataque, no siempre malicioso en sí mismo.

  • ¿Qué diferenció a "Operation Endgame" de otras operaciones?

    Involucró tanto fuerzas de seguridad públicas como actores privados y apuntó a los droppers.

  • ¿Cuáles son los países involucrados en Operation Endgame?

    Países Bajos, España, Alemania, Armenia, Ucrania y Estados Unidos.

  • ¿Qué técnicas se usaron en Operation Endgame para afrontar el cibercrimen?

    Se usaron operaciones psicológicas para generar desconfianza entre los cibercriminales.

  • ¿Cuántas personas fueron arrestadas en Operation Endgame?

    Cuatro personas fueron arrestadas.

  • ¿Qué es Smoke Loader?

    Un tipo de dropper utilizado en ataques cibernéticos.

  • ¿Qué retos existen al intentar detectar a los droppers?

    Son difíciles de detectar debido a sus técnicas de ofuscación y su naturaleza no maliciosa inicial.

查看更多视频摘要

即时访问由人工智能支持的免费 YouTube 视频摘要!
字幕
es
自动滚动:
  • 00:00:08
    [Música]
  • 00:00:10
    Hola hackers Bueno Veníamos a hablar un
  • 00:00:12
    poco del daño que que genera el
  • 00:00:14
    cibercrimen y terminamos rompiendo un
  • 00:00:16
    poco toda la el estante lo primero eh
  • 00:00:21
    quiero hacer una una consulta que me
  • 00:00:23
    levantéis la mano quién identificáis de
  • 00:00:26
    vosotros el título de la presentación
  • 00:00:28
    Smoke on the water Fire in the Cloud
  • 00:00:31
    nadie si hay uno bien yo tengo el
  • 00:00:35
    problema de identificarme con una
  • 00:00:36
    persona joven y al estar creando la
  • 00:00:39
    presentación me di cuenta efectivamente
  • 00:00:41
    que que mi percepción estaba un poco
  • 00:00:43
    equivocada No creo que no he encontrado
  • 00:00:45
    una sola foto en HD de de Deep Purple
  • 00:00:48
    para para poder hacer un poco la
  • 00:00:50
    referencia así que bueno vamos vamos a
  • 00:00:52
    ello para que nos podamos conocer me
  • 00:00:54
    quiero presentar yo soy Federico teti
  • 00:00:56
    actualmente soy zto en zer me pueden a
  • 00:01:00
    través de My public inbo o si no también
  • 00:01:02
    voy a estar en el stand Deer un ratín mi
  • 00:01:05
    pasión es toda la parte de información
  • 00:01:08
    seguridad de la información y mi tiempo
  • 00:01:10
    libre o esa personalidad alterna que que
  • 00:01:13
    tenemos fuera de la vida profesional
  • 00:01:14
    tiene que ver con con el
  • 00:01:16
    pentesting hace mucho tiempo he tenido
  • 00:01:18
    varias certificaciones cuando tenía
  • 00:01:20
    tiempo para estudiar yic más a ello y
  • 00:01:22
    por alguna razón que es conozco me gusta
  • 00:01:26
    hacerme pasar por estas situaciones de
  • 00:01:27
    estrés y termino hablando en varias
  • 00:01:29
    conferen Así que un poco cuando Estaba
  • 00:01:32
    preparando esta presentación quería
  • 00:01:34
    armar algo que fuera un poco para para
  • 00:01:36
    toda la audiencia tanto para los
  • 00:01:38
    técnicos que asisten a Estos tipos de
  • 00:01:39
    eventos como quizás a los comerciales o
  • 00:01:41
    a las personas que trabajan en esta
  • 00:01:43
    industria y es difícil balancearlo todo
  • 00:01:45
    alguno de ustedes levantar la mano Quién
  • 00:01:47
    ha escuchado sobre operation end
  • 00:01:49
    game y no por la charla y no por la
  • 00:01:52
    película de
  • 00:01:53
    Marvel bien bien me gusta a mí me
  • 00:01:57
    sorprendió y la verdad que me interesó
  • 00:01:59
    hablar sobre esto porque si bien en su
  • 00:02:01
    momento hace un par de meses cuando esta
  • 00:02:04
    operación tomó lugar allí por finales de
  • 00:02:07
    mayo La verdad es que no vi mucha mucho
  • 00:02:11
    movimiento en los medios o en la
  • 00:02:12
    comunicación en general y ha sido una
  • 00:02:16
    operación llevada a cabo por las fuerzas
  • 00:02:18
    de seguridad muy importante y Qué tiene
  • 00:02:20
    de diferente operation endgame desde el
  • 00:02:22
    punto de vista de operación en sí lo que
  • 00:02:25
    tiene de diferente en principio es que
  • 00:02:27
    es una operación que llevaron a cabo las
  • 00:02:28
    fuerzas públicas y también distintos
  • 00:02:31
    actores del ámbito privado vale como por
  • 00:02:33
    ejemplo celas caler y varios más y el
  • 00:02:36
    segundo punto importante de mi
  • 00:02:38
    perspectiva es que apunta en específico
  • 00:02:40
    a una parte del cibercrimen que en
  • 00:02:43
    general se suele dejar un poco de lado y
  • 00:02:45
    esto tiene que ver con el mundo de los
  • 00:02:47
    droppers no sé si reconocéis algunos de
  • 00:02:49
    los droppers mencionados allí pero
  • 00:02:51
    muchos de ellos son el el el pie inicial
  • 00:02:54
    dentro de muchas de las grandes brechas
  • 00:02:55
    que conocemos y de las grandes eh los
  • 00:02:58
    grandes daños que se han llevado a cabo
  • 00:03:00
    con distintas operaciones de
  • 00:03:01
    rams yo voy a estar haciendo foco en
  • 00:03:04
    mader en particular para poder hablar un
  • 00:03:06
    poquito de lo técnico y qu es lo
  • 00:03:08
    diferente que tiene el mismo pero la
  • 00:03:10
    operación en sí quiero que tengan en
  • 00:03:12
    cuenta que es es muy difícil llevar a
  • 00:03:14
    cabo una operación de este estilo Porque
  • 00:03:16
    la infraestructura crítica que utilizan
  • 00:03:18
    los malos no es infraestructura que sea
  • 00:03:20
    fácilmente de acceder no es que es un
  • 00:03:23
    servidor al cual uno simplemente con un
  • 00:03:25
    IP puede llegar las conexiones que
  • 00:03:27
    tienen estas herramientas de malware
  • 00:03:29
    para con la infraestructura que está por
  • 00:03:31
    detrás es está muy ofuscada es muy
  • 00:03:34
    difícil llegar a ella y realmente cuando
  • 00:03:37
    eh un organismo lleva a cabo una
  • 00:03:39
    operación de este estilo lo tiene que
  • 00:03:40
    hacer de manera sincronizada a nivel
