#MeFiltraron


🔍 MeFiltraron es una instancia de Tero, nuestro Motor de Búsqueda de Filtraciones y Enciclopedia de Ciberincidentes.

👤 Cualquier persona puede consultar y verificar si sus datos fueron filtrados ingresando su dirección de correo.

⛔ Tero no conoce ni almacena correos o contraseñas filtradas, ni guarda las búsquedas realizadas .

🏠 Inicio 🌎 Países 🏴‍☠️ Incidentes 🥷🏻 Actores 💉 Malware 🍪 Cookies 👁️ Privacidad ❓ FAQ 🗞️ Prensa 👥 Nosotros


Entrevistas


Índice


ViceSociety

2022, Mauro Eldritch ()

 "Amamos lo que hacemos, y no lo hacemos sólo por el dinero"

Vice Society es un grupo de ransomware que emergió a mediados de 2021 y ya cuenta con víctimas en más de una docena de países, incluyendo: Estados Unidos, Reino Unido, Arabia Saudita, Italia, Francia, Alemania, España, y hasta Argentina, donde atacaron nada más ni nada menos que al Senado. Por este último caso es que decidí entrevistarlos brevemente. Mi interlocutor es Thomas, líder de ViceSociety.


¿Cómo te decidiste a formar un grupo de ransomware? ¿Cómo nació Vice Society?

Por un grupo de amigos que estaban interesados en pentesting. Decidimos probar suerte.


Argentina se caracteriza por ser una víctima fácil y también por ser un mal pagador (Caso REvil, Everest). ¿Por qué los eligieron? ¿Fue a propósito?

[Encriptar] al gobierno de cualquier país es un logro y además, siempre tienen documentos interesantes. Tardamos 6 horas para obtener acceso a cada pieza de infraestructura crítica y alrededor de 6 horas más para atacar. Seguro te acordarás que su página web estuvo caída más de 1 semana a mediados de enero.


¿Argentina intentó negociar o contactarlos? Si es así, ¿hicieron una oferta?

Hablamos con algunas organizaciones de Argentina en otras circunstancias pero no recordamos si pagaron.


Su lista de víctimas es bastante variada, pero esta es la segunda vez que listan una organización latinoamericana. ¿Cómo fue su experiencia? ¿Las organizaciones de LATAM suelen pagar o simplemente asumen la pérdida?

No es la segunda :), es la segunda que no pagó. Y sí, algunos de ellos pagan.


¿Qué planes futuros tiene Vice Society? ¿Planean continuar operando contra infraestructura argentina o latinoamericana en general?

¡Seguro! ¿Por qué no? Amamos lo que hacemos, y no lo hacemos solo por el dinero.


¿Qué es lo más especial de Vice Society? ¿Cuál fue su mejor momento o logro hasta ahora?

Los ataques contra Waikato y SPAR; y muchas otras empresas que pagaron (aunque no hablamos de los clientes que pagan).


Cuéntame un secreto, lo que quieras. No tiene que estar relacionado con Vice Society o con ciberseguridad.

No compartimos secretos =).



DarkVault

2024, Mauro Eldritch () | Emilse Garzón () | Juan Brodersen ()

 "Pagar el rescate es la mejor opción, esto es solo un negocio para nosotros"

DarkVault es un grupo cibercriminal emergente conocido por sus sofisticados ataques dirigidos a diversas organizaciones en todo el mundo, incluyendo Latinoamérica. Aunque relativamente nuevo en la escena, DarkVault ha ganado notoriedad por su profesionalismo, métodos innovadores y su distintiva estética de sitio web, similar a la del grupo Lockbit (incluso llegando a ser confundido con un “rebranding”). Al mando están criminaldo y Neroces, quienes nos concedieron la presente entrevista.


¿Cómo nació DarkVault? ¿Qué los llevó a la escena del ransomware?

Todos empezamos en la escena del ransomware hace más de 10 años. Solo recientemente DarkVault se convirtió en nuestra marca.


¿Cuáles son sus motivaciones? ¿Solo financieras, o hay algo más?

Queremos dinero, no nos importan la política u otros temas.


¿Qué es lo más especial de DarkVault? ¿Cuál es su momento/objetivo/logro del que más se enorgullecen hasta ahora?

Lo más especial es nuestra seguridad operativa (opsec) y nuestro logro más orgulloso es el pago de 10 millones de dólares de una empresa farmacéutica.


¿Qué le depara el futuro a DarkVault? ¿Planean expandir operaciones u ofrecer un programa de afiliados?

Siempre estamos buscando nuevas técnicas porque tenemos mucha competencia. Todavía no tenemos un programa de afiliados.


¿Hay algo que les gustaría decirle al resto de la escena, al público en general o a futuras víctimas?

Si los hackeamos, pagar el rescate es la mejor opción. Esto es solo un negocio para nosotros.


