¿Es Hotarus Corp un posible Insider? Investigación OSINT a la intrusión del Banco Pichincha

A principios de febrero de 2021 una cuenta de Twitter y una web (http://yurljrkrd3r36f32dnkgqahsod3vnlxhtk3fam3xrunw7zlioeumnlyd.onion/ ) publicaron información sobre una posible intrusión en el Banco Pichincha, Ecuador. De igual manera, el Ministerio de Finanzas.

Del Banco han obtenido dantos sobre las cuentas bancarias y parece que han vendido parte de los datos. En el caso del Ministerio han llegado a filtrar correos electrónicos, empleados, contratos y manifiestan que también información confidencial.

Todo indica que usaron un ransomware customizado de AwesomeWare o Ronggolawe. La aplicación está desarrollada en PHP y se subió seguramente desde una webshell.

Los ciberdelincuentes piden 30 millones de dólares en Bitcoins y amenazan con publicar parte si no pagan en menos de 12 días.

Para facilitar el entendimiento de los hechos, hemos creado una línea del tiempo con los sucesos que pensamos que son más interesantes:

Time line

Enero, 2021

Posibles robos en cuentas del Banco Pichincha

Varios usuarios manifiestan en Twitter haber sufrido un robo en sus cuentas

Feberero, 2021

No es posible saber con exactitud la fecha en la que se publica el primer Tweet de @CorpHotarus

Se expone la extorsión del ransomware
Los ciberdelincuentes piden 30 millones de dólares en Bitcoins

El Banco Pichincha hace un comunicado afirmando no haber recibido ninguna intrusión

10 Febrero, 2021

18 Febrero, 2021

El Banco Pichincha reconoce haber sufrido una intrusión, pero manifiesta que es debido a un fallo de un proveedor

Publican en Raidforum 6500 registros del Ministerios de Finanzas de Ecuador

23 Marzo, 2021

4 Marzo, 2021

Ponen en venta un supuesto malware para los cajeros automáticos del Banco Pichincha

Publica el usuario @HotarusCorp en RaidForum 2 post exponiendo un enlace .onion donde aparecen nuevas intrusiones

30 Julio, 2021

¿Cómo se hacen llamar?

Han usado diversos nombres: Hotarus Corp, Hotarus Group y Hotarus Team. Esta situación nos genera varias preguntas: ¿Cuál de ellos será el original? ¿Todos son las mismas personas? ¿Será un grupo o una persona?

Al pasar tanto tiempo, exponerse tanta información sobre la intrusión y estar todas las cuentas en Twitter suspendidas, muchos usuarios han decidido también informar o suplantar la identidad, intentando sacar un beneficio económico.

Entre los usuarios que más nos llaman la atención están @KusamaHC y el username CO2-Ryan-Ch4in.

Otro usuario interesante y del que vamos hablar en este artículo, es @TheInformant0r. Inicialmente debe ser el mismo usuario que @Kusamahc, pero con diferente nick.

The Informant0r

Actualmente es la identidad de la amenaza que nos proporciona más información. No obstante, existen indicios de que pueda ser un suplantador de los intrusos originales. Aunque su cuenta de Twitter actualmente se encuentra suspendida, en su página de Facebook podemos ver las publicaciones que, en gran medida, son capturas de pantallas de la cuenta Twitter: https://www.facebook.com/theinformant0r/

La realidad es que no empezó así. El investigador Germán Fernández lo demuestra con un Tweet publicado el 10 de febrero de 2021, exponiendo la noticia, y el propio Banco Pichincha hace un comunicado oficial. Sin embargo, ya varios usuarios comentaron en Twitter días antes que habían robado su dinero y podría ser el mismo hecho.

Un poco después de una semana, el Banco reconoce hacer sufrido una intrusión y publican lo siguiente: “Conocemos que hubo un acceso no autorizado a los sistemas de un proveedor que presta servicios de mercadeo del programa Pichincha Miles”.

¿Qué relación tiene @theinformat0r con HotarusCorp. En su momento verificamos que la cuenta con la que está registrado en Twitter es hotarusteam@protonmail.com

Usando Dante’s Gates Minimal Version y buscando el email y username llegamos hasta el siguiente enlace: https://raidforums.com/Thread-SELLING-106-342-002-millions-of-bank-records-Banco-Pichincha-Ecuador-and-11-million-records

En el post de Raidforums vende lo mismo que HotarusCorp: B. Pichincha, Diners Club Of Ecuador, Discover Card Of Ecuador y VISA Titanium OF Ecuador. Y por si es poco, enseña una prueba de su contenido aquí: https://ghostbin.com/paste/Fu1mn

Se puede ver que vende todo el contenido, 81 GB. ¿Será el intruso o fue el primer comprador que lo está revendiendo?

El perfil de HotarusCorp es siempre en Inglés y Español. Y, volviendo a la página de Facebook encontramos como habla en tercera persona, pero su Nick está relacionado con un email que es el mismo que vende los datos en RaidForum.

Otro dato interesante es la publicación de un vídeo en esa página de Facebook (https://fb.watch/73nyeltk9n/) donde se puede escuchar a una voz que lee un texto en Español. Al parecer no es la primera vez que lo hacen y respalda más nuestra hipótesis de que sean la misma persona. Ambas cuentas, KusamaHC y TheInformant0r, usaban esta misma técnica de comunicación con sus seguidores.

Por último, no sabemos si se le escapó. Rescatamos un Tweet donde el usuario @Theinformant0r sube una captura de pantalla con el hashtag #BancoPichincha demostrando que tiene acceso y aparece el nombre “Alex Patricio C.C”. No sabemos si esa persona es una víctima o es el propio intruso.

Usando Dante’s Gates Telegram Bot encontramos que existe una persona que se llama así, que es de Ecuador, y además, ex trabajador del Banco Pichincha. Es posible que el intruso usara sus credenciales para acceder. Hemos verificado que no aparece en los leaks de muestra. Sin embargo, el perfil y las relaciones pueden indicar indiciariamente que sea el atacante. No obstante, como hemos dicho muchas veces, el OSINT, en está línea de investigación, termina aquí.

Gráfico de relaciones

En el siguiente gráfico podemos encontrar un flujo de enlaces, emails, usernames hasta llegar a Alex P.C.C.

Espero que les haya gustado y esperamos sus comentarios.

Jorge Coronado