Entrevistas

Índice

1 Vice Society

"Amamos lo que hacemos, y no lo hacemos sólo por el dinero"

Vice Society es un grupo de ransomware que emergió a mediados de 2021 y ya cuenta con víctimas en más de una docena de países, incluyendo: Estados Unidos, Reino Unido, Arabia Saudita, Italia, Francia, Alemania, España, y hasta Argentina, donde atacaron nada más ni nada menos que al Senado. Por este último caso es que decidí entrevistarlos brevemente. Mi interlocutor es Thomas, líder de Vice Society.

  • ¿Cómo te decidiste a formar un grupo de ransomware? ¿Cómo nació Vice Society?
  • Por un grupo de amigos que estaban interesados en pentesting. Decidimos probar suerte.
  • Argentina se caracteriza por ser una víctima fácil y también por ser un mal pagador (Caso REvil, Everest). ¿Por qué los eligieron? ¿Fue a propósito?
  • [Encriptar] al gobierno de cualquier país es un logro y además, siempre tienen documentos interesantes. Tardamos 6 horas para obtener acceso a cada pieza de infraestructura crítica y alrededor de 6 horas más para atacar. Seguro te acordarás que su página web estuvo caída más de 1 semana a mediados de enero.
  • ¿Argentina intentó negociar o contactarlos? Si es así, ¿hicieron una oferta?
  • Hablamos con algunas organizaciones de Argentina en otras circunstancias pero no recordamos si pagaron.
  • Su lista de víctimas es bastante variada, pero esta es la segunda vez que listan una organización latinoamericana. ¿Cómo fue su experiencia? ¿Las organizaciones de LATAM suelen pagar o simplemente asumen la pérdida?
  • No es la segunda :), es la segunda que no pagó. Y sí, algunos de ellos pagan.
  • ¿Qué planes futuros tiene Vice Society? ¿Planean continuar operando contra infraestructura argentina o latinoamericana en general?
  • ¡Seguro! ¿Por qué no? Amamos lo que hacemos, y no lo hacemos solo por el dinero.
  • ¿Qué es lo más especial de Vice Society? ¿Cuál fue su mejor momento o logro hasta ahora?
  • Los ataques contra Waikato y SPAR; y muchas otras empresas que pagaron (aunque no hablamos de los clientes que pagan).
  • Cuéntame un secreto, lo que quieras. No tiene que estar relacionado con Vice Society o con ciberseguridad.
  • No compartimos secretos =).

2 DarkVault

"Pagar el rescate es la mejor opción, esto es solo un negocio para nosotros"

DarkVault es un grupo cibercriminal emergente conocido por sus sofisticados ataques dirigidos a diversas organizaciones en todo el mundo, incluyendo Latinoamérica. Aunque relativamente nuevo en la escena, DarkVault ha ganado notoriedad por su profesionalismo, métodos innovadores y su distintiva estética de sitio web, similar a la del grupo Lockbit (incluso llegando a ser confundido con un “rebranding”). Al mando están criminaldo y Neroces, quienes nos concedieron la presente entrevista.

  • ¿Cómo nació DarkVault? ¿Qué los llevó a la escena del ransomware?
  • Todos empezamos en la escena del ransomware hace más de 10 años. Solo recientemente DarkVault se convirtió en nuestra marca.
  • ¿Cuáles son sus motivaciones? ¿Solo financieras, o hay algo más?
  • Queremos dinero, no nos importan la política u otros temas.
  • ¿Qué es lo más especial de DarkVault? ¿Cuál es su momento/objetivo/logro del que más se enorgullecen hasta ahora?
  • Lo más especial es nuestra seguridad operativa (opsec) y nuestro logro más orgulloso es el pago de 10 millones de dólares de una empresa farmacéutica.
  • ¿Qué le depara el futuro a DarkVault? ¿Planean expandir operaciones u ofrecer un programa de afiliados?
  • Siempre estamos buscando nuevas técnicas porque tenemos mucha competencia. Todavía no tenemos un programa de afiliados.
  • ¿Hay algo que les gustaría decirle al resto de la escena, al público en general o a futuras víctimas?
  • Si los hackeamos, pagar el rescate es la mejor opción. Esto es solo un negocio para nosotros.
  • Por curiosidad, ¿por qué usan la estética del sitio web de Lockbit? ¿Su equipo trabajó con ellos en el pasado?
  • Trabajamos con miembros de Lockbit en el pasado, pero no somos Lockbit.
  • Contame un secreto, cualquier cosa que quieras. No tiene que estar relacionado con la seguridad o con DarkVault.
  • Cuando era chico tuve leucemia, pero sobreviví.

