ENTEL Weekly Threat Intelligence Brief

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

• El grupo operador del Ransomware Blackbyte agrega 2 de nuevas víctimas LATAM a su lista.
   
• El día lunes 16 de mayo de 2022, LockBit Ransomware publicó en su sitio de leaks 5 víctimas de procedencia LATAM, dentro de las que destaca una conocida tienda de piezas automotrices chilena.
   
• El gobierno de US acusó a un ciudadano venezolano de hacking y de ser el creador del builder de Thanos y Jigsaw Ransomware.
   
• El Infostealer Vidar se distribuye con Backdoor y abusando de Telegram, a través de descargas de Windows 11.
   
• Lazarus APT es evidenciado explotando Log4Shell en servidores VMware Horizon vulnerables.
   
• Campaña de espionaje distribuyó el malware njRAT en organizaciones de Colombia.
   
• Conti ransomware cierra operaciones y cambia su nombre a unidades más pequeñas.
   
• Cadena mundial de suministro de alimentos en riesgo por explotación de vulnerabilidades en maquinaria agrícola.

El grupo operador del Ransomware Blackbyte agrega nuevas víctimas a su lista.

Durante el fin de semana, se evidenció la actualización del sitio de leaks perteneciente al nuevo brazo de operación de Conti, BlackByte, en el que se observa la presencia de víctimas de países de LATAM.

Conti ransomware cierra operaciones y cambia su estrategia a unidades más pequeñas.

El 19 de mayo de 2022, se cerró el panel de administración del sitio web oficial del grupo de ransomware Conti, Conti News .  El sitio del servicio de negociaciones también estaba inactivo, mientras que el resto de la infraestructura: desde las salas de chat hasta los mensajeros, y desde los servidores hasta los hosts proxy, estaban pasando por un reinicio masivo.

Nueva familia de ransomware identificada: LokiLocker RaaS apunta a sistemas Windows.

El equipo de Threat Intelligence de BlackBerry, identificó una nueva familia de Ransomware-as-a-Service (Raas) y rastreó una muestra hasta su probable lanzamiento en etapa beta. Esta amenaza parece tener algunos trucos sutiles bajo la manga, entre ellos una posible táctica de "bandera falsa" que señala con el dedo a los actores de amenazas iraníes.

LockBit Ransomware reactiva operaciones en LATAM.
El grupo publicó en su sitio de leaks 5 víctimas de procedencia LATAM, dentro de las que destaca una conocida tienda de piezas automotrices chilena, con presencia a nivel nacional.

Ciudadano venezolano acusado de hacking y de ser el creador del builder de Thanos y Jigsaw Ransomware.

El gobierno de los Estados Unidos acusó el martes 17 de mayo a un ciudadano  venezolano, de piratería y hacking, además de ser el responsable intelectual y material de la creación de los ransomware Thanos y Jigsaw.

Unidad asiática del gigante de los medios de comunicación Nikkei sufre ataque de ransomware.

Posterior a los ataques en donde se comprometió a Costa Rica, el Gobierno de Estados Unidos anunció este viernes 06 de mayo, que ofrece una recompensa de hasta 10 millones de dólares para quien ofrezca información que permita identificar o ubicar a los integrantes del grupo, responsable de ejecutar un ciberataque a instituciones públicas de pertenecientes al país Centroamericano.

AvosLocker se adjudica robo de datos de entidad de atención médica.

El grupo AvosLocker se atribuyó la responsabilidad del ataque con ransomware a Christus Health, entidad que afirmó que el incidente no tuvo efectos adversos en la atención a pacientes.

Ciberataque desplegando ransomware lanzado desde Lituania provoca “apagón informático” en la Asociación Navarra de Informática Municipal.

El ataque habría tenido lugar el día miércoles 18 de mayo, donde el grupo detrás del ransomware Hive, habría vulnerado los sistemas de ANIMSA, implantando una puerta trasera por medio de Cobalt Strike.

Universidad de EE. UU. cierra definitivamente después de un ataque de ransomware.

La universidad Lincoln College informó al Departamento de Educación Superior y la Comisión de Aprendizaje Superior de Illinois que cerrará permanentemente a contar de mayo de 2022. Este es el primer colegio o universidad de EE. UU. en cerrar debido a un ataque de ransomware.

Dispositivos QNAP nuevamente atacados por el ransomware DeadBolt.

El fabricante de NAS con sede en Taiwán, QNAP, advirtió a los clientes el jueves 19 de mayo que protejan sus dispositivos contra los ataques del ransomware DeadBolt.

La empresa pidió a los usuarios que actualicen sus dispositivos NAS a la última versión del software y se aseguren de que no estén expuestos al acceso remoto a través de Internet.

COBALT MIRAGE lanza ataques de ransomware contra organizaciones estadounidenses.

Inmediatamente después de la campaña de phishing lanzada por el grupo APT34 que difunde una nueva puerta trasera llamada “Saitama” , otro colectivo APT vinculado a Irán aparece realizando ataques de ransomware contra empresas estadounidenses, con fines de espionaje y beneficio financiero, cuya actividad involucra con frecuencia operaciones con ransomware.

