SlideShare una empresa de Scribd logo

OSINT para identificar grupos de ransomware

Descargar como PPTX, PDF
Q
QuantiKa14

Presentación usada por Jorge Coronado en la ponencia de Hack-En 2023

Internet
1 de 42
JORGE CORONADO PARA HACER BIEN EL AMOR CON UN RAMSOMWARE HAY QUE IR AL SU
Sobre el autor Sígueme: @jorgewebsec https://www.linkedin.com/in/jorge-coronado-quantika14/ • CEO de QuantiKa14 • Director de ciberinteligencia • Profesor de cosas • Vocal de APTAN • Coordinador de la secretaría de investigación de criptomonedas y hacking en AIVC • Creador de Dante’s Gates, Guasap Forensic, Twiana, etc (https://github.com/Quantika14/) 5/8/2023 - CONforense www.quantika14.com 2
¿Qué vamos a ver? 5/8/2023 www.quantika14.com 3
Índice 08/05/2023 www.quantika14.com 4 •¿En qué puede ayudar OSINT para identificar el grupo que está detrás de un ataque de ramsonware? •Ataques destacados en 2022 •Cyber Kill Chain •IoCs •Atención a la víctima •Tipos de víctimas •Familias y grupos •¿Cómo podemos estar actualizados? •Plataformas •Propio •NINT •Fallos que cometen •¿Podemos demostrar si detrás del grupo Vice Society está el gobierno ruso? 0. ¿Es OSINT Google Hacking?
5
OSINT es como una Cruzcampo. Debes saber dónde, cuándo y cómo beberla.
¿En qué puede ayudar una investigación OSINT contra el ransomware? Forensic + OSINT 5/8/2023 www.quantika14.com 10
2022 • Costa Rica paralizada por el grupo Conti • LAPSUS$ ataca a Nvidea, Ubisoft, Samsung y Microsft. Son detenidos y en septiembre vuelven a atacar a Uber y Rockstar Game • Guerra de Ucrania y Rusia • Conti apoya a Rusia y publican los chats (ContiLeaks) • CSIC y otras grandes entidades españolas atacadas 5/8/2023 www.quantika14.com 11
1.1 Conceptos.: Cyber Kill Chain • La cadena de asesinato cibernético (CKC) es una forma de exponer las etapas que realizan los ataques informáticos con el objetivo de saber qué medidas implementar a nivel de ciberseguridad. • Podemos decir que CKC es un modelo que está compuesto por diferentes Técnicas, Tácticas y Procedimientos (TTPs). 5/8/2023 www.quantika14.com 12
1.1 Fases 08/05/2023 www.quantika14.com 13 1. Acceso inicial 2. Ejecución 3. Persistencia 4. Impacto
1.2 Indicadores de compromiso (IOCs) IPs de CCs • Urls • Wallets • TOX Nota URLs • Netscan • Mimikatz • etc Aplicaciones Emails y adjuntos Extensiones Ficheros que crea Claves de registros 08/05/2023 www.quantika14.com 14 https://twitter.com/darktracer_int/status/1503260139507580928/photo/1
1.3 Atención a la víctima (cliente) • TOX: es un protocolo p2p de mensajería instantánea y videollamadas con cifrado de extremo a extremo • EMAIL: protonmail, onion, etc • Login + contact form 5/8/2023 www.quantika14.com 15
1.4 Sus víctimas • Tipos de víctimas • La ubicación de las víctimas 5/8/2023 www.quantika14.com 16
1.5. Familias y grupos 08/05/2023 www.quantika14.com 17 Fuente: https://media.kasperskycontenthub.com/wp- content/uploads/sites/43/2022/06/23093553/Common-TTPs-of- the-modern-ransomware_low-res.pdf
¿Cómo podemos estar actualizados? 5/8/2023 www.quantika14.com 18
2. Monitorización • https://github.com/fastfire/dee pdarkCTI/blob/main/ransomw are_gang.md • https://ransomwatch.telemetry. ltd/#/INDEX • https://www.ransomlook.io/ • https://raw.githubusercontent.c om/fastfire/deepdarkCTI/main/ ransomware_gang.md • https://twitter.com/Ransomwar eNews 5/8/2023 www.quantika14.com 19
2.1 Crear tu propio data set • https://github.com/Quantika14/osint-suite-tools 08/05/2023 www.quantika14.com 20
2.2 Analizamos con Dante’s Gates • /buscar • /buscaremail • /buscarusername • /buscarip • /analizardominio https://quantika14.com/dantes-gates- all-in-one-osint-telegram-bot/ 5/8/2023 www.quantika14.com 21
3.1 ¿Qué es NINT? • Es una disciplina de inteligencia a través de la prensa online y escrita. • A través de diferentes metodologías se obtiene, analiza y se evalua la información de la prensa con un objetivo concreto 08/05/2023 www.quantika14.com 22
BlueLay – Prensa Española https://github.com/xakepnz/BLUE LAY https://quantika14.com/dgminimal version/ 08/05/2023 www.quantika14.com 23
3.2 Hunchly: diario y registro • Es una aplicación perfecta para la obtención y análisis que hagamos con nuestra navegación por Chrome. • Necesitamos instalar TOR2WEB 5/8/2023 www.quantika14.com 24
3.2 Análisis de Telegram • JupyterLab • Tableu • Graphext • Comando /buscar de Dante’s Gates • Podéis descarga gratis el studio sobre “Antivacunas en Telegram”: • https://quantika14.com/estudios- de-investigacion 5/8/2023 www.quantika14.com 25