3 G0DHAND

"El Ransomware es una idea, y las ideas no se matan"

G0DHAND surgió a finales de 2023, destacándose rápidamente en la escena del cibercrimen con un enfoque en la extorsión de datos en lugar del Ransomware tradicional. Su notoriedad creció cuando filtraron información de 35 compañías uruguayas en un solo día. En esta entrevista hablo con Legarde, líder del grupo, para entender su metodología y cómo ven el futuro del Data Extortion.

  • ¿Por qué G0DHAND, de dónde sale el nombre?
  • Por un animé. Nos preguntaron algunas veces si es por Maradona pero aunque sea el mejor del mundo no es por él.
  • ¿Cómo nació G0DHAND? ¿Qué los trajo a esta escena?
  • Somos un grupo de amigos en línea que venimos de distintos proyectos de ransomware, algunos grandes como Lockbit o Blackcat y otros independientes.
  • ¿Por qué Data Extortion y no Ransomware?
  • Hicimos Ransomware mucho tiempo, pero hay cada vez menos proyectos serios. No duermes tranquilo sabiendo que un día pueden huir con tu dinero o que la policía puede robarles sus servidores. Tampoco nos gusta la idea de alquilar proyectos desconocidos ni tenemos el tiempo de mantener uno propio. El Data Extortion exige menos esfuerzo, casi no deja evidencia y nos permite estar más tiempo ocultos en los sistemas de las víctimas. Trabajamos a nuestro propio paso, les compramos a los más pequeños y les vendemos a los más grandes.
  • ¿Qué pueden contar del paso del ransom al data extortion de algunos grupos?
  • No somos los únicos en hacer este cambio. Muchos estamos decepcionados con las peleas que montaron algunos proyectos contra agencias y con otros que simplemente huyeron con el dinero de afiliados honestos que trabajan duro día a día, los jugadores más grandes perdieron la confianza. Empezamos a mirar con más atención a proyectos como Everest y descubrimos una oportunidad en la compra y venta de accesos y datos.
  • ¿Cómo ven el threat landscape del Ransomware luego de lo que pasó con grupos grandes como Lockbit?
  • Después de años en el negocio estoy confiado de poder decir que el Ransomware no va a acabarse, cuando las compañías dicen que hay una caída es porque en realidad hay más pagos y menos víctimas son nombradas y avergonzadas públicamente. Algunos proyectos se venderán o confiscarán pero el Ransomware no se va a ir. El Ransomware es una idea y las ideas no se matan.
  • ¿Por qué razón se separaron Lockbit y Blackcat?
  • Si te refieres a ellos nunca estuvieron juntos. Fue una discusión en XSS sobre una posible alianza pero nunca se concretó. Si te refieres a nosotros, lee mis primeras respuestas de nuevo.
  • ¿Tienen preferencia por algún tipo de targets?
  • Acordamos tener como blanco principal Latinoamérica. La seguridad no existe y hay mucho dinero en pocas manos.
  • ¿Cuál fue el lugar al que más fácil accedieron y quisieran que las personas lo sepan?
  • Diría que el ataque a NODUM fue el mejor y el que nos hizo famosos. Comprometimos unas 100 compañías en ese ataque solamente. Regalamos la información de unas 30 hasta que recibimos una muy buena oferta por el resto.
  • ¿Alguna vez accedieron a información comprometedora que no se animaran a "capturar"?
  • No. La transparencia es parte de nuestra firma, si hiciéramos eso no seríamos justos a nuestros principios.
  • Sus primeras víctimas eran uruguayas, ¿por qué?
  • Son las primeras víctimas que no pagaron y por eso las publicamos. Nuestras primeras víctimas fueron fábricas brasileñas, algunas de alimentos y otras de plásticos, pero pagaron y por eso nadie se enteró.
  • ¿Tienen relación con ExPresidents, el grupo que ataca sólo a entidades uruguayas?
  • Hemos comprado material de ExPresidents que luego utilizamos para escalar a otros ataques, pero es algo que hacemos con decenas de otros grupos.
  • ¿Hay algo que les gustaría decirle al resto de la escena, al público en general o a futuras víctimas?
  • Para las víctimas, sepan que ustedes tienen que evitarnos toda la vida y nosotros solo tenemos que atraparlos una vez.
  • Contame un secreto, cualquier cosa que quieras. No tiene que estar relacionado con la seguridad o con G0DHAND.
  • Un mago nunca revela sus secretos.

