¿Es Hotarus Corp un posible Insider? Investigación OSINT a la intrusión del Banco Pichincha

A principios de febrero de 2021 una cuenta de Twitter y una web (http://yurljrkrd3r36f32dnkgqahsod3vnlxhtk3fam3xrunw7zlioeumnlyd.onion/ ) publicaron información sobre una posible intrusión en el Banco Pichincha, Ecuador. De igual manera, el Ministerio de Finanzas.

Del Banco han obtenido dantos sobre las cuentas bancarias y parece que han vendido parte de los datos. En el caso del Ministerio han llegado a filtrar correos electrónicos, empleados, contratos y manifiestan que también información confidencial.

Todo indica que usaron un ransomware customizado de AwesomeWare o Ronggolawe. La aplicación está desarrollada en PHP y se subió seguramente desde una webshell.

Los ciberdelincuentes piden 30 millones de dólares en Bitcoins y amenazan con publicar parte si no pagan en menos de 12 días.

Para facilitar el entendimiento de los hechos, hemos creado una línea del tiempo con los sucesos que pensamos que son más interesantes:

Time line

Enero, 2021

Posibles robos en cuentas del Banco Pichincha

Varios usuarios manifiestan en Twitter haber sufrido un robo en sus cuentas

Feberero, 2021

No es posible saber con exactitud la fecha en la que se publica el primer Tweet de @CorpHotarus

Se expone la extorsión del ransomware
Los ciberdelincuentes piden 30 millones de dólares en Bitcoins

El Banco Pichincha hace un comunicado afirmando no haber recibido ninguna intrusión

10 Febrero, 2021

18 Febrero, 2021

El Banco Pichincha reconoce haber sufrido una intrusión, pero manifiesta que es debido a un fallo de un proveedor

Publican en Raidforum 6500 registros del Ministerios de Finanzas de Ecuador

23 Marzo, 2021

4 Marzo, 2021

Ponen en venta un supuesto malware para los cajeros automáticos del Banco Pichincha

Publica el usuario @HotarusCorp en RaidForum 2 post exponiendo un enlace .onion donde aparecen nuevas intrusiones

30 Julio, 2021

¿Cómo se hacen llamar?

Han usado diversos nombres: Hotarus Corp, Hotarus Group y Hotarus Team. Esta situación nos genera varias preguntas: ¿Cuál de ellos será el original? ¿Todos son las mismas personas? ¿Será un grupo o una persona?

Al pasar tanto tiempo, exponerse tanta información sobre la intrusión y estar todas las cuentas en Twitter suspendidas, muchos usuarios han decidido también informar o suplantar la identidad, intentando sacar un beneficio económico.

Entre los usuarios que más nos llaman la atención están @KusamaHC y el username CO2-Ryan-Ch4in.

Otro usuario interesante y del que vamos hablar en este artículo, es @TheInformant0r. Inicialmente debe ser el mismo usuario que @Kusamahc, pero con diferente nick.

The Informant0r

Actualmente es la identidad de la amenaza que nos proporciona más información. No obstante, existen indicios de que pueda ser un suplantador de los intrusos originales. Aunque su cuenta de Twitter actualmente se encuentra suspendida, en su página de Facebook podemos ver las publicaciones que, en gran medida, son capturas de pantallas de la cuenta Twitter: https://www.facebook.com/theinformant0r/

La realidad es que no empezó así. El investigador Germán Fernández lo demuestra con un Tweet publicado el 10 de febrero de 2021, exponiendo la noticia, y el propio Banco Pichincha hace un comunicado oficial. Sin embargo, ya varios usuarios comentaron en Twitter días antes que habían robado su dinero y podría ser el mismo hecho.

Un poco después de una semana, el Banco reconoce hacer sufrido una intrusión y publican lo siguiente: “Conocemos que hubo un acceso no autorizado a los sistemas de un proveedor que presta servicios de mercadeo del programa Pichincha Miles”.