Por curiosidad, ¿por qué usan la estética del sitio web de Lockbit? ¿Su equipo trabajó con ellos en el pasado?

Trabajamos con miembros de Lockbit en el pasado, pero no somos Lockbit.


Contame un secreto, cualquier cosa que quieras. No tiene que estar relacionado con la seguridad o con DarkVault.

Cuando era chico tuve leucemia, pero sobreviví.




G0DHAND

2024, Mauro Eldritch () | Emilse Garzón () | Juan Brodersen () | Capybara Team ()

 "El Ransomware es una idea, y las ideas no se matan"

G0DHAND surgió a finales de 2023, destacándose rápidamente en la escena del cibercrimen con un enfoque en la extorsión de datos en lugar del Ransomware tradicional. Su notoriedad creció cuando filtraron información de 35 compañías uruguayas en un solo día. En esta entrevista hablo con Legarde, líder del grupo, para entender su metodología y cómo ven el futuro del Data Extortion.


¿Por qué G0DHAND, de dónde sale el nombre?

Por un animé. Nos preguntaron algunas veces si es por Maradona pero aunque sea el mejor del mundo no es por él.


¿Cómo nació G0DHAND? ¿Qué los trajo a esta escena?

Somos un grupo de amigos en línea que venimos de distintos proyectos de ransomware, algunos grandes como Lockbit o Blackcat y otros independientes.


¿Por qué Data Extortion y no Ransomware?

Hicimos Ransomware mucho tiempo, pero hay cada vez menos proyectos serios. No duermes tranquilo sabiendo que un día pueden huir con tu dinero o que la policía puede robarles sus servidores. Tampoco nos gusta la idea de alquilar proyectos desconocidos ni tenemos el tiempo de mantener uno propio. El Data Extortion exige menos esfuerzo, casi no deja evidencia y nos permite estar más tiempo ocultos en los sistemas de las víctimas. Trabajamos a nuestro propio paso, les compramos a los más pequeños y les vendemos a los más grandes.


¿Qué pueden contar del paso del ransom al data extortion de algunos grupos?

No somos los únicos en hacer este cambio. Muchos estamos decepcionados con las peleas que montaron algunos proyectos contra agencias y con otros que simplemente huyeron con el dinero de afiliados honestos que trabajan duro día a día, los jugadores más grandes perdieron la confianza. Empezamos a mirar con más atención a proyectos como Everest y descubrimos una oportunidad en la compra y venta de accesos y datos.


¿Cómo ven el threat landscape del Ransomware luego de lo que pasó con grupos grandes como Lockbit?

Después de años en el negocio estoy confiado de poder decir que el Ransomware no va a acabarse, cuando las compañías dicen que hay una caída es porque en realidad hay más pagos y menos víctimas son nombradas y avergonzadas públicamente. Algunos proyectos se venderán o confiscarán pero el Ransomware no se va a ir. El Ransomware es una idea y las ideas no se matan.


¿Por qué razón se separaron Lockbit y Blackcat?

Si te refieres a ellos nunca estuvieron juntos. Fue una discusión en XSS sobre una posible alianza pero nunca se concretó. Si te refieres a nosotros, lee mis primeras respuestas de nuevo.


¿Tienen preferencia por algún tipo de targets?

Acordamos tener como blanco principal Latinoamérica. La seguridad no existe y hay mucho dinero en pocas manos.


¿Cuál fue el lugar al que más fácil accedieron y quisieran que las personas lo sepan?

Diría que el ataque a NODUM fue el mejor y el que nos hizo famosos. Comprometimos unas 100 compañías en ese ataque solamente. Regalamos la información de unas 30 hasta que recibimos una muy buena oferta por el resto.


¿Alguna vez accedieron a información comprometedora que no se animaran a "capturar"?

No. La transparencia es parte de nuestra firma, si hiciéramos eso no seríamos justos a nuestros principios.


Sus primeras víctimas eran uruguayas, ¿por qué?

Son las primeras víctimas que no pagaron y por eso las publicamos. Nuestras primeras víctimas fueron fábricas brasileñas, algunas de alimentos y otras de plásticos, pero pagaron y por eso nadie se enteró.


¿Tienen relación con ExPresidents, el grupo que ataca sólo a entidades uruguayas?

Hemos comprado material de ExPresidents que luego utilizamos para escalar a otros ataques, pero es algo que hacemos con decenas de otros grupos.


¿Hay algo que les gustaría decirle al resto de la escena, al público en general o a futuras víctimas?

Para las víctimas, sepan que ustedes tienen que evitarnos toda la vida y nosotros solo tenemos que atraparlos una vez.


Contame un secreto, cualquier cosa que quieras. No tiene que estar relacionado con la seguridad o con G0DHAND.

Un mago nunca revela sus secretos.