4 PraPra123

"El país en el que expuse más datos, diría que es Argentina"

PraPra123 es un nuevo Actor de Amenazas conocido por filtrar información sensible de varios países, con un enfoque notable en Argentina. Recientemente, reveló 82,000 credenciales de AFIP, junto con numerosos documentos de seguros y credenciales de varias instituciones gubernamentales. Esta actividad lo posiciona como un jugador importante en el panorama de la ciberseguridad, con una inclinación por atacar sectores gubernamentales y financieros, especialmente en Argentina. A fines de Marzo de 2024 PraPra123 fue detenido por los Mossos dEsquadra.

  • ¿Cómo te definís vos? ¿Sos un hacktivista?
  • Bueno, algunas cosas que hago pueden estar relacionadas con el hacktivismo, pero otras las hago más por ego personal y para ver hasta dónde puedo llegar.
  • ¿Tenías alguna cuenta en versiones anteriores del foro, o sos nuevo?
  • No, me uní al foro en octubre de 2023, obviamente conozco a Pom pero no estaba activo en ese entonces.
  • ¿Cuál es la vulnerabilidad más común que encuentras en sitios web? Considerando que refutaste a un usuario que mencionó que usabas credential stuffing
  • Bueno, no puedo decirte exactamente cómo accedo a los datos de los sitios, porque cada sitio web es totalmente diferente del otro. Por lo general, no utilizo exploits para obtener acceso, suelo investigar por mi cuenta para ver qué parámetros puedo cambiar para acceder a algo, aunque a veces también uso Stealers para obtener datos de inicio de sesión, pero en el caso de las compañías de seguros eso no ha sido así, literalmente es imposible obtener todos esos archivos con simples Stealers. Me gustaría que el usuario que dijo que accedí a esos datos con credential stuffing me muestre cómo se obtienen miles de archivos de varias compañías de seguros de esa manera, y que lo haga, veamos si es verdad que lo consigue de esa manera, apuesto a que no obtiene ni siquiera el 10% de los datos que obtuve yo
  • ¿En qué países expusiste más datos? ¿Elegís al azar o hay una razón detrás de tus acciones en países como España, Perú, o nuestro territorio, entre otros? Sabemos que Argentina es conocida por ser un blanco fácil y también por no pagar bien.
  • El país en el que expuse más datos, diría que es Argentina. No por algo personal, sino porque es donde hay más filtraciones de seguridad. Supongo que la razón debe ser que aquellos encargados de la ciberseguridad en las empresas no deben ser bien remunerados.
  • ¿Cuál es tu técnica favorita?
  • Bueno, diría que Stealers, como Raccoon y Redline. También me gusta usar RATs en el caso de Android.
  • ¿Qué crees sobre la opinión general acerca de los hackers, o incluso aquellos que ni siquiera se llaman así pero tienen el conocimiento para acceder a sitios gubernamentales, fuerzas de seguridad, etc.? Hace unas semanas mencionaste que expondrías a todos los usuarios del Colegio Público de Abogados de la Provincia de Buenos Aires si no corregían sus errores de seguridad. Y así lo hiciste.
  • Supongo que la gente no tiene una imagen muy buena de los hackers, aunque actualmente cuando filtro datos de un sitio web veo que la mayoría de las personas están en contra de la empresa debido a su baja seguridad y no están en contra de mí.
  • ¿Qué mensaje tenés para los gobiernos y empresas privadas como la Policía de Córdoba, Galeno Seguros, Libra Seguro, Mi Argentina y la AFIP? ¿Alguien del gobierno se ha contactado contigo? ¿al menos preguntaron por tus servicios?
  • El mensaje que tengo es poner a trabajar a jóvenes en el área de ciberseguridad, no a personas de 50 años que tienen conocimientos obsoletos. Al hacer eso, créeme, la seguridad en todos los países mejorará mucho. Hasta ahora, solo expertos en ciberseguridad, criminólogos y también muchos periodistas de España han hablado conmigo, pero según tengo entendido, nadie del gobierno se ha puesto en contacto conmigo.
  • ¿Qué consejo le darías a alguien interesado en estudiar para convertirse en Técnico o Ingeniero en IT? ¿Podrías compartir tu experiencia y motivación para que alguien adquiera tus habilidades en este campo y te lea por primera vez? ¿Qué ves en tu futuro? ¿Cuáles son tus planes?
  • El consejo que daría sería no centrarte en obtener un título, estudiar y practicar todo por tu cuenta. No soy un gran fanático de las universidades. Mi futuro hoy no está claro para mí, tengo muchos objetivos, pero también sé que tal vez algún día pueda ser atrapado y habrá consecuencias por todo lo que he hecho y eso me impedirá cumplir mis metas.
  • Por último, ¿podrías compartir un secreto con nosotros? No tiene que estar relacionado con la seguridad en absoluto.
  • Me encantaría contarte un secreto, pero honestamente no tengo ninguno.