¿Qué relación tiene @theinformat0r con HotarusCorp. En su momento verificamos que la cuenta con la que está registrado en Twitter es hotarusteam@protonmail.com

Usando Dante’s Gates Minimal Version y buscando el email y username llegamos hasta el siguiente enlace: https://raidforums.com/Thread-SELLING-106-342-002-millions-of-bank-records-Banco-Pichincha-Ecuador-and-11-million-records

En el post de Raidforums vende lo mismo que HotarusCorp: B. Pichincha, Diners Club Of Ecuador, Discover Card Of Ecuador y VISA Titanium OF Ecuador. Y por si es poco, enseña una prueba de su contenido aquí: https://ghostbin.com/paste/Fu1mn

Se puede ver que vende todo el contenido, 81 GB. ¿Será el intruso o fue el primer comprador que lo está revendiendo?

El perfil de HotarusCorp es siempre en Inglés y Español. Y, volviendo a la página de Facebook encontramos como habla en tercera persona, pero su Nick está relacionado con un email que es el mismo que vende los datos en RaidForum.

Otro dato interesante es la publicación de un vídeo en esa página de Facebook (https://fb.watch/73nyeltk9n/) donde se puede escuchar a una voz que lee un texto en Español. Al parecer no es la primera vez que lo hacen y respalda más nuestra hipótesis de que sean la misma persona. Ambas cuentas, KusamaHC y TheInformant0r, usaban esta misma técnica de comunicación con sus seguidores.

Por último, no sabemos si se le escapó. Rescatamos un Tweet donde el usuario @Theinformant0r sube una captura de pantalla con el hashtag #BancoPichincha demostrando que tiene acceso y aparece el nombre “Alex Patricio C.C”. No sabemos si esa persona es una víctima o es el propio intruso.

Usando Dante’s Gates Telegram Bot encontramos que existe una persona que se llama así, que es de Ecuador, y además, ex trabajador del Banco Pichincha. Es posible que el intruso usara sus credenciales para acceder. Hemos verificado que no aparece en los leaks de muestra. Sin embargo, el perfil y las relaciones pueden indicar indiciariamente que sea el atacante. No obstante, como hemos dicho muchas veces, el OSINT, en está línea de investigación, termina aquí.

Gráfico de relaciones

En el siguiente gráfico podemos encontrar un flujo de enlaces, emails, usernames hasta llegar a Alex P.C.C.

Espero que les haya gustado y esperamos sus comentarios.

Jorge Coronado

JorgeWebsec

10 años de experiencia en forense informático y OSINT. Apasionado de la ciberseguridad y programación en Python. Desde muy joven empecé a trabajar en el sector de la informática y terminé creando mi propia empresa, llamada QuantiKa14. Actualmente soy CTO del grupo Lazarus Technology y realizo diferentes labores y trabajos: DFIR, peritajes informáticos, desarrollo de aplicaciones y auditoría de seguridad.  También he realizado ponencias en congresos y eventos como PyConEs, OpenExpo, Hack&Beers, EastMadHack, Sec/Admin, etc. Y soy socio 116 y vocal de la Asociación de Peritos Tecnológicos de Andalucía (APTAN).

Mi lado divulgador no se queda únicamente en dar charlas, también he estado 4 años como colaborador en Canal Sur Radio y he escrito varios artículos de opinión e investigación en Internet que se han publicado en diversos medios (ElPlural, lamarea.com, etc).  Además he escrito más de 400 artículos en mi blog. Fundador de la comunidad con más actividad en Sevilla sobre ciberseguridad, Happy Hacking Sevilla y  co-organizador del congreso de inteligencia, ciberseguridad y OSINT, llamado OSINTCITY.

Director del curso de verano sobre ciberdelincuencia de género y profesor en el curso de detectives  en la Universidad Pablo de Olavide en el año de 2017 sobre investigación digital. También he impartido formación a cuerpos de seguridad a través de la Escuela Pública de Seguridad Pública de Andalucía (ESPA) y otros cursos.

Co-autor del primer protocolo institucional en España ante la violencia de género en las redes sociales en Andalucía y autor del protocolo de actuación para la búsqueda de personas desaparecidas a través de las TIC.

Y, sobre todo, de Triana.