PraPra123

2024, Samu ()

 "El país en el que expuse más datos, diría que es Argentina."

PraPra123 es un nuevo Actor de Amenazas conocido por filtrar información sensible de varios países, con un enfoque notable en Argentina. Recientemente, reveló 82,000 credenciales de AFIP, junto con numerosos documentos de seguros y credenciales de varias instituciones gubernamentales. Esta actividad lo posiciona como un jugador importante en el panorama de la ciberseguridad, con una inclinación por atacar sectores gubernamentales y financieros, especialmente en Argentina. A fines de Marzo de 2024 PraPra123 fue detenido por los Mossos d'Esquadra.


¿Cómo te definís vos? ¿Sos un hacktivista?

Bueno, algunas cosas que hago pueden estar relacionadas con el hacktivismo, pero otras las hago más por ego personal y para ver hasta dónde puedo llegar.


¿Tenías alguna cuenta en versiones anteriores del foro, o sos nuevo?

No, me uní al foro en octubre de 2023, obviamente conozco a Pom pero no estaba activo en ese entonces.


¿Cuál es la vulnerabilidad más común que encuentras en sitios web? Considerando que refutaste a un usuario que mencionó que usabas credential stuffing

Bueno, no puedo decirte exactamente cómo accedo a los datos de los sitios, porque cada sitio web es totalmente diferente del otro. Por lo general, no utilizo exploits para obtener acceso, suelo investigar por mi cuenta para ver qué parámetros puedo cambiar para acceder a algo, aunque a veces también uso Stealers para obtener datos de inicio de sesión, pero en el caso de las compañías de seguros eso no ha sido así, literalmente es imposible obtener todos esos archivos con simples Stealers. Me gustaría que el usuario que dijo que accedí a esos datos con credential stuffing me muestre cómo se obtienen miles de archivos de varias compañías de seguros de esa manera, y que lo haga, veamos si es verdad que lo consigue de esa manera, apuesto a que no obtiene ni siquiera el 10% de los datos que obtuve yo


¿En qué países expusiste más datos? ¿Elegís al azar o hay una razón detrás de tus acciones en países como España, Perú, o nuestro territorio, entre otros? Sabemos que Argentina es conocida por ser un blanco fácil y también por no pagar bien.

El país en el que expuse más datos, diría que es Argentina. No por algo personal, sino porque es donde hay más filtraciones de seguridad. Supongo que la razón debe ser que aquellos encargados de la ciberseguridad en las empresas no deben ser bien remunerados.


¿Cuál es tu técnica favorita?

Bueno, diría que Stealers, como Raccoon y Redline. También me gusta usar RATs en el caso de Android.


¿Qué crees sobre la opinión general acerca de los hackers, o incluso aquellos que ni siquiera se llaman así pero tienen el conocimiento para acceder a sitios gubernamentales, fuerzas de seguridad, etc.? Hace unas semanas mencionaste que expondrías a todos los usuarios del Colegio Público de Abogados de la Provincia de Buenos Aires si no corregían sus errores de seguridad. Y así lo hiciste.

Supongo que la gente no tiene una imagen muy buena de los hackers, aunque actualmente cuando filtro datos de un sitio web veo que la mayoría de las personas están en contra de la empresa debido a su baja seguridad y no están en contra de mí.


¿Qué mensaje tenés para los gobiernos y empresas privadas como la Policía de Córdoba, Galeno Seguros, Libra Seguro, Mi Argentina y la AFIP? ¿Alguien del gobierno se ha contactado contigo? ¿al menos preguntaron por tus servicios?

El mensaje que tengo es poner a trabajar a jóvenes en el área de ciberseguridad, no a personas de 50 años que tienen conocimientos obsoletos. Al hacer eso, créeme, la seguridad en todos los países mejorará mucho. Hasta ahora, solo expertos en ciberseguridad, criminólogos y también muchos periodistas de España han hablado conmigo, pero según tengo entendido, nadie del gobierno se ha puesto en contacto conmigo.


¿Qué consejo le darías a alguien interesado en estudiar para convertirse en Técnico o Ingeniero en IT? ¿Podrías compartir tu experiencia y motivación para que alguien adquiera tus habilidades en este campo y te lea por primera vez? ¿Qué ves en tu futuro? ¿Cuáles son tus planes?

El consejo que daría sería no centrarte en obtener un título, estudiar y practicar todo por tu cuenta. No soy un gran fanático de las universidades. Mi futuro hoy no está claro para mí, tengo muchos objetivos, pero también sé que tal vez algún día pueda ser atrapado y habrá consecuencias por todo lo que he hecho y eso me impedirá cumplir mis metas.


Por último, ¿podrías compartir un secreto con nosotros? No tiene que estar relacionado con la seguridad en absoluto.

Me encantaría contarte un secreto, pero honestamente no tengo ninguno.