5 RTF

"¿No querés ser nuestro objetivo? Es fácil: no seas rusofóbico"

RTF, un prolífico actor de DDoS de Rusia que derribó los servidores de Cancillería y del Gobierno de la Ciudad de Buenos Aires, nos concedió una entrevista exclusiva.

  • ¿Cómo decidieron iniciar RTF? ¿Qué los llevó a entrar en la escena del DDoS?
  • Originalmente comencé a hacer DDoS en 2014 en consolas, simplemente "sacando" conexiones domésticas de línea por diversión. RTF fue iniciado por mi buen amigo "$urge", exmiembro de PwnP0ny. Habíamos visto los actos del mundo contra Rusia y decidimos hacer algo al respecto.
  • ¿Son parte de grupos más grandes o alianzas como Cyber Army of Russia, NoName057(16) o KillNet? Si no, ¿cuál es su posición hacia ellos?
  • No estoy en ninguno de esos grupos, pero compartimos nuestras publicaciones de vez en cuando como muestra de aprecio mutuo. Tengo mucho respeto por esos grupos.
  • Comenzaron con una fuerte ofensiva contra diferentes aliados de la OTAN e incluso derribaron parte de la infraestructura del Ministerio de Defensa del Reino Unido a pesar de ser un grupo nuevo. ¿Qué me pueden decir al respecto? ¿Es solo fuerza en números o están aprovechando nuevos métodos de amplificación o congestión?
  • No mencionaré las herramientas que usamos por razones de seguridad, pero incluso como un grupo nuevo, es difícil subir en los rangos, aunque estamos llegando. Hemos tenido cobertura mediática, y nuestro mayor apoyo han sido Holy League y 7 October Union (Hack Force), ya que ambos equipos han estado en innumerables artículos. Nuestra principal fuente de poder son botnets y otras herramientas de DDoS. La OTAN y el Ministerio de Defensa del Reino Unido fueron solo una muestra de lo que podemos hacer. El DDoS no es necesariamente lo único que hacemos; también realizamos algunas explotaciones web, como se vio en nuestro ataque al gobierno de Bangladés.
  • ¿Podrían explicar -para mí y los lectores- por qué eligieron DDoS como su arma? ¿Creen que es tan efectivo como otros tipos de ataques para enviar un mensaje?
  • Creo que elegimos DDoS principalmente porque, si se usa correctamente, puede interrumpir sistemas y desarrollos importantes. Un ejemplo sería un aeropuerto: si derribamos su sitio web durante una hora, imagina todos los planes de vuelo afectados en ese plazo.
  • ¿Cómo enfrentan los nuevos métodos de defensa e incluso empresas [occidentales] enteras dedicadas al negocio anti-DDoS? ¿Los ven como un desafío para sus operaciones?
  • ¿Los nuevos sistemas que los países están usando para defenderse de nosotros? Jajajaja, no son nada.
  • ¿Han atacado otras víctimas en Argentina? Si no, ¿lo están considerando?
  • No hemos atacado públicamente a Argentina. Uno de nuestros miembros tuvo acceso a las bases de datos de los tribunales por un tiempo, pero no filtramos ninguna información.
  • ¿Qué es lo más especial de RTF? ¿Cuál ha sido su momento, objetivo o logro más orgulloso hasta ahora?
  • No puedo hablar de nuestro mayor logro todavía.
  • ¿Qué depara el futuro para RTF y otros grupos aliados dedicados a DDoS? ¿Planean moverse hacia servicios como RansomDDoS o DDoS por encargo, como han hecho otros grupos?