3.3 Fallos (de ellos) • Rastros de marcas o familias antiguas (emails, leaks, dominios, logs, etc) • Redes sociales • IoCs • Sobre todos las Ips a CCs • Entrevistas • Comunicaciones internas (https://github.com/TheParma k/conti-leaks-englished) 5/8/2023 www.quantika14.com 26
4. Vice Society Zeppelin ransomware se ofrece como Ransomware-as-a-Service (RaaS) en varios foros de ciberdelincuencia de habla rusa (XSS, BHF, DarkMarket, IFUD). 08/05/2023 www.quantika14.com 27 ¿Podemos analizar usando OSINT en Internet si es el gobierno Ruso los que están detrás de Vice Society?
4.1 RAMAS DE VICE SOCIETY “Vice Society is a threat group active since at least early June 2021, known for deploying multiple ransomware strains on their victims' networks, such as Hello Kitty/Five Hands and Zeppelin ransomware.” ---- “Vice Society es un grupo de amenazas activo desde al menos principios de junio de 2021, conocido por implementar múltiples cepas de ransomware en las redes de sus víctimas, como Hello Kitty/Five Hands y Zeppelin ransomware.” https://www.bleepingcomputer.com/news/security/microsoft-vice-society-targets- schools-with-multiple-ransomware-families/ “On October 21, the FBI notified OAG that it had seized an account belonging to HelloKitty, a Ukrainian hacking group, which contained OAG patient and employee files,” the Oregon Anesthesiology Group said in a breach disclosure on December 6. The FBI believes HelloKitty exploited a vulnerability in our third- party firewall, enabling the hackers to gain entry to the network,” it added. While the HelloKitty ransomware, also known as FiveHands, has been active since January 2021, details about the gang’s possible location had not been previously shared or disclosed. No mentions about their possible location were included in a CISA alert, an FBI IC3 alert, nor in reports from multiple security firms such as NCC Group, Cado Security, Malwarebytes, Palo Alto Networks, SentinelOne, and Mandiant. With Ukrainian police successfully detaining members of the REvil, Clop, and LockerGoga gangs, along with others, over the past six months, it is now a real possibility that this slip-up from OAG might have tipped off HelloKitty’s Ukrainian operators to the need to move to a new jurisdiction.” --- “Con la policía ucraniana deteniendo con éxito a miembros de las pandillas REvil, Clop y LockerGoga, junto con otros, en los últimos seis meses, ahora existe una posibilidad real de que este desliz de OAG podría haber alertado a los operadores ucranianos de HelloKitty sobre la necesidad de trasladarse a una nueva jurisdicción.” https://therecord.media/the-fbi-believes-the-hellokitty-ransomware-gang-operates- out-of-ukraine www.quantika14.com 28
4.2 Analizamos el logo 08/05/2023 www.quantika14.com 29
4.3 Analizamos sus víctimas 08/05/2023 www.quantika14.com 30
4.4 IoCs Fuente: https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/6690-ccn-cert- id-09-22-vice-society-neshta-1/file.html 5/8/2023 www.quantika14.com 31
5/8/2023 www.quantika14.com 32
¿VICE SOCIETY = ZEPPELIN? ¿Analizamos las notas? 3 3 5/8/2023 www.quantika14.com
08/05/2023 www.quantika14.com 34
08/05/2023 www.quantika14.com 35
4.5 Entrevistas 08/05/2023 www.quantika14.com 36 Sergiu Gatlan Lawrence Abrams Bill Toulas Fuente: https://www.bleepingcomputer.com/tag/vice-society/
5/8/2023 www.quantika14.com 37
08/05/2023 www.quantika14.com 38 https://github.com/MauroEldritch/vicesociety
4.6 Análisis del código 5/8/2023 www.quantika14.com 39
Zeppelin code 5/8/2023 www.quantika14.com 40
5. Conclusiones 1. VICE SOCIETY tiene un logotipo imitando a Vice City. Otros nombres que han usado también lo mencionan: Vice Spider 2. Encontramos documentos de CISA pero no lo relacionan al grupo con Rusia 3. En Hispasec hablan de que el origen es malware VEGA y este es el antecesor de Zeppelin 4. En un medio que ha entrevistado e investigado al grupo, mencionan que tienen dos ramas: Zeppelin y HelloKitty/FiveHands 5. BlackBerry en un informe expone partes del código donde se puede ver que Zeppelin filtra por países y no actúa en Rusia, Ucrania, Bielorrusia y Kazakstan 6. El FBI tiene una intrusión por HelloKitty y el FBI los ubica en Ucrania 7. Encontramos muchos parecidos en las notas entre Zeppelin y Vice Society 8. Aunque se identifican expresiones norte americanas, es muy posible que el grupo esté compuesto por personas que estén o sean de diferentes países 9. Inicialmente no existe ninguna prueba que indiquen que trabajen regularmente para el gobierno ruso 08/05/2023 www.quantika14.com 41
08/05/2023 www.quantika14.com 42 ¡GRACIAS!

