ENTEL Weekly Threat Intelligence Brief del 23 al 29 de mayo de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing.

• Nuevo grupo RansomHouse establece un mercado de extorsión y agrega las primeras víctimas.
• General Motors sufre un ataque cibernético que expone la información personal de los propietarios de automóviles.
• Nueva variante del generador de ransomware Chaos "Yashma" descubierta en la naturaleza.
• Grupo APT desconocido ha atacado a Rusia repetidamente desde la invasión de Ucrania.
• Nueva variante de Nokoyawa Ransomware actualiza sus técnicas de ataque.
• Campaña de distribución de GuLoader es descubierta a través del envío de órdenes de compra falsificadas en Arabia Saudita.
• Twisted Panda: APT chino apunta a organizaciones rusas.

Nuevo grupo RansomHouse establece un mercado de extorsión y agrega sus primeras víctimas

Otra operación de cibercrimen de extorsión de datos apareció en la red oscura llamada ‘RansomHouse’, donde los actores de amenazas publican evidencia de archivos robados y filtran datos de organizaciones que se niegan a pagar un rescate.

La nueva operación afirma no usar ningún ransomware y, en cambio, se enfoca en violar las redes a través de supuestas vulnerabilidades para robar los datos de un objetivo.

Nueva variante del generador de ransomware Chaos descubierta en la naturaleza

La nueva variante Yashma es una ligera mejora con respecto a las capacidades y la lista de funciones de la última iteración del ransomware Chaos en su versión 5.0.

Yashma puede ofuscarse a sí mismo, confiando en una herramienta de ofuscación compilada usando .NET y llamada Confuser 1.9.0. para hacer que la restauración y recuperación de archivos sea más problemática, Yashma también puede eliminar los servicios de copia de seguridad de la víctima.

Nueva variante de Nokoyawa Ransomware actualiza sus técnicas de ataque

En marzo de 2022, se encontró evidencia de que otro ransomware relativamente desconocido conocido como Nokoyawa probablemente esté relacionado con Hive, ya que las dos familias comparten algunas similitudes sorprendentes en su cadena de ataque, desde las herramientas utilizadas hasta el orden en que ejecutan varios pasos. Actualmente, la mayoría de los objetivos de Nokoyawa se encuentran en América del Sur, principalmente en Argentina.

Nuevo “GoodWill” Ransomware exige que las personas ayuden a los más vulnerables

El nuevo 'Ransomware con causa' ha sido detectado en Nueva Delhi, India. La extorsión de este malware exige que las personas donen ropa a las personas sin hogar, proporcionen alimentos a los niños en pizzerías de marca y ofrezcan asistencia financiera a quienes necesitan atención médica urgente.

Everest Ransomware se adjudica compromiso a reconocidas empresas automotrices

El día 26 de mayo, el portal de leaks del grupo de ransomware Everest publicó una actualización de sus operaciones recientes, donde anunció haber comprometido a Ferrari, Lamborghini y Fiat, entre otras, indicando poseer documentación y acceso a proyectos relacionados a nuevas tecnologías destinadas a la confección de nuevos modelos automotrices.

Nuevo ransomware “Cheerscrypt” basado en Linux, apunta a dispositivos ESXi

Recientemente se observaron múltiples detecciones de ransomware basadas en Linux que los actores maliciosos lanzaron para atacar servidores VMware ESXi , un hipervisor básico para crear y ejecutar varias máquinas virtuales (VM) que comparten el mismo almacenamiento en el disco duro. 

Mencionado como “Cheerscrypt”, es una nueva familia de ransomware que ha estado apuntando al servidor ESXi de un cliente utilizado para administrar archivos de VMware.

El estado de Carintia en Austria detiene la emisión de pasaportes por ataque de ransomware

El grupo de hackers detrás de Black Cat está exigiendo $5 millones en Bitcoin al estado austriaco de Carintia a cambio de software de descifrado y datos confidenciales a los que afirma haber accedido luego de un ataque de ransomware que resultó en una falla masiva de TI de los servicios gubernamentales el martes 24 de mayo.