  • ¿El futuro de RTF? Solo el tiempo lo dirá. Ya estamos haciendo RansomDDoS, solo que no públicamente. Deberíamos estar lanzando nuestra propio botnet pronto.
  • ¿Hay algo que quieran decir al resto de la escena o al público en general?
  • ¿Algo para la escena? Gloria a Rusia, sigan luchando, hermanos, saldremos victoriosos. #GLORYTORUSSIA
  • ¿Cuál es su mensaje para el pueblo ruso? ¿Y para los occidentales?
  • ¿Un mensaje para el pueblo ruso? Los amamos, manténganse fuertes. Y para Occidente: dejen de confiar en su gobierno y en los medios de comunicación.
  • Dime un secreto o lo que quieras compartir. No tiene que estar relacionado con la seguridad o RTF en absoluto.
  • No tengo comentarios. Estamos en proceso de lanzar un proyecto de ransomware. Pero estén atentos a eso ;))

6 Stormous

"Todos trabajan por plata. El daño no importa si al final se gana plata."

Stormous, una leyenda del mundo del Ransomware, nos concedió una entrevista exclusiva.

  • ¿Cómo nació Stormous? ¿Qué los llevó a la escena del ransomware?
  • Lo que nos llevó a la escena del ransomware fue una combinación de oportunidad y el deseo de capitalizar en organizaciones que descuidan la ciberseguridad. Esto fue lo que hizo que el nombre Stormous apareciera en la escena.
  • Su portafolio es bastante variado, con muchas víctimas de LATAM (incluyendo 2 de Argentina). ¿Cómo fue su experiencia? ¿Las organizaciones en LATAM se preocupan y pagan o simplemente lo dejan pasar?
  • Las organizaciones latinoamericanas fueron una mezcla interesante para nosotros. Algunas estaban más dispuestas a negociar y pagar rápidamente porque reconocían el daño potencial a su negocio si no lo hacían.
  • Además de esas 2 víctimas que no pagaron el rescate, ¿hay otras víctimas en Argentina que sí lo hayan hecho? (sin nombrarlas)
  • Sí, tenemos otras víctimas en Argentina que optaron por resolver el asunto discretamente pagando el rescate. Como puedes imaginar, muchas prefieren que sus nombres no aparezcan en nuestro blog y pagan en secreto.
  • ¿Qué es lo más especial de Stormous? ¿Cuál ha sido su momento, objetivo o logro más orgulloso hasta ahora?
  • Quizás muchos proyectos masivos de ransomware colapsaron rápidamente, pero lo que nos distingue es que hemos estado operando durante 4 años sin que ninguno de nosotros haya sido derribado ni nuestro proyecto destruido.
  • Después de años en la escena con víctimas notables de todo el mundo y viendo otros proyectos caer, ustedes siguen fuertes. ¿Qué les depara el futuro?
  • Hemos estado en el juego el tiempo suficiente para saber cómo adaptarnos y prosperar, y planeamos seguir haciéndolo enfocándonos en industrias particularmente vulnerables.
  • ¿Hay algo que quieran decirle al resto de la escena, al público general o a futuras víctimas?
  • Para la escena: manténganse alerta. Para el público general y las futuras víctimas: tomen en serio sus datos y redes, porque si no lo hacen, nosotros lo haremos.
  • Cuéntenme un secreto, cualquier cosa que quieran. No tiene que estar relacionado con la seguridad o Stormous en absoluto.
  • Todos trabajan por plata. El daño no importa si al final se gana plata.