Recomendados

Protocolo para cadena de custodia
Protocolo para cadena de custodiaProtocolo para cadena de custodia
Protocolo para cadena de custodiaPoli Aranda
 
Balistica interior el calibre
Balistica interior el calibreBalistica interior el calibre
Balistica interior el calibreagustin rojas
 
Antiguedad de documentos y tintas
Antiguedad de documentos y tintas Antiguedad de documentos y tintas
Antiguedad de documentos y tintas MCarmen Calderón Berrocal
 
Manual Nissan Aprio
Manual Nissan AprioManual Nissan Aprio
Manual Nissan AprioJuan Antonio Cruz Fonseca
 
Criminalistica. topicos 1
Criminalistica. topicos 1 Criminalistica. topicos 1
Criminalistica. topicos 1 guest7364a6
 
2. INDICIOS EN GENERAL
2. INDICIOS EN GENERAL2. INDICIOS EN GENERAL
2. INDICIOS EN GENERALLuis Oblitas
 
BALISTICA - FORENSE.pdf
BALISTICA - FORENSE.pdfBALISTICA - FORENSE.pdf
BALISTICA - FORENSE.pdfTEAMA6
 
Balística exterior interior
Balística exterior interiorBalística exterior interior
Balística exterior interiorDario Perez
 

Recomendados

Protocolo para cadena de custodia
Protocolo para cadena de custodiaProtocolo para cadena de custodia
Protocolo para cadena de custodiaPoli Aranda
 
Balistica interior el calibre
Balistica interior el calibreBalistica interior el calibre
Balistica interior el calibreagustin rojas
 
Antiguedad de documentos y tintas
Antiguedad de documentos y tintas Antiguedad de documentos y tintas
Antiguedad de documentos y tintas MCarmen Calderón Berrocal
 
Manual Nissan Aprio
Manual Nissan AprioManual Nissan Aprio
Manual Nissan AprioJuan Antonio Cruz Fonseca
 
Criminalistica. topicos 1
Criminalistica. topicos 1 Criminalistica. topicos 1
Criminalistica. topicos 1 guest7364a6
 
2. INDICIOS EN GENERAL
2. INDICIOS EN GENERAL2. INDICIOS EN GENERAL
2. INDICIOS EN GENERALLuis Oblitas
 
BALISTICA - FORENSE.pdf
BALISTICA - FORENSE.pdfBALISTICA - FORENSE.pdf
BALISTICA - FORENSE.pdfTEAMA6
 
Balística exterior interior
Balística exterior interiorBalística exterior interior
Balística exterior interiorDario Perez
 