  • 00:03:43
    mundial aquí estamos hablando de que se
  • 00:03:44
    ha involucrado países de Europa como
  • 00:03:46
    Países Bajos España Alemania Armenia
  • 00:03:50
    Ucrania y Tenemos también Estados Unidos
  • 00:03:52
    por el otro lado y esta operación llevó
  • 00:03:55
    a cabo distintos
  • 00:03:58
    eh distintas
  • 00:04:00
    se llevó a cabo distintas
  • 00:04:01
    investigaciones y atracos por decir de
  • 00:04:03
    alguna manera en 16 ubicaciones
  • 00:04:04
    diferentes que como resultado se obtuvo
  • 00:04:07
    que se pudieron conseguir el control
  • 00:04:09
    sobre más de 100 servidores que en este
  • 00:04:11
    tipo de infraestructura es muy
  • 00:04:13
    importante hacerlo de manera conjunta
  • 00:04:16
    Porque estos tienen mecanismos de
  • 00:04:17
    fallback yo tengo una máquina infectada
  • 00:04:19
    que se conecta a un servidor n si ese
  • 00:04:21
    servidor por lo que fuera deja de
  • 00:04:22
    funcionar termino recayendo en otro
  • 00:04:24
    servidor y en otro servidor y así
  • 00:04:26
    entonces poder conseguir todos esos
  • 00:04:28
    servidores al mismo tiempo Es realmente
  • 00:04:30
    muy importante no solamente para la
  • 00:04:32
    operación en ese momento sino para la
  • 00:04:34
    operación a futuro eso genera un gran
  • 00:04:35
    daño el segundo punto es poder haber
  • 00:04:38
    conseguido más de 2000 dominios tomar el
  • 00:04:40
    control que son los dominios que están
  • 00:04:42
    cifrados dentro del código mismo del
  • 00:04:43
    malware al cual el ordenador infectado
  • 00:04:46
    se termina conectando y el tercer punto
  • 00:04:48
    es que se han podido conseguir eh meter
  • 00:04:51
    en prisión una cantidad de personas
  • 00:04:52
    cuatro personas en particular y e
  • 00:04:55
    finalmente también lo otro interesante
  • 00:04:57
    es que se han conseguido conseguir
  • 00:04:59
    órdenes de captura para otro tipos de
  • 00:05:01
    actores vale evidentemente este tipo de
  • 00:05:04
    acción en conjunto es muy interesante
  • 00:05:06
    que se puede llevar a cabo pero también
  • 00:05:08
    necesitas el compromiso de las
  • 00:05:09
    autoridades locales para poder llevar a
  • 00:05:11
    cabo estas detenciones estas ocho
  • 00:05:13
    personas se encuentran eso se creen en
  • 00:05:15
    Rusia con lo cual hace que sea muy
  • 00:05:17
    difícil poder conseguir una extradita yo
  • 00:05:20
    voy a enfocarme en nuestro amigo airat
  • 00:05:21
    gruber en particular y vamos a hablar de
  • 00:05:24
    él como un ejemplo de de superación y de
  • 00:05:28
    crecimiento en este mundo del
  • 00:05:32
    cibercrimen Cómo empieza la caída de
  • 00:05:35
    smok loader cómo empieza la operación
  • 00:05:36
    end la operación de endgame A diferencia
  • 00:05:39
    de otras operaciones que se llevaron en
  • 00:05:41
    el pasado apunta a hac un sops todos
  • 00:05:45
    saben lo que es un sops han escuchado
  • 00:05:47
    alguna vez la palabra no bueno es una
  • 00:05:50
    operación psicológica En definitiva Esta
  • 00:05:53
    no es la primera operación que lleva a
  • 00:05:54
    cabo este tipo de de de técnicas ha
  • 00:05:58
    habido otras en el pasado especialmente
  • 00:06:00
    unos meses antes existió otra que se
  • 00:06:02
    llamó operación cronos que estuvo
  • 00:06:04
    afectando parte de la infraestructura de
  • 00:06:06
    logbit seguramente lo hayan escuchado a
  • 00:06:08
    logbit y vamos a comentar un poquitito
  • 00:06:10
    Cómo funciona la parte de los
  • 00:06:13
    asops Cómo empezaron en principio lo que
  • 00:06:16
    hicieron la gente de la europol es crear
  • 00:06:18
    un sitio web donde empezaron a publicar
  • 00:06:20
    videos muy cortos de 37 segundos
  • 00:06:23
    aproximadamente y con un formato muy de
  • 00:06:25
    animación y muy Tecno y muy moderno en
  • 00:06:28
    donde En definitiva en mostrando
  • 00:06:30
    distintos casos de uso y trataban de
  • 00:06:32
    apuntar a distintos tipos de actores por
  • 00:06:34
    ejemplo en el primer capítulo se apunta
  • 00:06:36
    a un actor en particular llamándolo
  • 00:06:38
    Green horse y lo que se mostraba en este
  • 00:06:42
    tipo de de video es la posibilidad de
  • 00:06:45
    que este actor estuviera llevando a cabo
  • 00:06:48
    sus actividades y que en el mismo video
  • 00:06:51
    se empezaron a mostrar Migajas de
  • 00:06:53
    información que las autoridades tienen
  • 00:06:55
    sobre esta persona y a qué apunta esto
  • 00:06:58
    en realidad
  • 00:07:00
    cualquier tipo de de guerra o de batalla
  • 00:07:02
    cibernética que querramos tener sabemos
  • 00:07:04
    que tiene paralelismo con la guerra del
  • 00:07:05
    día a día no O sea una guerra normal
  • 00:07:08
    donde el objetivo es dañar el físico de
  • 00:07:10
    tu de tu adversario de tu enemigo de tu
  • 00:07:12
    contrincante en un sops evidentemente o
  • 00:07:15
    en una batalla cibernética el objetivo
  • 00:07:17
    no es el cuerpo de una persona sino la
  • 00:07:19
    mente de esa
  • 00:07:20
    persona y En definitiva lo que buscan
  • 00:07:23
    hacer las autoridades a través de estas
  • 00:07:25
    técnicas es generar una desconfianza
  • 00:07:27
    dentro de los mismos actores y poder
  • 00:07:29
    hacer que se equivoquen Entonces cómo
  • 00:07:33
    funciona esto tenemos dos objetivos
  • 00:07:35
    afectar la marca la reputación de la
  • 00:07:37
    marca y afectar las relaciones
  • 00:07:38
    interpersonales dentro de los malos cómo
  • 00:07:41
    lo Tratamos de hacer o cómo lo trataron
  • 00:07:43
    de hacer Bueno en principio de dos
  • 00:07:45
    maneras la primera es la credibilidad
  • 00:07:47
    del líder en el caso de logbit que fue
  • 00:07:49
    la primera vez que se empezó a hacer
  • 00:07:50