7 Ex-Presidents

"Nosotros somos la escena"

Ex-Presidents, el grupo cibercriminal que ataca entidades uruguayas habló con nosotros. Compuesto por miembros que adoptan nombres de ex funcionarios, como r3agan, Cl1nton, Nix0n, Gorb4chov, 2anguinetti y bu5h, este grupo lidera hoy el ranking de incidentes en Uruguay y en #MeFiltraron. En esta oportunidad, dialogamos con r3agan y Cl1nton sobre sus planes.

  • ¿Cómo nació The Ex Presidents y qué los trajo a esta escena?
  • Sentimos la necesidad de mostrar la precariedad del país en seguridad informática y la ineptitud de los que tienen que cuidarnos.
  • ¿Por qué eligieron ese nombre?                                                            
  • Es de una película con la que nos identificamos mucho.
  • ¿Son uruguayos? ¿Por qué atacan solo Uruguay?                    
  • Si pero todos vivimos afuera hace muchos años. Hackeamos en Uruguay para concientizar la tragedia que estamos viviendo estos últimos años porque afuera del país nadie conoce a Penadés o preguntás por Washington Balliva y te dicen "Poder y Sociedad", no te dicen "el hijo de puta del juez que tenía que cuidar a los botijas y se los cojía en un telo". Nicolás Ortiz dio clases en el liceo a los chiquilines hasta que lo formalizaron, de eso no se habla y por eso sigue pasando.
  • Una víctima recurrente fue el Partido Nacional ¿Por qué?
  • Porque son una manga de mentirosos y corruptos, prometieron muchas cosas y no cumplieron. Son tan sucios que dijeron tres veces que habían arreglado el agujero de sus servidores (¡y era mentira!) pero en ninguna de esas oportunidades desmienten haber trabajado con nosotros o que tengamos información confidencial.
  • Dentro del PN lanzaron amenazas a funcionarios específicos ¿por qué ellos?
  • Son personas peligrosas porque a pesar de su poder no les interesa el pueblo, solo los buscan para su beneficio y una vez que lo consiguen no se acuerdan más de ellos. Se callaron con lo de Penadés hasta que fue insostenible, pero para denunciarnos a nosotros por el hackeo a una paginita fueron rapidísimos los blancos pillos.
  • En su último ataque mencionaron específicamente la causa Penadés, que según varios medios involucró la contratación de hackers ¿Qué tienen que ver los ExPresidents con esto?
  • Tuvimos mucho que ver. Pronto sabrán más de este caso y los sorprenderá, todavía hay mucho para contar.
  • ¿Piensan atacar a otros partidos políticos o es una bronca particular con ellos?
  • Nuestros objetivos van fluctuando, y hay varios hijos de puta en distintos lugares, donde vayan los iremos a buscar sean del partido que sean.
  • Vimos que hace unos meses adquirieron una muestra del ransomware Robbin Hood, ¿planean convertirse en un grupo de ransomware o qué planes tienen en mente para el futuro?
  • Son proyecciones a futuro. Somos un grupo en evolución y no nos gusta encasillarnos en una sola cosa.
  • ¿Algo que quieras decirle al resto de la escena, al público general o al arco político?
  • Nosotros somos la escena. No se confundan, los blancos estuvieron tres años detrás nuestro y no pudieron encontrar nada. Ellos se van nosotros seguimos acá.
  • Contame un secreto, no tiene que ser relativo a seguridad o a ExPresidents.
  • Nunca pensábamos llegar tan lejos pero acá estamos.