Entomología Forense y cadena de custodia
Entomología Forense y cadena de custodiaEntomología Forense y cadena de custodia
Entomología Forense y cadena de custodiaentomol_putre
 
II Unidad Armas de Fuego-19-10-2013
II Unidad Armas de Fuego-19-10-2013II Unidad Armas de Fuego-19-10-2013
II Unidad Armas de Fuego-19-10-2013Angel Oswaldo Romero Hinojoza
 
Libro forense
Libro forenseLibro forense
Libro forenseKar Morales
 
AGENTE ENCUBIERTO.pdf
AGENTE ENCUBIERTO.pdfAGENTE ENCUBIERTO.pdf
AGENTE ENCUBIERTO.pdfSebastianCantor5
 
La criminalistica3_IAFJSR
La criminalistica3_IAFJSRLa criminalistica3_IAFJSR
La criminalistica3_IAFJSRMauri Rojas
 
Ley Federal de Armas de Fuego y Explosivos.
Ley Federal de Armas de Fuego y Explosivos.Ley Federal de Armas de Fuego y Explosivos.
Ley Federal de Armas de Fuego y Explosivos.Indira Castañeda
 
Balistica forense armas
Balistica forense armasBalistica forense armas
Balistica forense armasagustin rojas
 
05 los cartuchos-a
05 los cartuchos-a05 los cartuchos-a
05 los cartuchos-a3diths
 
Balistica forense armas
Balistica forense armasBalistica forense armas
Balistica forense armasagustin rojas
 
La anatomía patológica forense
La anatomía patológica forenseLa anatomía patológica forense
La anatomía patológica forenseabogedgarsanchez
 
Pistola PIETRO BERETTA_2010.ppt
Pistola PIETRO BERETTA_2010.pptPistola PIETRO BERETTA_2010.ppt
Pistola PIETRO BERETTA_2010.pptLvkazzVillalba
 
Balistica interior
Balistica interiorBalistica interior
Balistica interioragustin rojas
 
Entomología forense
Entomología forenseEntomología forense
Entomología forensecriminalistica
 
TRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdf
TRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdfTRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdf
TRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdfLionelCogno1
 
Cat Sig Sauer
Cat Sig SauerCat Sig Sauer
Cat Sig Sauerguest8daf776
 
Tabela de ruptura correia
Tabela de ruptura correiaTabela de ruptura correia
Tabela de ruptura correiaCarlos Viegas Silva
 
Nota periodistica ongs farc
Nota periodistica ongs farcNota periodistica ongs farc
Nota periodistica ongs farcAlejandro Lozano
 
Balistica Exterior
Balistica ExteriorBalistica Exterior
Balistica ExteriorEmanuel Torres
 
Armamento Revolver
Armamento RevolverArmamento Revolver
Armamento Revolveraghconsultoria
 
Balistica interna (iugna)
Balistica interna (iugna)Balistica interna (iugna)
Balistica interna (iugna)Marcelo Abarza
 
Buscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesBuscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesQuantiKa14
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 

Más contenido relacionado

La actualidad más candente

Entomología Forense y cadena de custodia
Entomología Forense y cadena de custodiaEntomología Forense y cadena de custodia
Entomología Forense y cadena de custodiaentomol_putre
 
La criminalistica3_IAFJSR
La criminalistica3_IAFJSRLa criminalistica3_IAFJSR
La criminalistica3_IAFJSRMauri Rojas
 
Ley Federal de Armas de Fuego y Explosivos.
Ley Federal de Armas de Fuego y Explosivos.Ley Federal de Armas de Fuego y Explosivos.
Ley Federal de Armas de Fuego y Explosivos.Indira Castañeda
 
Balistica forense armas
Balistica forense armasBalistica forense armas
Balistica forense armasagustin rojas
 
05 los cartuchos-a
05 los cartuchos-a05 los cartuchos-a
05 los cartuchos-a3diths
 
Balistica forense armas
Balistica forense armasBalistica forense armas
Balistica forense armasagustin rojas
 
La anatomía patológica forense
La anatomía patológica forenseLa anatomía patológica forense
La anatomía patológica forenseabogedgarsanchez
 
Pistola PIETRO BERETTA_2010.ppt
Pistola PIETRO BERETTA_2010.pptPistola PIETRO BERETTA_2010.ppt
Pistola PIETRO BERETTA_2010.pptLvkazzVillalba
 
TRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdf
TRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdfTRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdf
TRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdfLionelCogno1
 