Ransomware Magniber se ha actualizado nuevamente apuntando a Windows 11

A fines de abril de este año, el ransomware Magniber se disfrazó como un paquete de parches de actualización de Windows 10 y se propagó ampliamente. Recientemente, investigadores de 360 Security Center detectaron un nuevo ataque al sistema Windows 11, y desde el 25 de mayo, su volumen de ataques ha aumentado significativamente, actualizando también los nombres de sus principales paquetes de difusión.

El grupo de ransomware Clop está de regreso y actualiza 21 víctimas en un solo mes

Después de cerrar efectivamente toda su operación durante varios meses, entre noviembre de 2021 y febrero de 2022, el ransomware Clop ahora está de vuelta, según los investigadores de NCC Group, teniendo un regreso explosivo e inesperado al frente del panorama de amenazas de ransomware, saltando del actor de amenazas menos activo en marzo al cuarto más activo en abril.

Hospital en España es víctima de ataque del ransomware LockBit 2.0

Durante la presente semana, se evidenció una serie de actualizaciones en el portal de leaks del ransomware Lockbit, el que incluyó al Hospital San José , una nueva víctima perteneciente a Islas Gran Canarias en España.

Resumen de objetivos: Infraestructura Tecnológica, Salud, Automotriz, Servicios Públicos

TA505 despliega campaña de distribución de SocGholish y el RAT NetSupport

La mayoría de los informes públicos sobre SocGholish giran en torno al uso de actualizaciones de software falsas, ya sea a través de descargas ocultas o mediante enlaces en correos electrónicos no deseados. Sin embargo, durante el mes de mayo, se evidenció una campaña de distribución de este malware con un kit de acceso por medio de un RAT, con el objeto de llevar a cabo robo de información a particulares en LATAM. 

Grupo APT desconocido ha atacado a Rusia repetidamente desde la invasión a Ucrania

Un grupo desconocido de amenazas persistentes avanzadas (APT) se ha dirigido a entidades gubernamentales rusas con al menos cuatro campañas separadas de phishing desde finales de febrero de 2022. 

Las campañas están diseñadas para implantar un troyano de acceso remoto (RAT) que se puede usar para vigilar las computadoras que infecta y ejecutar comandos en ellas de forma remota. El malware utiliza una serie de trucos avanzados para ocultar lo que hace y cómo funciona.

Detectada nueva campaña de espionaje contra Ucrania por parte de Gamaredon

Durante la semana pasada, el CERT-UA recibió información respecto a una campaña de phishing que estaba siendo desplegada contra funcionarios del gobierno de Ucrania, con el fin de instalar la herramienta GammaLoad.PS1_v2 y efectuar captura de datos en el equipo de la víctima.

APT chino lanza campaña “Twisted Panda” con objetivo de espionaje contra organizaciones rusas

Una campaña dirigida que ha estado utilizando cebos relacionados con las sanciones para atacar los institutos de defensa rusos, muestra que esta es parte de una operación de espionaje china más grande que ha estado en curso contra entidades relacionadas con Rusia durante varios meses. 

Investigación revela que Sandworm APT tiene por objetivo la destrucción de infraestructura eléctrica en Europa

Un análisis llevado a cabo por la unidad de Inteligencia de “Cluster 25”, sugiere que las operaciones llevadas a cabo por Sandworm en contra de Ucrania y otros países, apuntarían principalmente a la destrucción de componentes para el funcionamiento de infraestructura eléctrica, expandiendo sus operaciones a otras ubicaciones en Europa.

Sandworm usa nueva versión de ArguePatch en ataques dirigidos a Ucrania

La nueva variante de ArguePatch, denominada así por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y detectada por los productos de ESET como Win32/Agent.AEGY, ahora incluye una función para ejecutar en un momento específico la siguiente etapa de un ataque. Esto evita la necesidad de configurar una tarea programada en Windows y probablemente tiene la intención de ayudar a los atacantes a permanecer ocultos dentro de los sistemas de la víctima.

Grupo ruso Lorec53 es evidenciado en ataques en contra del gobierno de Georgia

Una campaña detectada y seguida desde julio de 2021, fué descubierta por investigadores de NSFOCUS Security Labs, donde se observó varios correos de phishing creados en georgiano. Los atacantes utilizaron los puntos críticos políticos actuales en Georgia para crear un cebo y entregar un troyano de robo de información a víctimas específicas, con el objetivo de extraer varios documentos de sus computadoras.