    empezaron a filtrar el nombre logbit sub
  • 00:07:52
    y se empezaron a ex filtrar
  • 00:07:54
    informaciones por ejemplo Qué tipo de
  • 00:07:55
    automóvil maneja O informaciones de
  • 00:07:58
    quées son los sitios que visitó en el
  • 00:08:00
    último año que estuvo de vacaciones por
  • 00:08:01
    ejemplo también se buscaba decir que
  • 00:08:03
    estaba colaborando con las fuerzas de
  • 00:08:05
    seguridad con lo cual sus afiliados
  • 00:08:08
    empezaban a desconfiar si realmente esta
  • 00:08:11
    persona que estaba con ellos estaba
  • 00:08:12
    trabajando para las fuerzas o no y el
  • 00:08:15
    segundo punto era
  • 00:08:18
    e la reputación de la marca y esto tiene
  • 00:08:20
    que ver con que en la exfiltración que
  • 00:08:22
    se logra hacer A través de las de los
  • 00:08:24
    organismos de logbit cuando se consigue
  • 00:08:27
    toda la información que tenían descubren
  • 00:08:30
    que a pesar de que las víctimas estaban
  • 00:08:31
    pagando el ramsonware muchísimas veces
  • 00:08:34
    esa información no era borrada de los
  • 00:08:36
    sistemas sino que continuaba el ramson
  • 00:08:39
    donde le decían que si por ejemplo no
  • 00:08:41
    volvían a pagar otro suma de dinero la
  • 00:08:44
    información que tenían la iban a ex
  • 00:08:45
    filtrar a la web o iban a contactar a
  • 00:08:48
    las autoridades para contarle qué tan
  • 00:08:50
    malas prácticas de seguridad internas
  • 00:08:51
    tenían o mismo contactar a sus clientes
  • 00:08:54
    con lo cual esto generaba en las
  • 00:08:56
    víctimas un un doble un doble daño
  • 00:08:59
    porque en este momento se enfrentaban
  • 00:09:01
    con que habían pagado un ransom pero que
  • 00:09:02
    a su vez corrían el riesgo de que las
  • 00:09:05
    autoridades lo multar o de perder los
  • 00:09:08
    clientes a través de la reputación
  • 00:09:09
    Entonces qué pasó a través de esta
  • 00:09:12
    filtración que llevan a cabo las
  • 00:09:14
    autoridades lbit empieza a perder
  • 00:09:16
    credibilidad las personas que estan
  • 00:09:18
    siendo afectadas por este tipo de ramson
  • 00:09:21
    dicen para qué voy a pagar si En
  • 00:09:23
    definitiva me van a seguir presionando
  • 00:09:24
    de otra manera Me termina me conviene
  • 00:09:26
    pagar la multa que pagar el RAM defo va
  • 00:09:29
    a tener este problema Entonces qué es lo
  • 00:09:33
    que se buscaba De hecho si si se fijan y
  • 00:09:36
    buscan esto hay muchísima información no
  • 00:09:38
    nos da el tiempo hoy para conversarlo
  • 00:09:39
    pero si lo buscan van a encontrar un
  • 00:09:41
    montón de posteos en la web donde los
  • 00:09:43
    actores maliciosos empiezan a querer
  • 00:09:46
    enfrentar a las autoridades de manera
  • 00:09:47
    digital y esto En definitiva los lleva a
  • 00:09:50
    cometer distintos tipos de
  • 00:09:52
    errores Cuál es el objetivo de El sops
  • 00:09:56
    en operation endgame el objetivo es que
  • 00:09:59
    los adversarios entiendan que nadie es
  • 00:10:01
    imposible de rastrear que a pesar que
  • 00:10:03
    nosotros creamos muchas veces que
  • 00:10:04
    nuestros huellas son invisibles por
  • 00:10:05
    utilizar una VPN o por usar algún Script
  • 00:10:09
    o lo que fuese En definitiva todos
  • 00:10:12
    tenemos una huella digital vale Y esa
  • 00:10:14
    huella digital hace que En definitiva
  • 00:10:16
    nadie sea invisible tenemos que entender
  • 00:10:20
    que estos actores abusan de esas
  • 00:10:22
    circunstancias Entonces el primer
  • 00:10:25
    mensaje es que nadie es imposible de
  • 00:10:27
    rastrear y de hecho a través de la de
  • 00:10:30
    los videos que iban subiendo los
  • 00:10:31
    episodios se empiezan a ver algunas
  • 00:10:33
    Migajas que si bien parecen detalles
  • 00:10:35
    dentro de las animaciones son r datos
  • 00:10:38
    reales de los actores a los cuales
  • 00:10:40
    estaban persiguiendo investigando
  • 00:10:42
    podemos por ejemplo encontrar el apodo
  • 00:10:44
    de superstar 75 737 que es relacionado
  • 00:10:48
    al final lo vamos a hacer el match con
  • 00:10:50
    gruer es uno de sus tantos personajes
  • 00:10:52
    También tenemos Mr Fox 84 que tampoco
  • 00:10:55
    tenemos muy claro quién es pero aparece
  • 00:10:57
    allí y endgame con moniker un poco
  • 00:11:00
    extraño evidentemente se refiere a la
  • 00:11:02
    gente de de la fuerz de seguridad que
  • 00:11:05
    esté interactuando con los malos de
  • 00:11:08
    manera oculta tratando de conseguir
  • 00:11:10
    acceso a esta
  • 00:11:13
    botnet en el mismo video podemos ya ver
  • 00:11:16
    otra tipo de migaja que tenemos allí
  • 00:11:18
    donde por ejemplo tenemos anpat que
  • 00:11:20
    significa airat es la traducción en ruso
  • 00:11:23
    y
  • 00:11:25
    1982 para nosotros puede significar nada
  • 00:11:27
    pero para gruer que es uno de los
  • 00:11:30
    operadores de la botnet y que llevó a
  • 00:11:31
    cabo finalmente una de las botnet más
  • 00:11:33
    grandes que se encuentran Ho día the
  • 00:11:35
    droppers Ese es su nombre real y esa es
  • 00:11:38
    su fecha de
  • 00:11:39
    nacimiento para nosotros significa muy
  • 00:11:41
    poco pero para los malos que saben que
  • 00:11:43
    están detrás de esto empiezan a ver que
  • 00:11:45
    hay información de ellos que empieza a
  • 00:11:47
    estar
  • 00:11:48
    pública hasta ahí lo que pasó con
  • 00:11:50
    operation gman y alguna de las figuras o
  • 00:11:52
    personajes que tenemos allí dentro Qué
  • 00:11:54
    es Smoke loader algunos de ustedes
  • 00:11:56
    levantaron la mano diciendo que sí lo
  • 00:11:57
    conocían
  • 00:11:59
    Smoke loader es un dropper Generalmente
  • 00:12:02
    nos habla mucho de los droppers en
  • 00:12:04
    ciberseguridad por cualquier razón