Nota periodistica ongs farc
Nota periodistica ongs farcNota periodistica ongs farc
Nota periodistica ongs farcAlejandro Lozano
 
Balistica interna (iugna)
Balistica interna (iugna)Balistica interna (iugna)
Balistica interna (iugna)Marcelo Abarza
 

La actualidad más candente (20)

Entomología Forense y cadena de custodia
Entomología Forense y cadena de custodiaEntomología Forense y cadena de custodia
Entomología Forense y cadena de custodia
 
II Unidad Armas de Fuego-19-10-2013
II Unidad Armas de Fuego-19-10-2013II Unidad Armas de Fuego-19-10-2013
II Unidad Armas de Fuego-19-10-2013
 
Libro forense
Libro forenseLibro forense
Libro forense
 
AGENTE ENCUBIERTO.pdf
AGENTE ENCUBIERTO.pdfAGENTE ENCUBIERTO.pdf
AGENTE ENCUBIERTO.pdf
 
La criminalistica3_IAFJSR
La criminalistica3_IAFJSRLa criminalistica3_IAFJSR
La criminalistica3_IAFJSR
 
Ley Federal de Armas de Fuego y Explosivos.
Ley Federal de Armas de Fuego y Explosivos.Ley Federal de Armas de Fuego y Explosivos.
Ley Federal de Armas de Fuego y Explosivos.
 
Balistica forense armas
Balistica forense armasBalistica forense armas
Balistica forense armas
 
05 los cartuchos-a
05 los cartuchos-a05 los cartuchos-a
05 los cartuchos-a
 
Balistica forense armas
Balistica forense armasBalistica forense armas
Balistica forense armas
 
La anatomía patológica forense
La anatomía patológica forenseLa anatomía patológica forense
La anatomía patológica forense
 
Pistola PIETRO BERETTA_2010.ppt
Pistola PIETRO BERETTA_2010.pptPistola PIETRO BERETTA_2010.ppt
Pistola PIETRO BERETTA_2010.ppt
 
Balistica interior
Balistica interiorBalistica interior
Balistica interior
 
Entomología forense
Entomología forenseEntomología forense
Entomología forense
 
TRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdf
TRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdfTRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdf
TRATADO DE BALÍSTICA--CARLOS A. GUZMAN-EDITORIAL ByF.pdf
 
Cat Sig Sauer
Cat Sig SauerCat Sig Sauer
Cat Sig Sauer
 
Tabela de ruptura correia
Tabela de ruptura correiaTabela de ruptura correia
Tabela de ruptura correia
 
Nota periodistica ongs farc
Nota periodistica ongs farcNota periodistica ongs farc
Nota periodistica ongs farc
 
Balistica Exterior
Balistica ExteriorBalistica Exterior
Balistica Exterior
 
Armamento Revolver
Armamento RevolverArmamento Revolver
Armamento Revolver
 
Balistica interna (iugna)
Balistica interna (iugna)Balistica interna (iugna)
Balistica interna (iugna)
 

Similar a OSINT para identificar grupos de ransomware

Buscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesBuscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesQuantiKa14
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 
Anonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionAnonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionQuantiKa14
 
Privacidad seguridad red
Privacidad seguridad redPrivacidad seguridad red
Privacidad seguridad redPedro Cuesta
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
bitcoin-miner dogecoin minería https://oko.sh/1EvM3
bitcoin-miner dogecoin minería https://oko.sh/1EvM3bitcoin-miner dogecoin minería https://oko.sh/1EvM3
bitcoin-miner dogecoin minería https://oko.sh/1EvM3Jkerrangel
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINTQuantiKa14
 
La ciberextorsión, una industria en crecimiento by @ElevenPaths
La ciberextorsión, una industria en crecimiento by @ElevenPaths La ciberextorsión, una industria en crecimiento by @ElevenPaths
La ciberextorsión, una industria en crecimiento by @ElevenPaths eraser Juan José Calderón
 
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaPrácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaQuantiKa14
 
OSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSOSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSQuantiKa14
 
Técnicas activas de Caza Detectando y destruyendo a los Botnet
Técnicas activas de Caza Detectando y destruyendo a los BotnetTécnicas activas de Caza Detectando y destruyendo a los Botnet
Técnicas activas de Caza Detectando y destruyendo a los Botnetjohandry Espin
 