Grupo APT “Space Pirates” es evidenciado en campañas de espionaje contra entidades aeroespaciales.

El grupo vinculado con el gobierno popular de China, inició su actividad a finales de 2017, cuyos principales objetivos son el espionaje y el robo de información confidencial. Entre las víctimas identificadas se encuentran agencias gubernamentales y departamentos de TI, así como empresas aeroespaciales y de energía en Rusia, Georgia y Mongolia. 

Detectada nueva campaña de espionaje contra Ucrania por parte de Gamaredon.

Durante la semana pasada, el CERT-UA recibió información respecto a una campaña de phishing que estaba siendo desplegada contra funcionarios del gobierno de Ucrania, con el fin de instalar la herramienta GammaLoad.PS1_v2 y efectuar captura de datos en el equipo de la víctima.

Descubierta campaña de espionaje industrial llevada a cabo por APT41.

Una operación llevada a cabo desde al menos 2010 con el objetivo de obtener datos confidenciales, como detalles de patentes y productos, código fuente, planos tecnológicos e instrucciones de fabricación en tiempo real, fué descubierta por un grupo de investigadores israelíes a principios de mayo de 2022, cuya evidencia apunta al grupo APT41, patrocinado por el gobierno de China.

Lazarus Group es evidenciado explotando activamente Log4Shell.

Se ha observado que Lazarus Group, respaldado por Corea del Norte, aprovecha la vulnerabilidad Log4Shell en los servidores VMware Horizon para desplegar el backdoor NukeSped (también conocido como Manuscrypt) contra objetivos ubicados en su contraparte del sur.

APT41 es evidenciado utilizando el Backdoor “BPFdoor” para desplegar operaciones de espionaje.

Investigadores recientes de incidentes relacionados a comportamiento anómalo en redes, indicarían el uso del Backdoor BPFdoor y que este sería desplegado por el actor de amenazas chino para operaciones de espionaje contra países objetivo.

Campaña de malware AveMariaRAT / BitRAT / PandoraHVNC con nuevas técnicas de evasión.

Durante la semana pasada, se evidenció una nueva campaña de malware dirigida principalmente a países de Europa, en la que se pudo apreciar que diferentes variantes de RAT hacen uso de ejecución sobre procesos legítimos del sistema.

Microsoft advierte aumento del malware XorDdos dirigido a dispositivos Linux.

Un malware botnet dirigido a Linux conocido como XorDdos ha tenido un aumento del 254 % en la actividad durante los últimos seis meses, según las últimas investigaciones de Microsoft. Se sabe que el troyano, llamado así por llevar a cabo ataques de denegación de servicio en sistemas Linux y su uso de cifrado basado en XOR para las comunicaciones con su servidor de comando y control (C2), ha estado activo desde al menos 2014.

Se detectan ataques con Powershell RAT contra civiles en Alemania.

Una campaña de distribución del Powershell RAT ha sido evidenciada en actividades contra civiles en Alemania, utilizando como señuelo la actual situación en Ucrania. El RAT es descargado desde un sitio falso que “provee información de último minuto” acerca del estado del conflicto entre Rusia y Ucrania.

Detectado paquete PyPI malicioso que instala backdoor en Windows, Linux y Mac.

Se ha detectado un paquete malicioso de Python en el registro de PyPI que realiza ataques a la cadena de suministro para descargar e instalar puertas traseras de Cobalt Strike en sistemas Windows, Linux y macOS. Los actores de amenazas cargaron un paquete malicioso llamado 'pymafka' en PyPI, cuyo nombre es muy similar a PyKafka, un cliente Apache Kafka ampliamente utilizado que cuenta con más de cuatro millones de descargas en el registro PyPI.

Campaña de distribución de Snake Keylogger utiliza PDF Smuggling 

Analistas de amenazas han descubierto una campaña de distribución de malware reciente que utiliza archivos adjuntos en PDF para “suplantar” documentos de Word maliciosos que infectan a los usuarios con malware. 

En un nuevo informe de  HP Wolf Security , los investigadores ilustran cómo los archivos PDF se utilizan como medio de transporte para documentos con macros maliciosas que descargan e instalan malware para robar información en las máquinas de las víctimas.

Campaña de espionaje contra organizaciones de Colombia distribuyendo njRAT.
Investigadores del laboratorio ESET Latinoamérica analizaron una campaña de espionaje dirigida principalmente a Colombia que tuvo una actividad importante hasta fines de marzo de 2022, donde se evidenció la distribución del malware njRAT.

De igual forma, esta campaña fué evidenciada en otros países de LATAM, por lo que no se descarta que existan otras víctimas afectadas por esta operación .

Infostealer Vidar se distribuye como descarga del SO Windows 11.

Se detectaron dominios fraudulentos que se hacen pasar por el portal de descargas de Windows 11 de Microsoft, los que intentan engañar a los usuarios para que implementen archivos de instalación con troyanos para infectar los sistemas con el malware de robo de información Vidar.