  • 00:12:06
    seguramente tiene mejor marketing a
  • 00:12:07
    hablar de ramses y demás pero los
  • 00:12:10
    droppers son artefactos muy muy muy
  • 00:12:13
    importantes dentro de la cadena de
  • 00:12:14
    ataque dentro del cibercrimen Por qué
  • 00:12:17
    Porque es el primer estadío en general
  • 00:12:19
    Estos artefactos no son maliciosos en Sí
  • 00:12:22
    con lo cual hace que sean bastante
  • 00:12:23
    difíciles de detectar y de hecho tienen
  • 00:12:25
    muchísimas técnicas para no ser
  • 00:12:27
    detectados pero tiene una particularidad
  • 00:12:30
    smer además de ser un droper que entra y
  • 00:12:34
    hace ese inicio dentro de la cadena de
  • 00:12:36
    ataque y permitir que luego los malos
  • 00:12:38
    vengan con sus pay y rra inf y
  • 00:12:44
    dem se fue
  • 00:12:46
    transformando realmente termina
  • 00:12:48
    convirtiéndose en una herramienta de
  • 00:12:50
    multi con plugins Enton
  • 00:12:55
    también que tenemos que entender es
  • 00:12:57
    queos
  • 00:12:59
    en tecnología adoptan nuevas tecnologías
  • 00:13:01
    buscan nuevas maneras de llevar a cabo
  • 00:13:03
    sus
  • 00:13:04
    cometidos Entonces si bien comienza en
  • 00:13:07
    2011 evidentemente ya estamos en son 13
  • 00:13:11
    años si buscas en análisis de de
  • 00:13:14
    reversing de esto van a encontrar un
  • 00:13:15
    montón de información hay algunas cosas
  • 00:13:18
    que son muy interesantes si bien arranca
  • 00:13:19
    e como objetivo principal Windows eh las
  • 00:13:24
    primeras muestras se encuentran en el
  • 00:13:25
    2011 y tiene una presencia mucho más
  • 00:13:28
    fuerte en 2014 cuando tiene su primer
  • 00:13:30
    upgrade realmente lo que hay que
  • 00:13:33
    entender es que esto es un Bot muy
  • 00:13:35
    barato $1600 Y tenemos acceso a una
  • 00:13:38
    suite completa para poder comprometer
  • 00:13:40
    cualquier tipo de
  • 00:13:41
    organización y si bien inicialmente no
  • 00:13:44
    es un artefacto que que comprometa o que
  • 00:13:46
    infecte eh ordenadores Y tal Es cierto
  • 00:13:50
    que algunos malos empezaron a entender
  • 00:13:52
    que podían armarlo y en el momento en
  • 00:13:54
    que el dropper se carga en memoria pueda
  • 00:13:57
    usar esa carga en memoria
  • 00:13:59
    para desplegar otro tipo de ataques como
  • 00:14:02
    un rans evitándose un montón de saltas
  • 00:14:04
    dentro de la cadena más tradicional de
  • 00:14:07
    ataque dentro de de un evento de estos
  • 00:14:09
    de
  • 00:14:10
    ciberseguridad Qué cosas son importantes
  • 00:14:12
    entender es importante entender que esto
  • 00:14:15
    funciona con un modelo que se llama ppi
  • 00:14:17
    p per install los malos no hablan de
  • 00:14:20
    infectados hablan de instalaciones es un
  • 00:14:23
    modelo de negocio Entonces como tal
  • 00:14:27
    modelo de negocio tiene que tener su
  • 00:14:29
    comercialización Este posteo es un
  • 00:14:31
    posteo del
  • 00:14:32
    2018 donde si ustedes pueden observar se
  • 00:14:36
    ve bastante claro dentro lo lo que pude
  • 00:14:38
    conseguir es un detalle específico de
  • 00:14:40
    qué es lo que provee la herramienta de
  • 00:14:42
    hecho inclusive podemos ver que tiene
  • 00:14:44
    funcionalidades muy interesantes Como
  • 00:14:46
    por ejemplo geolocalización este tipo de
  • 00:14:48
    herramienta puede detectar si está el
  • 00:14:50
    teclado en modos idílico y detectar si
  • 00:14:53
    es un ordenador que puede estar en Rusia
  • 00:14:55
    y de tal manera no
  • 00:14:58
    infectarlo sorta un montón de
  • 00:15:00
    funcionalidades con lo cual hace que sea
  • 00:15:02
    muy complicado detectarlo y que sea muy
  • 00:15:05
    peligroso Pero qué es lo que más lo hace
  • 00:15:08
    complejo la set de plugins en 2014 se
  • 00:15:11
    empiezan a incluir plugins Dentro de
  • 00:15:13
    este tipo de herramienta plugins que por
  • 00:15:15
    ejemplo nos permiten hacer una captura
  • 00:15:17
    de http post para poder ver en texto
  • 00:15:20
    claro lo que puede hacer que los
  • 00:15:21
    usuarios estén mandando a la web que
  • 00:15:23
    puedan esnifar passwords que se estén
  • 00:15:25
    moviendo a través de la red por ejemplo
  • 00:15:27
    vía
  • 00:15:27
    ftp poder levantar sesiones de team
  • 00:15:30
    viwer en modo usuario para ver lo que el
  • 00:15:32
    usuario está haciendo sin tomar
  • 00:15:33
    ownership de la sesión poder usar dns
  • 00:15:37
    falsos para redirigir tráfico si el
  • 00:15:39
    usuario quiere acceder no sé google.com
  • 00:15:41
    redirigir a otro tipo de servicio que en
  • 00:15:44
    realidad des malicioso y que va a a
  • 00:15:48
    confundir el usuario y por qué digo que
  • 00:15:51
    esto es importante porque por ejemplo al
  • 00:15:53
    día de hoy dns sobre https es una manera
  • 00:15:56
    de inscripción de dns muchas tecnologías
  • 00:15:59
    inclusive bueno El fabricante de su
  • 00:16:01
    trabajo en particular tiene posibilidad
  • 00:16:03
    de poder detectar y poder desencriptar
  • 00:16:05
    ese tráfico y mirarlo pero la mayoría de
  • 00:16:07
    las tecnologías que tenemos hoy
  • 00:16:08
    disponible no pueden desencriptar
  • 00:16:10
    tráfico https dns sobre https y es un
  • 00:16:14
    problema porque en el 2014 este tipo de
  • 00:16:16
    tecnología Ya implantó esa
  • 00:16:19
    funcionalidad capacidad para Buscar
  • 00:16:21
    ficheros a través de un Rex muy simple
  • 00:16:24
    poder insertarse utilizando procmon para
  • 00:16:27
    generar tareas en en base a
  • 00:16:29
    procesamientos que se puedan ir
  • 00:16:30
    levantando y detectar si hay un proceso
  • 00:16:32
    en específico que está buscando
  • 00:16:33
    detectarlo genera una tarea que
  • 00:16:35