Por qué es necesario mantener las aplicaciones diana
Por qué es necesario mantener las aplicaciones dianaPor qué es necesario mantener las aplicaciones diana
Por qué es necesario mantener las aplicaciones dianaadnara
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Derecho Informatico - Mila Aldana
Derecho Informatico - Mila AldanaDerecho Informatico - Mila Aldana
Derecho Informatico - Mila AldanaMila
 

Similar a OSINT para identificar grupos de ransomware (20)

Buscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gatesBuscando personas desaparecidas con osint y dante's gates
Buscando personas desaparecidas con osint y dante's gates
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 
Anonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal versionAnonimato en Internet y Dante's Gates minimal version
Anonimato en Internet y Dante's Gates minimal version
 
Seguridad en la red
Seguridad en la red Seguridad en la red
Seguridad en la red
 
Privacidad seguridad red
Privacidad seguridad redPrivacidad seguridad red
Privacidad seguridad red
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)
 
bitcoin-miner dogecoin minería https://oko.sh/1EvM3
bitcoin-miner dogecoin minería https://oko.sh/1EvM3bitcoin-miner dogecoin minería https://oko.sh/1EvM3
bitcoin-miner dogecoin minería https://oko.sh/1EvM3
 
All in one OSINT
All in one OSINTAll in one OSINT
All in one OSINT
 
La pornografia
La pornografiaLa pornografia
La pornografia
 
La ciberextorsión, una industria en crecimiento by @ElevenPaths
La ciberextorsión, una industria en crecimiento by @ElevenPaths La ciberextorsión, una industria en crecimiento by @ElevenPaths
La ciberextorsión, una industria en crecimiento by @ElevenPaths
 
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informáticaPrácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
Prácticas en Quantika14 - Fería de Prácticas en empresas en la ETSI informática
 
Mundo Digital
Mundo DigitalMundo Digital
Mundo Digital
 
OSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁSOSINT OSANT... CADA DÍA TE QUIERO MÁS
OSINT OSANT... CADA DÍA TE QUIERO MÁS
 
Técnicas activas de Caza Detectando y destruyendo a los Botnet
Técnicas activas de Caza Detectando y destruyendo a los BotnetTécnicas activas de Caza Detectando y destruyendo a los Botnet
Técnicas activas de Caza Detectando y destruyendo a los Botnet
 
Por qué es necesario mantener las aplicaciones diana
Por qué es necesario mantener las aplicaciones dianaPor qué es necesario mantener las aplicaciones diana
Por qué es necesario mantener las aplicaciones diana
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Riesgos en redes sociales
Riesgos en redes socialesRiesgos en redes sociales
Riesgos en redes sociales
 
Tu identidad en internet - c0r0nac0n
Tu identidad en internet - c0r0nac0nTu identidad en internet - c0r0nac0n
Tu identidad en internet - c0r0nac0n
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Derecho Informatico - Mila Aldana
Derecho Informatico - Mila AldanaDerecho Informatico - Mila Aldana
Derecho Informatico - Mila Aldana
 

Último

Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfLUZMARIAAYALALOPEZ
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjNachisRamos
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 

Último (7)

Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 

OSINT para identificar grupos de ransomware

  • 1. JORGE CORONADO PARA HACER BIEN EL AMOR CON UN RAMSOMWARE HAY QUE IR AL SU
  • 2. Sobre el autor Sígueme: @jorgewebsec https://www.linkedin.com/in/jorge-coronado-quantika14/ • CEO de QuantiKa14 • Director de ciberinteligencia • Profesor de cosas • Vocal de APTAN • Coordinador de la secretaría de investigación de criptomonedas y hacking en AIVC • Creador de Dante’s Gates, Guasap Forensic, Twiana, etc (https://github.com/Quantika14/) 5/8/2023 - CONforense www.quantika14.com 2
  • 3. ¿Qué vamos a ver? 5/8/2023 www.quantika14.com 3
  • 4. Índice 08/05/2023 www.quantika14.com 4 •¿En qué puede ayudar OSINT para identificar el grupo que está detrás de un ataque de ramsonware? •Ataques destacados en 2022 •Cyber Kill Chain •IoCs •Atención a la víctima •Tipos de víctimas •Familias y grupos •¿Cómo podemos estar actualizados? •Plataformas •Propio •NINT •Fallos que cometen •¿Podemos demostrar si detrás del grupo Vice Society está el gobierno ruso? 0. ¿Es OSINT Google Hacking?
  • 5. 5
  • 6.
  • 7.
  • 8.
  • 9. OSINT es como una Cruzcampo. Debes saber dónde, cuándo y cómo beberla.
  • 10. ¿En qué puede ayudar una investigación OSINT contra el ransomware? Forensic + OSINT 5/8/2023 www.quantika14.com 10
  • 11. 2022 • Costa Rica paralizada por el grupo Conti • LAPSUS$ ataca a Nvidea, Ubisoft, Samsung y Microsft. Son detenidos y en septiembre vuelven a atacar a Uber y Rockstar Game • Guerra de Ucrania y Rusia • Conti apoya a Rusia y publican los chats (ContiLeaks) • CSIC y otras grandes entidades españolas atacadas 5/8/2023 www.quantika14.com 11
  • 12. 1.1 Conceptos.: Cyber Kill Chain • La cadena de asesinato cibernético (CKC) es una forma de exponer las etapas que realizan los ataques informáticos con el objetivo de saber qué medidas implementar a nivel de ciberseguridad. • Podemos decir que CKC es un modelo que está compuesto por diferentes Técnicas, Tácticas y Procedimientos (TTPs). 5/8/2023 www.quantika14.com 12
  • 13. 1.1 Fases 08/05/2023 www.quantika14.com 13 1. Acceso inicial 2. Ejecución 3. Persistencia 4. Impacto
  • 14. 1.2 Indicadores de compromiso (IOCs) IPs de CCs • Urls • Wallets • TOX Nota URLs • Netscan • Mimikatz • etc Aplicaciones Emails y adjuntos Extensiones Ficheros que crea Claves de registros 08/05/2023 www.quantika14.com 14 https://twitter.com/darktracer_int/status/1503260139507580928/photo/1
  • 15. 1.3 Atención a la víctima (cliente) • TOX: es un protocolo p2p de mensajería instantánea y videollamadas con cifrado de extremo a extremo • EMAIL: protonmail, onion, etc • Login + contact form 5/8/2023 www.quantika14.com 15
  • 16. 1.4 Sus víctimas • Tipos de víctimas • La ubicación de las víctimas 5/8/2023 www.quantika14.com 16
  • 17. 1.5. Familias y grupos 08/05/2023 www.quantika14.com 17 Fuente: https://media.kasperskycontenthub.com/wp- content/uploads/sites/43/2022/06/23093553/Common-TTPs-of- the-modern-ransomware_low-res.pdf
  • 19. 2. Monitorización • https://github.com/fastfire/dee pdarkCTI/blob/main/ransomw are_gang.md • https://ransomwatch.telemetry. ltd/#/INDEX • https://www.ransomlook.io/ • https://raw.githubusercontent.c om/fastfire/deepdarkCTI/main/ ransomware_gang.md • https://twitter.com/Ransomwar eNews 5/8/2023 www.quantika14.com 19
  • 20. 2.1 Crear tu propio data set • https://github.com/Quantika14/osint-suite-tools 08/05/2023 www.quantika14.com 20
  • 21. 2.2 Analizamos con Dante’s Gates • /buscar • /buscaremail • /buscarusername • /buscarip • /analizardominio https://quantika14.com/dantes-gates- all-in-one-osint-telegram-bot/ 5/8/2023 www.quantika14.com 21
  • 22. 3.1 ¿Qué es NINT? • Es una disciplina de inteligencia a través de la prensa online y escrita. • A través de diferentes metodologías se obtiene, analiza y se evalua la información de la prensa con un objetivo concreto 08/05/2023 www.quantika14.com 22
  • 23. BlueLay – Prensa Española https://github.com/xakepnz/BLUE LAY https://quantika14.com/dgminimal version/ 08/05/2023 www.quantika14.com 23
  • 24. 3.2 Hunchly: diario y registro • Es una aplicación perfecta para la obtención y análisis que hagamos con nuestra navegación por Chrome. • Necesitamos instalar TOR2WEB 5/8/2023 www.quantika14.com 24