Sandworm es evidenciado lanzando ataques DDoS con herramienta LOIC

Durante el mes de mayo, se observaron una ola de ataques DDoS lanzados por Gamaredon, utilizando un troyano DDoS llamado LOIC. Las instancias del malware detectado por expertos se compilaron desde principios de marzo, unos días después de que comenzara la invasión rusa de Ucrania y que tuvieron por objetivo entidades bancarias ucranianas.

Resumen de objetivos: Infraestructura eléctrica, Banca, Tecnología, Defensa y Gobierno.

Malware BumbleBee aumenta sus actividades durante las últimas semanas de mayo

Investigadores de seguridad informan sobre la actividad maliciosa asociada con la distribución del malware BumbleBee que se remonta al corredor de acceso inicial (IAB) denominado Exotic Lily. Los datos de investigación sugieren que los adversarios utilizan las herramientas de transferencia de archivos, como TransferXL, TransferNow y WeTransfer, para propagar este malware, que se utiliza para lanzar ataques con Cobalt Strike .

Detectada campaña de malware que distribuye crypter a través de Discord

Según una investigación de Morphisec, operadores del RAT SYK Crypter han aprovechado la oportunidad de llevar a cabo ataques vía Discord para la distribución de malware durante mayo de 2022, donde los expertos en seguridad informaron múltiples infecciones de SYK Crypter realizadas con la ayuda de Discord CND.

Microsoft advierte sobre un aumento alarmante de ataques DDoS con el malware XorDdos dirigidos a Linux

Durante mayo de 2022, los sistemas basados ​​en Linux han estado expuestos a una serie de amenazas provenientes de múltiples vectores de ataque. Microsoft ha observado un enorme aumento de la actividad maliciosa del troyano Linux XorDdos, que casi se ha triplicado en el último medio año. Este malware DDoS recibió su nombre debido a la actividad sigilosa que aprovecha los ataques de denegación de servicio en dispositivos Linux y el uso del algoritmo de cifrado XOR para la comunicación del servidor C&C.

Malware ChromeLoader aumenta sus ataques durante mayo

Un secuestrador de navegador llamado ChromeLoader ha estado causando problemas desde enero de 2022, afectando a los usuarios de Windows y macOS, incluidos los navegadores web Safari. Los operadores de malware propagan esta amenaza a través de archivos ISO que afirman ofrecer software pirateado, generalmente juegos, siendo realmente una extensión de navegador sigilosa, el que una vez que el navegador está comprometido, la víctima es susceptible a esquemas de marketing indeseables, como "loterías infalibles" falsas, campañas de promoción de software y plataformas de citas y contenido para adultos, beneficiando a sus operadores a través de un sistema de afiliación de marketing, redirigiendo el tráfico de su objetivo a los sitios web que ofrecen contenido no solicitado mencionado anteriormente.

Emotet efectúa rebrand a sus capacidades de distribución

Entre enero y mayo de 2022, se observó un aumento en las campañas de spam de Emotet, el que utilizó técnicas antiguas y nuevas para engañar a sus víctimas previstas para que accedieran a enlaces maliciosos y habilitaran contenido macro, sin embargo, estas muestras más recientes usaban macros de Excel 4.0, una función antigua de Excel, para ejecutar sus rutinas de descarga, a diferencia del uso anterior de Visual Basic para aplicaciones (VBA) de Emotet,  además del uso de la extensión de nombre de archivo .ocx  y signos de intercalación en las URL, lo que permite a Emotet eludir los métodos de detección que buscan extensiones o palabras clave específicas de la línea de comandos.

Troyano bancario para Android ERMAC 2.0 se dirige a más de 400 aplicaciones

ERMAC fue detectado por primera vez por investigadores de Threatfabric en julio de 2021 y se basa en el popular troyano bancario  Cerberus . El código fuente de Cerberus  se publicó  en septiembre de 2020 en foros clandestinos después de que sus operadores perdieran en una subasta.

Según los expertos, ERMAC es operado por actores de amenazas detrás del malware para dispositivos móviles BlackRock.