Los sitios falsificados se crearon para distribuir archivos ISO maliciosos que conducen a una infección con Vidar en la etapa final. Estas variantes del malware Vidar obtienen la configuración C2 de los canales de redes sociales controlados por atacantes alojados en Telegram y Mastodon.

Actores maliciosos usan nueva técnica para explotar servidores MS SQL.

Durante la pasada semana el equipo de investigación de Microsoft ha descubierto un nuevo método para ganar acceso y persistencia en servidores MS SQL, observados en una campaña de ataques llevada a cabo durante el mes de abril, a través del uso de Fileless Malware.

Cadena mundial de suministro de alimentos en riesgo por explotación de vulnerabilidades en maquinaria agrícola.

Un informe reciente de la Universidad de Cambridge indica que los rociadores automáticos de cultivos, los drones y las cosechadoras robóticas podrían volverse objetivo de explotación, aprovechando las fallas en el hardware agrícola utilizado para plantar y cosechar cultivos.

El gigante de la fabricación agrícola John Deere dice que ahora está trabajando para corregir cualquier punto débil en su software.

Vulnerabilidad en Apache que afecta a productos F5

F5 ha publicado un nuevo aviso de seguridad que contempla 1 vulnerabilidad,  la cual es clasificada como severidad Alta. Se ven afectados productos como: BIG-IP, BIG-IQ Centralized Management, F5OS-A, F5OS-C y Traffix SDC.

NOTA: No existen actualizaciones de seguridad que solucione esta falla de seguridad.

Nueva vulnerabilidad en VMware Tanzu

VmWare ha publicado un nuevo aviso de seguridad  que afecta a Spring Security. Esta vulnerabilidad está clasificada como Seguridad Media, aun sigue en estudio por lo tanto no existe una puntuación definida según la CVSS v3.1

Nuevas vulnerabilidades en VMware

VMWare ha publicado un nuevo aviso de seguridad que incluye 2 vulnerabilidades. Una es clasificada como Severidad Crítica y la otra como Severidad Alta.

Existen parches disponibles para remediar estas vulnerabilidades en los productos de VMWare afectados.

Avisos de seguridad que afectan a productos Cisco

Cisco ha publicado 5 nuevos avisos de seguridad. Dentro de ellos, encontramos 15 vulnerabilidades, todas ellas clasificadas como Severidad Media (CVSS 3.1: 6.1 a 4.8)

Vulnerabilidad en servidor web Apache

Recientemente se publicó una vulnerabilidad Crítica (CVE-2022-26612 [CVSS 3.1: 9.8] ) que afecta al servidor web Apache.

Este servidor es uno de los más populares, y se estima que es ejecutado en un 46% de los sitios web en el mundo. Es un software gratuito y de código abierto para plataformas: Unix, Microsoft, Windows, Macintosh y otras.

Vulnerabilidad crítica en ZoneAlarm de Check Point

La vulnerabilidad publicada el 12 de mayo del 2022 ha sido encontrada en Check Point ZoneAlarm (Firewall Software). Una función desconocida del componente Upgrade Handler es afectada por esta falla.

A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios durante el proceso de actualización.

El ataque puede ser realizado a través de la red y requiere una autentificación.

Siemens se ve afectado por múltiples vulnerabilidades

El conglomerado de empresas alemanas con sedes en Berlín y Múnich, Siemens, ha publicado un aviso de seguridad que contempla múltiples vulnerabilidades de servidor web en dispositivos Desigo PXC y DXR.

Este aviso de seguridad contiene 7 vulnerabilidades, 1 de ellas clasificada como crítica, 1 Alta y 5 clasificadas con severidad Media.

Investigadores descubren Backdoor en complemento “School Management Pro” de WordPress.

Múltiples versiones de un complemento de WordPress con el nombre de "School Management Pro" albergaban una puerta trasera que podía otorgar a un adversario control total sobre sitios web vulnerables.

Al problema, detectado en versiones premium anteriores a la 9.9.7, se le ha asignado el identificador CVE CVE-2022-1609 y tiene una calificación de 10 sobre 10 en cuanto a gravedad.

Vulnerabilidades críticas en el complemento Jupiter de WordPress.

Investigadores han revelado un conjunto de vulnerabilidades en los plugins Jupiter Theme y JupiterX Core para WordPress. Una de las vulnerabilidades reveladas es una falla crítica de escalada de privilegios que permite a los atacantes apoderarse de los sitios web comprometidos.

La vulnerabilidad, rastreada como CVE-2022-1654 con un puntaje CVSS de 9.9 (crítico), permite que cualquier usuario autenticado o atacante obtenga privilegios administrativos utilizando los complementos expuestos .

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente, en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, durante la semana del 23 al 29 de mayo de 2022:

• No hay

• Tecnología y Telecomunicaciones
• Retail y servicios de consumo
• Gobierno
• Petróleo
• Defensa y orden público
• Transportes y servicios automotrices
• Industrias manufactureras, materiales y minería
• Banca y Finanzas
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura y pesca

• Servicios empresariales y comercio
• Energía
• Agua
• Educación
• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Gas

• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Entretenimiento, cultura y arte
• Turismo, hoteles y restaurantes

Campaña espionaje Colombia y presencia en LATAM