    desinstale alguno de los payloads por
  • 00:16:38
    ejemplo evidentemente hablábamos de que
  • 00:16:40
    esto es un dropper pero también ustedes
  • 00:16:42
    V que tienen funcionarias de doos con lo
  • 00:16:45
    cual acá nuestro amigo airat va a
  • 00:16:47
    empezar a tomar un poquito más de fuerza
  • 00:16:49
    gruber porque con esto podemos generar
  • 00:16:51
    una botnet cuando operation endgame toma
  • 00:16:56
    lugar además de los servidores y los
  • 00:16:58
    dominios
  • 00:16:59
    había cientos de miles de máquinas que
  • 00:17:01
    contaban con este tipo de infección esas
  • 00:17:04
    máquinas fueron recuperadas también al
  • 00:17:06
    momento de que se puede cortar la
  • 00:17:07
    conexión con los C2 y se pudieron
  • 00:17:09
    desinfectar evidentemente tiene un kiler
  • 00:17:11
    con lo cual todo lo que escribamos en el
  • 00:17:13
    ordenador lo vamos a poder detectar y
  • 00:17:15
    puede exportar la libreta de contactos
  • 00:17:17
    de de de nuestro Outlook por ejemplo y
  • 00:17:21
    pasarnos los contactos vale en las
  • 00:17:23
    últimas versiones en el 2022 han
  • 00:17:25
    agregado alguna cuestión de crypt Mining
  • 00:17:27
    también pero es mu un poco lo que se ha
  • 00:17:29
    hecho en la última versión Respecto a
  • 00:17:30
    los plugins ahora
  • 00:17:33
    bien en general cuando hablamos de los
  • 00:17:36
    malos pensamos en que es un tío que está
  • 00:17:38
    con un judi sentado atrás de un
  • 00:17:40
    ordenador comiendo chitos tomando bebida
  • 00:17:43
    eh cualquiera y y nada más Pero En
  • 00:17:47
    definitiva hay que entender que el
  • 00:17:49
    cibercrimen es una organización muy
  • 00:17:51
    compleja muy compleja y que perdamos
  • 00:17:54
    esto de vista es muy grave Realmente
  • 00:17:57
    está mucho más organizado que que muchas
  • 00:17:59
    organizaciones de las cuales yo conozco
  • 00:18:01
    y esto que yo les estoy contando de smok
  • 00:18:03
    loader y de icd y de pabot y de varios
  • 00:18:06
    Drop más son una parte muy
  • 00:18:09
    pequeñita quiero que tengan en cuenta
  • 00:18:12
    que si tomamos Algunos números e dentro
  • 00:18:16
    de lo que se consiguió en operation
  • 00:18:18
    endgame se consiguió por ejemplo una
  • 00:18:20
    billetera de bitcoin con más de 70
  • 00:18:22
    millones de dólar en pagos para utilizar
  • 00:18:25
    esta botnet una botnet que vale 1,600
  • 00:18:28
    realmente o sea imagínense la cantidad
  • 00:18:30
    de la proliferación de instalaciones y
  • 00:18:31
    de Software que existe
  • 00:18:34
    no en este caso en particular los
  • 00:18:36
    droppers son utilizados por unos tipos
  • 00:18:38
    de de criminales que se denominan dentro
  • 00:18:41
    del segmento iabs son initials Access
  • 00:18:44
    Brokers son gente que se dedican
  • 00:18:46
    exclusivamente a conseguir acceso a
  • 00:18:48
    sistemas y redes para a partir de ahí
  • 00:18:50
    vender ese acceso Ahora qué pasa hay que
  • 00:18:53
    estar muy calificado para poder
  • 00:18:55
    conseguir esos accesos si bien es cierto
  • 00:18:57
    que hoy en día con campañas de fishing
  • 00:18:59
    mar spam la falta de Educación que
  • 00:19:01
    existen dentro de algunas organizaciones
  • 00:19:02
    para con sus empleados y también con
  • 00:19:05
    muchos empleados descontentos que muchas
  • 00:19:07
    veces se van y terminan filtrando
  • 00:19:08
    información esto facilita un poco eh la
  • 00:19:11
    vida de los
  • 00:19:13
    iabs pero como tal si pensamos en la
  • 00:19:17
    fácil proliferación de este tipo de
  • 00:19:19
    herramientas también nos vamos a
  • 00:19:20
    encontrar con otros actores que quizás
  • 00:19:22
    no sean tan capaces de utilizarla la
  • 00:19:24
    herramienta esto tiene un modo operandi
  • 00:19:27
    el modo operandi de la plataforma es muy
  • 00:19:29
    simple yo consigo que se infecte un
  • 00:19:31
    ordenador lo considero un instal Y a
  • 00:19:33
    partir de ahí puedo o vender el acceso a
  • 00:19:35
    este tipo de usuario y puedo publicar
  • 00:19:38
    que tengo miles de instalaciones en una
  • 00:19:40
    empresa x a través de la geolocalización
  • 00:19:42
    puedo apuntar a organizaciones que a mí
  • 00:19:45
    me interesen y que por ejemplo estén en
  • 00:19:46
    América solamente Y a partir de ahí o
  • 00:19:49
    puedo vender el acceso puedo exilar
  • 00:19:52
    información puedo ofrecer también un
  • 00:19:55
    modelo de partnership donde yo a los que
  • 00:19:57
    a un RAM Gang le puedo decir que tengo
  • 00:20:00
    acceso a una empresa específica ellos me
  • 00:20:03
    dan el ramsonware y yo lo despliego con
  • 00:20:06
    lo cual entenderán que esto es un
  • 00:20:09
    negocio en Sí ahora bien Dentro de este
  • 00:20:12
    negocio para poder entender cómo
  • 00:20:15
    funciona este tipo de de dropper esto es
  • 00:20:18
    un poquito más técnico pero lo vamos a
  • 00:20:19
    hacer muy simple Hay muchísimo análisis
  • 00:20:21
    de de este tipo de marware quiero que se
  • 00:20:24
    queden con la idea de que esto no es
  • 00:20:25
    algo tan simple que son dos personas
  • 00:20:28
    yndo hay una industria detrás realmente
  • 00:20:31
    el dropper o este tipo de marware cuenta
  • 00:20:33
    con tres estadíos el primer estadío es
  • 00:20:35
    muy simple realmente Una vez que el
  • 00:20:37
    usuario lo descarga y lo instala el
  • 00:20:39
    dropper lo que hace es subirse a la
  • 00:20:41
    memoria del sistema operativo que
  • 00:20:43
    estamos ejecutando cómo lo hace esto
  • 00:20:45
    Busca por ejemplo un servicio que ya
  • 00:20:46
    esté cargado en memoria como puede ser
  • 00:20:48
    Internet Explorer una vez que está ahí
  • 00:20:51
    Generalmente puede pasar que descargue
  • 00:20:53
