INFORME SOBRE EL ACTOR DE AMENAZAS: INJECTIONINFERNO

2024-01-31 | Edwin Dacaret # INFORME SOBRE EL ACTOR DE AMENAZAS: INJECTIONINFERNO ### Resumen Ejecutivo Injectioninferno es un actor de amenazas especializado en la venta de bases de datos supuestamente comprometidas de diversas organizaciones en América Latina y en el mundo, incluyendo países como México, Brasil, Chile y Colombia. Representa un bajo potencial de amenaza considerando lo que se detallará en el análisis técnico. Sin embargo, se considera necesario incluir al actor de amenazas en el monitoreo de actividades criminales relacionadas con el comercio ilegal de datos, buscando averiguar rápidamente la veracidad de los datos en caso de que el nombre de la compañía se vea involucrado en una de sus publicaciones. ### Análisis Técnico #### Menciones Asociadas con el Actor de Amenazas Según algunas fuentes aisladas, Injectioninferno es un actor de amenazas que ha ganado notoriedad en foros de la dark web desde mayo de 2024, creando un canal de Telegram el 8 de mayo y realizando su primera publicación el 10 de mayo, donde compartió información sobre 12 bases de datos filtradas de México. Anunciando posteriormente, el 20 de mayo, la venta de bases de datos de empresas en varios países de América Latina. Como resultado de las investigaciones hechas, se encontraron fechas de publicaciones desde octubre de 2024 hasta el 27 de enero en su canal de Telegram y desde junio de 2024 hasta el 23 de enero de 2025 en sus publicaciones en BreachForums. Por otro lado, las búsquedas realizadas no resultaron en hallazgos de su presencia en la red TOR por medio de canales "oficiales" de su autoría, ni tampoco en publicaciones en foros de ventas de datos exfiltrados bajo su nombre. Esto indica que su enfoque es comercializar directamente con otros cibercriminales por medio de Telegram, donde publica parte de los datos que comercializa en un canal abierto y mantiene un usuario para contacto; y en qTox (aplicación de mensajería instantánea cifrada sin servidores intermediarios). Estos fueron publicados en su perfil de usuario en el foro cibercriminal BreachForums para la comercialización de datos en la surface web. <div style="page-break-after: always;"></div> #### Dominios Posiblemente Impactados por el Actor de Amenazas De las compañías verificadas involucradas en sus publicaciones, ninguna ha admitido públicamente haber tenido incidentes de exfiltración de datos en fechas cercanas a las publicaciones relacionadas con este actor de amenazas. Además, todas tienen históricos relativamente recientes de haber sufrido exfiltraciones de datos y algunas declararon públicamente alrededor de esas fechas haber sido comprometidas. Telefónica ha confirmado una violación de seguridad en su sistema interno de gestión de tickets el 10 de enero, luego de que un actor de amenazas publicara datos exfiltrados de la compañía el día 9 de enero. ![](https://i.imgur.com/3R8c4FB.png) ![](https://i.imgur.com/HMZa5JM.png) El actor de amenazas publicó una muestra de los datos obtenidos, que incluyen información sobre solicitudes internas de soporte técnico, credenciales e información confidencial de la empresa. La filtración parece estar relacionada con el acceso no autorizado al sistema de gestión de tickets de Telefónica, que se utiliza para registrar y gestionar incidentes técnicos y solicitudes internas. Los datos expuestos incluyen: detalles de incidentes internos reportados, credenciales de empleados en formato cifrado e información técnica sobre la infraestructura de la empresa. Por otro lado, después de las publicaciones de Injectioninferno ofreciendo datos de Movistar (Telefónica) Perú el 25 de enero en su canal de Telegram y el 18 de enero en BreachForums, la compañía no se ha manifestado. La comparación de las muestras de los datos en ambos casos indica que no tienen el mismo tipo de contenido. Un indicativo de la posible precariedad o antigüedad de los datos ofrecidos por el actor. ![](https://i.imgur.com/nbqiWUD.png) ![](https://i.imgur.com/9dmc94f.png) Además, se observa en el reporte de inteligencia de amenazas de CloudSEK Information Security para el año 2024 que el grupo también anunció datos de Movistar Perú el 26 de octubre de 2024. Otro potencial indicio de que el actor de amenazas reutiliza datos antiguos o