  • 25. 3.2 Análisis de Telegram • JupyterLab • Tableu • Graphext • Comando /buscar de Dante’s Gates • Podéis descarga gratis el studio sobre “Antivacunas en Telegram”: • https://quantika14.com/estudios- de-investigacion 5/8/2023 www.quantika14.com 25
  • 26. 3.3 Fallos (de ellos) • Rastros de marcas o familias antiguas (emails, leaks, dominios, logs, etc) • Redes sociales • IoCs • Sobre todos las Ips a CCs • Entrevistas • Comunicaciones internas (https://github.com/TheParma k/conti-leaks-englished) 5/8/2023 www.quantika14.com 26
  • 27. 4. Vice Society Zeppelin ransomware se ofrece como Ransomware-as-a-Service (RaaS) en varios foros de ciberdelincuencia de habla rusa (XSS, BHF, DarkMarket, IFUD). 08/05/2023 www.quantika14.com 27 ¿Podemos analizar usando OSINT en Internet si es el gobierno Ruso los que están detrás de Vice Society?
  • 28. 4.1 RAMAS DE VICE SOCIETY “Vice Society is a threat group active since at least early June 2021, known for deploying multiple ransomware strains on their victims' networks, such as Hello Kitty/Five Hands and Zeppelin ransomware.” ---- “Vice Society es un grupo de amenazas activo desde al menos principios de junio de 2021, conocido por implementar múltiples cepas de ransomware en las redes de sus víctimas, como Hello Kitty/Five Hands y Zeppelin ransomware.” https://www.bleepingcomputer.com/news/security/microsoft-vice-society-targets- schools-with-multiple-ransomware-families/ “On October 21, the FBI notified OAG that it had seized an account belonging to HelloKitty, a Ukrainian hacking group, which contained OAG patient and employee files,” the Oregon Anesthesiology Group said in a breach disclosure on December 6. The FBI believes HelloKitty exploited a vulnerability in our third- party firewall, enabling the hackers to gain entry to the network,” it added. While the HelloKitty ransomware, also known as FiveHands, has been active since January 2021, details about the gang’s possible location had not been previously shared or disclosed. No mentions about their possible location were included in a CISA alert, an FBI IC3 alert, nor in reports from multiple security firms such as NCC Group, Cado Security, Malwarebytes, Palo Alto Networks, SentinelOne, and Mandiant. With Ukrainian police successfully detaining members of the REvil, Clop, and LockerGoga gangs, along with others, over the past six months, it is now a real possibility that this slip-up from OAG might have tipped off HelloKitty’s Ukrainian operators to the need to move to a new jurisdiction.” --- “Con la policía ucraniana deteniendo con éxito a miembros de las pandillas REvil, Clop y LockerGoga, junto con otros, en los últimos seis meses, ahora existe una posibilidad real de que este desliz de OAG podría haber alertado a los operadores ucranianos de HelloKitty sobre la necesidad de trasladarse a una nueva jurisdicción.” https://therecord.media/the-fbi-believes-the-hellokitty-ransomware-gang-operates- out-of-ukraine www.quantika14.com 28
  • 29. 4.2 Analizamos el logo 08/05/2023 www.quantika14.com 29
  • 30. 4.3 Analizamos sus víctimas 08/05/2023 www.quantika14.com 30
  • 33. ¿VICE SOCIETY = ZEPPELIN? ¿Analizamos las notas? 3 3 5/8/2023 www.quantika14.com
  • 36. 4.5 Entrevistas 08/05/2023 www.quantika14.com 36 Sergiu Gatlan Lawrence Abrams Bill Toulas Fuente: https://www.bleepingcomputer.com/tag/vice-society/
  • 39. 4.6 Análisis del código 5/8/2023 www.quantika14.com 39
  • 41. 5. Conclusiones 1. VICE SOCIETY tiene un logotipo imitando a Vice City. Otros nombres que han usado también lo mencionan: Vice Spider 2. Encontramos documentos de CISA pero no lo relacionan al grupo con Rusia 3. En Hispasec hablan de que el origen es malware VEGA y este es el antecesor de Zeppelin 4. En un medio que ha entrevistado e investigado al grupo, mencionan que tienen dos ramas: Zeppelin y HelloKitty/FiveHands 5. BlackBerry en un informe expone partes del código donde se puede ver que Zeppelin filtra por países y no actúa en Rusia, Ucrania, Bielorrusia y Kazakstan 6. El FBI tiene una intrusión por HelloKitty y el FBI los ubica en Ucrania 7. Encontramos muchos parecidos en las notas entre Zeppelin y Vice Society 8. Aunque se identifican expresiones norte americanas, es muy posible que el grupo esté compuesto por personas que estén o sean de diferentes países 9. Inicialmente no existe ninguna prueba que indiquen que trabajen regularmente para el gobierno ruso 08/05/2023 www.quantika14.com 41