    una nueva versión y se duplique o que
  • 00:20:55
    duplique ese proceso pero no lo vamos a
  • 00:20:57
    complicar demasiado nos vamos a quedar
  • 00:20:59
    con la idea de que ya se subió a la
  • 00:21:00
    memoria del sistema operativo Una vez
  • 00:21:03
    que se sube la memoria del sistema
  • 00:21:04
    operativo los controles más
  • 00:21:05
    tradicionales tienen ciertos problemas
  • 00:21:08
    alguna vez alguno de ustedes escuchó que
  • 00:21:10
    es muy difícil escanear lo que esté
  • 00:21:12
    pasando en la memoria sistema operativo
  • 00:21:14
    de Windows porque si no terminamos
  • 00:21:15
    teniendo un Blue screen of Death es por
  • 00:21:18
    eso que las soluciones más tradicionales
  • 00:21:20
    buscan la información del fichero cuando
  • 00:21:22
    se est ejecutando y no una vez que está
  • 00:21:23
    ejecutado y que está siendo corrido en
  • 00:21:26
    memoria por qué Porque una vez que se
  • 00:21:28
    sube a memoria pasamos al segundo
  • 00:21:30
    estadío Y acá es donde está la
  • 00:21:32
    inteligencia de este tipo de
  • 00:21:34
    herramientas qué es lo que va a hacer no
  • 00:21:36
    va a ir a buscar una librería con
  • 00:21:37
    información que un cualquier un edr un
  • 00:21:40
    antivirus está monitorizando y dice vino
  • 00:21:42
    el fichero n a querer escribir un
  • 00:21:46
    fichero en el
  • 00:21:47
    disco lo que va a hacer es Buscar
  • 00:21:50
    librerías que ya tienen estas
  • 00:21:52
    instrucciones cargadas en el en el
  • 00:21:54
    sistema y que funcionan a nivel de
  • 00:21:56
    kernel en el sistema operativo
  • 00:21:58
    imagínense Como si fuese vuestro cuerpo
  • 00:22:00
    en el cerebro ya está ahí ninguna
  • 00:22:03
    herramienta de seguridad puede estar
  • 00:22:04
    monitorizando constantemente todas las
  • 00:22:06
    instrucciones que ocurran por ejemplo en
  • 00:22:09
    ntdll.dll porque si lo hicieran sería
  • 00:22:12
    imposible que el sistema operativo
  • 00:22:14
    funcionase como tal Entonces qué han
  • 00:22:16
    hecho Estos tipos lo que hicieron fue
  • 00:22:19
    dentro de su código haar ponerle un
  • 00:22:22
    apodo a las distintas funcionalidades
  • 00:22:24
    que tienen entonces cuando quieren crear
  • 00:22:26
    un fichero descargar renombrar borrar lo
  • 00:22:29
    que fuese estas funciones tienen un
  • 00:22:32
    sobrenombre un apodo en vez de decir No
  • 00:22:36
    sé Federico dicen Rubio alto ojos
  • 00:22:40
    celestes pelo largo Entonces de esa
  • 00:22:42
    manera ofuscada Hay una identificación
  • 00:22:45
    de un objeto buscan ese objeto en la
  • 00:22:48
    memoria que ya sido ejecutado y lo
  • 00:22:50
    machan entonces hablan simplemente con
  • 00:22:52
    un con sobrenombres y códigos con jes Y
  • 00:22:56
    eso hace que sea muy difícil poder desof
  • 00:22:59
    entender que está haciendo Y qué es lo
  • 00:23:01
    otro que hacen evidentemente cuando los
  • 00:23:03
    analistas intentan entender el código Lo
  • 00:23:05
    pasan por distintas herramientas que nos
  • 00:23:07
    ayudan a entender que está
  • 00:23:09
    pasando estas funcionalidades tienen
  • 00:23:12
    muchísimos saltos y el código va y sube
  • 00:23:14
    y baja con distintos puntos cifrados que
  • 00:23:16
    hace que sea muy difícil
  • 00:23:18
    desencriptar por eso toda la parte de
  • 00:23:21
    ias hoy en el día ayuda muchísimo a toda
  • 00:23:23
    la parte de River cine malware pero
  • 00:23:25
    todavía es muy interesante y muy
  • 00:23:26
    importante el trabajo artesanal de la
  • 00:23:29
    gente que que se dedica a esto y que
  • 00:23:30
    puede seguir y perseguir cosas que la
  • 00:23:32
    tecnología le cuesta mucho ahora bien
  • 00:23:35
    evidentemente técnicas para evitar poder
  • 00:23:37
    ser detectado y demás y el tercer
  • 00:23:39
    estadio es una vez que yo tengo armado
  • 00:23:41
    mi mapa de funcionalidades lo que está
  • 00:23:43
    ocurriendo en el sistema operativo y lo
  • 00:23:45
    que yo quiero hacer lo voy a usar sin
  • 00:23:47
    que ninguna herramienta de seguridad
  • 00:23:49
    pueda detectarlo evidentemente Hay
  • 00:23:51
    herramientas hoy en día que pueden
  • 00:23:52
    entender el comportamiento del usuario Y
  • 00:23:55
    si algún artefacto está queriendo
  • 00:23:56
    acceder todo el tiempo todo el rato a la
  • 00:23:58
    misma funcionalidad puede detectar que
  • 00:24:00
    hay algo que esté de funcionando en mar
  • 00:24:02
    bien incorrecto que haya una posible
  • 00:24:04
    infección no se va a fijar el timeone se
  • 00:24:07
    va a fijar A dónde está se va a fijar el
  • 00:24:09
    tipo de lenguaje del teclado bueno va a
  • 00:24:12
    fijarse los los los privilegios que
  • 00:24:14
    tenga y la parte de m check es muy
  • 00:24:17
    interesante dependiendo del tipo de de
  • 00:24:20
    criminal que nos toque vamos a tener
  • 00:24:22
    criminales que son muy sofisticados y
  • 00:24:24
    que van a estar atentos para ver si esa
  • 00:24:26
    máquina ya está infectada si ya está
  • 00:24:27
    infectada
  • 00:24:29
    no vamos a volver a infectarlo seguimos
  • 00:24:30
    a otra no queremos que esa máquina
  • 00:24:32
    empiece a funcionar rar y que levante
  • 00:24:33
    sospechas ahora bien para los ner que le
  • 00:24:37
    guste la parte de mitre también he
  • 00:24:38
    puesto algunos slides es muy fácil de
  • 00:24:40
    entender la parte de acceso inicial
  • 00:24:42
    ejecución persistencia escalación de
  • 00:24:44
    privilegios evasión Discovery comand
  • 00:24:47
    control
  • 00:24:48
    finalmente Pero como estamos contando un
  • 00:24:52
    poco la la vida de esto también entender
  • 00:24:54
    que ha ido evolucionando en principio ha
  • 00:24:56
    sido una herramienta muy simple
  • 00:24:57