falsos. ![](https://i.imgur.com/DEYbt8M.png) En su lista en BreachForums se encontraron 87 publicaciones ofertando bases de datos de distintas compañías u organizaciones a nivel mundial, incluyendo: - Pylc México - Sicredi Bank - Movistar Argentina - Claro Argentina - Entel Perú - BBVA Bank México - FGTS Database Brazil - Enel Brazil - Paginasblancas .com.ar - Cofide Perú Bank - Citibank Perú <div style="page-break-after: always;"></div> #### Perfil del Actor Queda claro que este actor de amenazas no busca extorsionar directamente a las compañías afectadas, lo que podría indicar que no tiene infraestructura o conocimiento para infiltrarse y negociar directamente con los afectados. Se dedica exclusivamente a revender bases de datos exfiltradas por otros ciberdelincuentes, falsas o adulteradas, eventualmente buscando estafar a otros ciberdelincuentes menos experimentados. ![](https://i.imgur.com/GShm5fO.png) El gráfico de arriba resalta los actores de amenazas más activos que han estado vendiendo y publicando bases de datos y accesos no autorizados de diversas entidades en América Latina en 2024. No existen informes de pesquisadores especializados indicando tácticas, técnicas y procedimientos (TTPs) observados en las actividades de Injectioninferno, como suele ocurrir con actores de amenazas que tienen proporciones expresivas de compromisos a grandes empresas en un período relativamente corto de tiempo como el de las publicaciones de Injectioninferno. Un análisis más profundo es necesario para validar y perfilar la presencia y actividad de Injectioninferno en la dark web y la calidad/veracidad de los datos que ofrece. #### Herramientas utilizadas - Tails OS - Gnome Boxes - Obsidian - TOR Network - TOR Browser <div style="page-break-after: always;"></div> ### Recomendaciones Para mitigar la amenaza que representa Injectioninferno, se sugieren las siguientes acciones: - Monitoreo de la dark web y canales de comunicación con servicios de inteligencia para detectar menciones de la organización y posibles filtraciones de datos. <div style="page-break-after: always;"></div> #### Fuentes - https://google.com - https://www.cloudsek.com/blog/guarding-the-green-and-yellow-cyber-threats-and-insights-for-brazils-independence-day - https://www.instagram.com/p/DFJGaavSXVN/?img_index=2 - https://www.cloudsek.com/blog/navigating-the-cyber-threat-landscape-a-comprehensive-report-on-recent-attacks-and-vulnerabilities-in-mexico#Injectioninferno - https://www.securesoftcorp.com/documents/4885040/4888657/Reporte+Quincenal+de+Ciberinteligencia+2024+-+Junio+01_30.pdf/d59412da-5a0c-5b2a-037b-515468fd9fe8?t=1721428139754 - https://app.embluemail.com/OnlineV2/VON.aspx?data=W0Z0naIWPpboUtIJneTrrNeiodIctoTe2yC8D0YPGboBIpTxHBrO9b92up42R%2FFDJYP%2BNWxMjDPM2H2sxuq2OJMMRDEqWIrF7Jq7c6sq6qAKAarpzLkQ%2FlLbZ18f%2FGEH!-!jN52o0OrLm51lQCHL766NirvlVWikw2uecEG9Yt9wpO6nNOiDE1RCw3sRm6wVmOp - https://www.lavanguardia.com/andro4all/tecnologia/un-total-de-23-gb-de-datos-de-telefonica-han-quedado-expuestos-debido-a-una-filtracion-masiva - https://www.bleepingcomputer.com/news/security/telefonica-confirms-internal-ticketing-system-breach-after-data-leak/ - https://cybersecuritynews.es/movistar-es-victima-de-un-ciberataque-que-expone-datos-de-clientes/ - https://doingfedtime.com/63-000-users-data-exposed-in-pylc-mexico-insurance-breach/ - https://x.com/DailyDarkWeb/status/1770118031093756103 - https://x.com/H4ckManac/status/1769955385002152322 - https://breachforums.st/User-injectioninferno - https://breachforums.st/Thread-Telef%C3%B3nica-Database-Leaked-Download - https://breachforums.st/Thread-DATABASE-Movistar-Argentina-database-Leaked-Download--159743 - https://breachforums.st/Thread-SELLING-MOVISTAR-PERU-DATABASE-12-2024 - https://breachforums.st/search.php?action=results&sid=d0fd5cb67eab4a674ee24a0fb600f2eb&sortby=dateline&order=desc&uid=0 - https://t.me/leadsandleaks2 - http://juhanurmihxlp77nkq76byazcldy2hlmovfu2epvl5ankdibsot4csyd.onion - http://xmh57jrknzkhv6y3ls3ubitzfqnkrwxhopf5aygthi7d6rplyvk3noyd.onion/cgi-bin/omega/omega - http://tordexu73joywapk2txdr54jed4imqledpcvcuf75qsas2gwdgksvnyd.onion - http://search7tdrcvri22rieiwgi5g46qnwsesvnubqav2xakhezv4hjzkkad.onion - https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion - http://3bbad7fauom4d6sgppalyqddsqbf5u5p56b5k5uk2zxsy3d6ey2jobad.onion