Nueva campaña del RAT - Infostealer AgentTesla evidenciada en Italia

Durante la última semana, se detectó un considerable aumento en el número de ataques por medio de phishing distribuyendo el RAT - Infostealer AgentTesla.

El objetivo hasta el momento, se concentra en entidades de gobierno y privadas.

Nuevo infostealer Redox es vendido en canales de Telegram

El día 28 de mayo, fue detectada la venta de un nuevo malware de la familia infostealer, con una variedad de capacidades y a un precio accesible para cualquier usuario.

Por el momento, no se evidencian ataques con este malware, sin embargo, dado sus capacidades y valores, se espera observar nuevas campañas durante los próximos días.

General Motors sufre un ataque cibernético que expone la información personal de los propietarios de automóviles

El fabricante de automóviles de EE. UU. General Motors (GM) anunció que durante el mes de abril de 2022, se vio afectado por un ataque de “credential stuffing” que expuso la información de clientes y permitió a los atcantes canjear puntos de recompensa por tarjetas de regalo.

F5 publica múltiples vulnerabilidades para sus productos

F5 ha publicado 5 avisos de seguridad que contemplan 4 vulnerabilidades altas y 1 media. Estas fallas afectan principalmente a BIG-IP, BIG-IQ y Traffix SDC.

NOTA: Aún no existen actualizaciones de seguridad que solucionen estas fallas de seguridad.

Nuevo aviso de seguridad para IOS XR de Cisco

Cisco ha publicado un nuevo aviso de seguridad, esta vulnerabilidad es clasificada como Severidad Media (CVSS 3.1: 6.5)

La vulnerabilidad publicada afecta a Cisco IOS XR.

Vulnerabilidades para productos Check Point

Check Point ha publicado dos avisos de seguridad que contemplan dos vulnerabilidades de severidad baja, las cuales afectan a Quantum Security Management, Quantum Security Gateways y Endpoint Security Client para Windows.

Nuevo aviso de seguridad para VMWare Tools en Windows

VMware ha publicado un nuevo aviso de seguridad que afecta a VMware Tools para Windows. Esta vulnerabilidad es clasificada como Severidad Media según CVSS v3.1 [5.8].

Existe una actualización de seguridad que soluciona esta vulnerabilidad de entidad externa XML (XXE).

Nuevas vulnerabilidades son detectadas en productos de F5

F5 ha publicado 2 avisos de seguridad que contemplan 2 vulnerabilidades Altas. Estas fallas afectan principalmente a BIG-IP, BIG-IQ y Traffix SDC.

NOTA: Aún no existen actualizaciones de seguridad que solucionen estas fallas de seguridad.

Aviso de seguridad de Jenkins contiene múltiples vulnerabilidades

El servidor Jenkins, publicó un aviso de seguridad que contiene 28 vulnerabilidades que se distribuyen en: 17 de severidad Alta , 8 de severidad Media y 3 de severidad Baja.

NOTA: Varias de estas vulnerabilidades no tienen parches de seguridad para mitigar estas fallas.

Dos vulnerabilidades de alto impacto son detectadas en Wordpress

Múltiples versiones de dos complementos de WordPress con el nombre de "KiviCare" y “Genki Pre-Publish Reminder” poseen vulnerabilidades de SQL Injections y XSS, cuyas calificaciones CVSS son de 8.8 y 8.3, respectivamente.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente, en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, durante la semana del 23 al 29 de mayo de 2022:

Objetivos observados durante semana de análisis: 

• Infraestructura tecnológica
• Salud
• Industria automotriz
• Servicios públicos
• Servicios de transporte
• Infraestructura eléctrica
• Banca
• Defensa
• Gobierno

• No hay

• Tecnología y Telecomunicaciones
• Gobierno
• Petróleo
• Defensa y orden público
• Energía
• Transportes y servicios automotrices.
• Banca y Finanzas
• Servicios de salud, sociales y farmacia.

• Servicios empresariales y comercio
• Agua
• Educación
• Retail y servicios de consumo
• Servicios legales y profesionales
• Gas
• Shipment y cadena de suministros
• Industrias manufactureras, materiales y minería
• Agricultura, ganadería, silvicultura y pesca.

• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Entretenimiento, cultura y arte
• Turismo, hoteles y restaurantes

Nueva campaña de Infostealer Redline