    simplemente
  • 00:24:58
    era la cuestión de que se conectase el
  • 00:25:00
    ordenador contra un C2 y poco más pero
  • 00:25:03
    evidentemente en 2014 que es cuando toca
  • 00:25:06
    más relevancia se agrega toda la parte
  • 00:25:08
    de los plugins y se empieza a hablar de
  • 00:25:10
    modularización ya lo dividen en
  • 00:25:12
    distintos estadíos lo cual empieza a ser
  • 00:25:14
    muchísimo más complejo el poder entender
  • 00:25:17
    lo que está haciendo la herramienta
  • 00:25:18
    inclusive empiezan a encriptar las
  • 00:25:20
    direcciones a donde la máquina que tenía
  • 00:25:23
    la instalación se va a conectar para que
  • 00:25:25
    no pueda ser descubierto tan fácil la
  • 00:25:27
    infraestructura que está detrás O sea ya
  • 00:25:28
    se está pensando en una
  • 00:25:30
    expansión en 2017 2015 2017 se implanta
  • 00:25:34
    por ejemplo la parte de nns sobre https
  • 00:25:36
    se empiezan a implantar otros tipos de
  • 00:25:37
    protocolos y se empiezan a usar ides
  • 00:25:39
    para que si hay muchas instalaciones no
  • 00:25:41
    se pisen entre sí Y también poder
  • 00:25:43
    entender dentro del dashboard de
  • 00:25:46
    administración en plan que me muestre si
  • 00:25:48
    está en línea si no está en línea Qué es
  • 00:25:49
    lo que está haciendo etcétera
  • 00:25:51
    etcétera En 2018 Es el cambio más grande
  • 00:25:54
    realmente Ahí es donde se han empezado a
  • 00:25:56
    agregar más técnicas de ofuscación y
  • 00:25:58
    hace que sea muy complejo analizar la
  • 00:26:01
    herramienta con técnicas tradicionales
  • 00:26:03
    no no se puede poner directamente en un
  • 00:26:05
    en un ID y avanzar con ello hay que
  • 00:26:07
    analizarlo realmente en un ambiente
  • 00:26:08
    aislado ahora por el otro lado tenemos
  • 00:26:11
    gente que no está tan capacitada para
  • 00:26:12
    utilizarlo entonces ellos también nos
  • 00:26:15
    pueden generar dinero Qué vamos a hacer
  • 00:26:16
    vamos a generar un mccp un panel de
  • 00:26:20
    partners afiliados vamos a decirle
  • 00:26:22
    directamente que tenemos n cantidad de
  • 00:26:25
    máquinas infectadas y les vamos a Ender
  • 00:26:28
    la posibilidad de desplegar lo que sea
  • 00:26:30
    que quieren estos estas personas son
  • 00:26:33
    menos
  • 00:26:35
    e les importa menos que ser detectados o
  • 00:26:38
    no En definitiva lanzan una campaña
  • 00:26:40
    donde sea infectan lo que pueden y
  • 00:26:42
    venden esos accesos 400 500 máquinas y
  • 00:26:44
    demás y aquí es donde nuestro amigo
  • 00:26:46
    gruer empieza a tomar relevancia Este es
  • 00:26:49
    un posteo del
  • 00:26:50
    2021 en donde realmente tiene un un Bot
  • 00:26:54
    en Telegram donde agiliza muchísimo
  • 00:26:55
    poder comprar estos accesos y él lo
  • 00:26:57
    vende
  • 00:26:58
    como loads como cargas no vende los
  • 00:27:01
    accesos como venden los iabs Simplemente
  • 00:27:04
    te dice tengo 500 máquinas qué queres
  • 00:27:06
    desplegar lockbit qué rames desplegar lo
  • 00:27:09
    que vos quieras A partir de aquí es
  • 00:27:12
    donde empieza a cambiar un poco la
  • 00:27:14
    modalidad porque esto se masiva Entonces
  • 00:27:16
    se termina convirtiendo realmente en una
  • 00:27:18
    especie de botnet muy muy grande
  • 00:27:21
    operation endgame evidentemente rompe
  • 00:27:24
    con esta infraestructura crítica no la
  • 00:27:27
    parte en la nube Fire in the sky la
  • 00:27:29
    referencia a deeple un poco pero En
  • 00:27:32
    definitiva cuando yo quise interactuar
  • 00:27:34
    con este Bot Me encontré con este
  • 00:27:36
    mensaje la policía de Países Bajos
  • 00:27:39
    realmente consiguió acceso al mismo y
  • 00:27:41
    empieza un poco con este juego me
  • 00:27:42
    reenvía al sitio de operation endgame me
  • 00:27:44
    dice que el Bot no está accesible que si
  • 00:27:46
    quería ser cliente lo lamentaban
  • 00:27:48
    muchísimo y me invitaban a ver el primer
  • 00:27:50
    capítulo de la
  • 00:27:52
    operación este sops realmente empieza a
  • 00:27:55
    tener movimiento dentro de lo que es la
  • 00:27:58
    web más oscura empezamos a ver algunos
  • 00:28:00
    actores que se lo toman con un poco de
  • 00:28:02
    diciendo esto se pasan inventando
  • 00:28:05
    dibujitos poniendo nombres pero no me
  • 00:28:07
    están realmente no están haciendo nada
  • 00:28:09
    pero si empieza a generar un poco de
  • 00:28:10
    malestar en otros en particular en un
  • 00:28:12
    grupo de WhatsApp perdón de Telegram se
  • 00:28:14
    empieza a ver Mr Fox 84 que es uno de
  • 00:28:17
    los primeros actores que mencionamos al
  • 00:28:19
    principio diciendo que era imposible de
  • 00:28:22
    doxear Ahora son imposibles de doxear no
  • 00:28:26
    todos tenemos un digital esta
  • 00:28:28
    información que están viendo en en la
  • 00:28:30
    pantalla pertenece a un foro ruso de vk
  • 00:28:33
    una red social de 2014 de nuestro amigo
  • 00:28:35
    gruber nuestro amigo gruber tiene varias
  • 00:28:38
    personalidades por decir de aluna manera
  • 00:28:40
    a mí siempre me gusta decir que bueno en
  • 00:28:43
    la vida real todos tenemos una identidad
  • 00:28:45
    con uno es padre hijo amigo y nos
  • 00:28:48
    conocen cada uno de una manera diferente
  • 00:28:49
    Pero el mundo digital es un poco
  • 00:28:51
    distinto no algunos Tenemos una cuenta
  • 00:28:53
    para comentar en YouTube otros para
  • 00:28:55
    mirar cosas en tiktok lo que fuese y En
  • 00:28:59
    definitiva tenemos una especie de
  • 00:29:00
    divergencia de personalidad en las redes
  • 00:29:03
    sociales y esto no es distinto los malos
  • 00:29:05
    tienen una vida normal como todos En
  • 00:29:08
    definitiva gruber también se llama de
