Los hackers detrás del malware Gootkit olvidaron proteger su base de datos con una contraseña
Algunas personas tienen problemas para entender cuánto daño puede causar una operación de cibercrimen. Catalin Cimpanu de ZDNet y Bob Diachenko de SecurityDiscovery.com pasaron algún tiempo mirando de cerca un malware que roba información con el nombre de Gootkit, y sus hallazgos con suerte lo ayudarán a obtener una comprensión más precisa de cuán grande es la escala.
Cimpanu dijo que, en comparación con otros troyanos como Emotet y TrickBot , la operación de Gootkit es "ni mucho menos" tan grande. Sin embargo, un par de párrafos después, dijo que la operación relativamente pequeña recientemente ha resultado en el robo de al menos 15 mil tarjetas de crédito. Diachenko tenía algunas cifras aún más aterradoras que demuestran que incluso los nombres más pequeños en la industria son capaces de causar mucho daño. Pero, ¿cómo se les ocurrieron estas estadísticas a Cimpanu y Diachenko?
Table of Contents
Incluso los hackers no pueden proteger sus bases de datos a veces
Aquellos de ustedes que estén activamente interesados en la seguridad de la información probablemente hayan escuchado el nombre Bob Diachenko en el pasado. Es un investigador de seguridad que ha ayudado con el descubrimiento de docenas de incidentes en los que gigabytes sobre gigabytes de datos confidenciales se dejaron en bases de datos mal configuradas y se expusieron a Internet. En la mayoría de los casos, Diachenko intenta ponerse en contacto con los propietarios de los servidores con fugas y ayudar a proteger la información. Comprensiblemente, cuando encontró datos robados por los operadores de Gootkit, no tuvo demasiada prisa para informarles de su error. En cambio, llamó a Catalin Cimpanu y pidió ayuda con el análisis de la fuga.
El troyano estaba enviando todos los datos que estaba robando a una base de datos MongoDB que era fácilmente detectable con la ayuda de los motores de búsqueda IoT. No está claro si la exposición ocurrió debido a una configuración incorrecta del firewall o porque los piratas informáticos se habían olvidado de proteger con contraseña su servidor, pero el hecho era que los datos eran accesibles para cualquiera que supiera dónde buscar. Como ya mencionamos, también hubo bastante.
Gootkit roba y luego filtra información extremadamente confidencial
Gootkit comenzó su vida en 2014 como un humilde troyano bancario. Después de la infección, controlaría el comportamiento de navegación de la víctima y cobraría vida cuando el usuario intente acceder a su sitio web de banca en línea. Gradualmente, sin embargo, Gootkit evolucionó y el enfoque cambió de las credenciales bancarias a un alcance de información mucho más amplio.
En este momento, puede filtrar todo, desde cookies e historiales de navegación hasta correos electrónicos, credenciales del sistema operativo y contraseñas para cada cuenta imaginable. Gootkit también toma capturas de pantalla regulares, y registra cada bit de información que los usuarios ingresan en los formularios en línea, que es cómo logró robar todos esos detalles de la tarjeta de crédito.
El investigador dice que además de las 15 mil tarjetas de crédito, las bases de datos también contenían cerca de 2.2 millones de contraseñas, más de 750 mil nombres de usuario y más de 1.4 millones de cuentas de correo electrónico. No está mal para una operación de malware a pequeña escala, pero desafortunadamente, los datos filtrados no terminaron allí. Según el informe de ZDNet, también había credenciales almacenadas para cosas como agencias gubernamentales búlgaras e intercambios de criptomonedas que podrían conducir a la exposición de información aún más sensible.
Los hackers se apresuraron a asegurar la base de datos
El brote de servidores mal configurados que filtran datos ahora se está convirtiendo en una epidemia. Las organizaciones legítimas dejan bases de datos desprotegidas a diario, y está claro que los cibercriminales tampoco son inmunes a hacerlo. Cuando las empresas reales están involucradas, ponerse en contacto con las personas responsables y ayudarlas a reparar la fuga a menudo es más difícil de lo que parece. Por el contrario, los operadores de Gootkit parecen estar mucho más dispuestos a reaccionar.
El 10 de julio, solo cinco días después de que Diachenko vio por primera vez la base de datos con fugas, los piratas informáticos la eliminaron. No está claro si actuaron porque vieron que Diachenko y Cimpanu estaban mirando los datos. Tampoco tenemos idea si alguien más ha logrado ver la información. Lo que sí sabemos es que antes de que la base de datos se cerrara, Diachenko logró compartir los datos con la policía. Con suerte, ayudará a la policía a llegar a la pandilla Gootkit.