  • 00:29:10
    varias maneras se llama radomir radamir
  • 00:29:13
    radamir asop y tiene distintos perfiles
  • 00:29:16
    en el perfil que está a la derecha que
  • 00:29:18
    dice galap perol se ve muy pequeñito
  • 00:29:21
    pero es un posteo de él buscando
  • 00:29:24
    desarrolladores en un sitio de trabajo
  • 00:29:26
    como si fuese un linkedin Ruso
  • 00:29:28
    Realmente está buscando desarrolladores
  • 00:29:30
    para su botnet no O sea tenemos
  • 00:29:33
    distintos profesionales que se encargan
  • 00:29:35
    de desarrollar distintas partes de la
  • 00:29:37
    misma y nunca se hablan entre sí esto
  • 00:29:39
    sería como cualquier otra empresa de
  • 00:29:40
    seguridad que tiene quien desarrolla el
  • 00:29:42
    Proxy quien desarrolla el farw y demás y
  • 00:29:45
    qué es lo que es interesante que uno de
  • 00:29:47
    sus nombres sí aparecía dentro de la
  • 00:29:49
    primera temporada El primer episodio de
  • 00:29:51
    la primera temporada se veía radamir
  • 00:29:54
    entonces En definitiva esta ilusión de
  • 00:29:57
    que
  • 00:29:58
    no saben Quiénes son y somos muy
  • 00:30:00
    difíciles de encontrar no es tal así
  • 00:30:03
    evidentemente
  • 00:30:04
    la operación smer des mi punto de vista
  • 00:30:07
    es muy interesante y creo va a haber aún
  • 00:30:08
    más más por delante y y no solamente cer
  • 00:30:12
    sino muchos otros fabricantes han
  • 00:30:14
    aportado muchísimo en cuanto a todos los
  • 00:30:15
    años que llevan analizando este tipo de
  • 00:30:18
    amenazas y han prohibido un montón de
  • 00:30:20
    información comentarios por ejemplo que
  • 00:30:22
    existían dentro del código antario que
  • 00:30:24
    es donde es original nuestro amigo
  • 00:30:26
    gruber se luego nacido el 21 de mayo de
  • 00:30:29
    1982 de tartaria que es una parte de la
  • 00:30:32
    República de Rusia y demás y unos días
  • 00:30:34
    antes de esta presentación encal
  • 00:30:37
    lanzamos una herramienta que permite
  • 00:30:39
    detectar este tipo de infección y
  • 00:30:40
    limpiar las máquinas así que lo quería
  • 00:30:43
    compartir también la temporada un acabó
  • 00:30:45
    la gente operation game promete que se
  • 00:30:47
    viene una temporada dos ya hay algunos
  • 00:30:49
    movimientos interesantes dando vuelta en
  • 00:30:51
    las redes con distintos ataques Así que
  • 00:30:54
    para finalizar simplemente decir hay que
  • 00:30:57
    estar nuos próximos pasos como dicen
  • 00:31:00
    amigos de operation y tener en cuenta
  • 00:31:02
    que aunque nosotros pensemos que somos
  • 00:31:04
    indetectables siempre puede ser que nos
  • 00:31:06
    estén mirando Muchas
  • 00:31:11
    gracias muchas gracias muy interesante y
  • 00:31:14
    tenemos alguna pregunta para formularte
  • 00:31:16
    antes de que te vayas nos preguntan por
  • 00:31:18
    ejemplo Cuál sería la mejor manera de
  • 00:31:19
    proteger nuestra organización del robo
  • 00:31:21
    de credenciales de equipos personales de
  • 00:31:24
    nuestros usuarios por tipo
  • 00:31:28
    maneras la primera por lo menos que es
  • 00:31:29
    por donde deberíamos empezar es por la
  • 00:31:31
    educación los recursos que tenemos
  • 00:31:33
    dentro la organización los empleados tú
  • 00:31:35
    yo cualquiera deberíamos de saber y
  • 00:31:36
    entender cuando estamos siendo Víctimas
  • 00:31:39
    de cualquier ataque Hay muchísimas
  • 00:31:40
    organizaciones que hoy cuando hay
  • 00:31:42
    campañas específicas alertan hay mucho
  • 00:31:45
    de esto hoy por hoy dentro las
  • 00:31:46
    organizaciones de tratar de
  • 00:31:48
    prevenirlo una última cuestión inquietud
  • 00:31:51
    personal decías que detrás de estas
  • 00:31:52
    herramientas no no podemos pensar que
  • 00:31:54
    hay una dos personas que es un equipo
  • 00:31:55
    desorganizado sino que es una seria nos
  • 00:31:58
    has puesto algún ejemplo Pero qué puede
  • 00:32:00
    haber detrás de una herramienta así en
  • 00:32:01
    cuanto a organización en cuanto a gente
  • 00:32:03
    bueno por ejemplo gruger que es este
  • 00:32:05
    personaje que elegí si uno mira para
  • 00:32:07
    atrás sus antecedentes es un
  • 00:32:09
    entrepreneur frustrado en 2011 quiso
  • 00:32:12
    tener sus bpcs ofreciendo una especie de
  • 00:32:14
    Amazon en Rusia que nunca funcionó esa
  • 00:32:16
    misma infraestructura en 2016 la empezó
  • 00:32:18
    a implantar para una herramienta de
  • 00:32:21
    criptomoneda para Perdón para una una
  • 00:32:23
    bitera criptomoneda que tampoco funcionó
  • 00:32:25
    y finalmente todo eso lo terminó
  • 00:32:26
    utilizando para una infraestructura de
  • 00:32:29
    de cibercrimen Y cuánta gente puede
  • 00:32:31
    estar coordinada en ese tipoo de muchim
  • 00:32:33
    muchísima Bueno lo veíamos antes o sea
  • 00:32:36
    tener números es Es difícil saber
  • 00:32:38
    cuántos pero sí te puedo dar una cifra
  • 00:32:39
    se estima que en pérdidas por año a
  • 00:32:42
    partir del 2031 en r estamos hablando de
  • 00:32:45
    265 billones de dólares es muchísimo
  • 00:32:48
    dinero si ponemos a pensar que si desde
  • 00:32:50
    hoy al 2031 pusiéramos 4 billones de
  • 00:32:53
    dólares anualmente para el 2031
  • 00:32:56
    podríamos terminar con el hambre en el
  • 00:32:57
    mundo ponerlo en perspectiva Cuánto
  • 00:32:59
    dinero mueve Y cuánta gente está detrás
  • 00:33:00
    de esta industria Muchísimas gracias
  • 00:33:02
    Federico muy interesante gracias
  • 00:33:05
    [Aplausos]
  • 00:33:16
    [Música]
标签
  • cibercrime
  • Operation Endgame
  • droppers
  • Smoke Loader
  • seguridade informática
  • psicoloxía das operacións
  • ciberdelincuentes
  • infección de malware
  • infraestrutura crítica
  • colaboración pública-privada