Panorama de amenazas Q2 2022

18 Julio 2022
Informativo
Amenaza

 

Durante el desarrollo del primer cuarto del año 2022, la tendencia de las diferentes amenazas presentes y que fueron abordadas en el “Panorama de Amenazas: Primer Trimestre 2022”, mantuvieron una sostenida actividad a través de los primeros meses del año, para llegar a finales de marzo del presente año con diferentes vulnerabilidades críticas que marcaron el inicio de ola de ataques a diferentes infraestructuras, y dando paso a que peligrosos actores maliciosos  “evolucionaran” y dieran paso a nuevos esquemas de operación.

De esta forma, este período estuvo marcado por vulnerabilidades críticas de diferentes proveedores, agresivas campañas de malware en Chile y LATAM, la presencia de operaciones de Ransomware contra entidades nacionales, actividades de espionaje dirigidas a países de LATAM y las repercusiones propias del conflicto armado entre Rusia y Ucrania, que abrió una nueva era en las ciberoperaciones contra la infraestructura crítica.

 

Acontecimientos clave durante el Q2 de 2022

Durante en los meses de abril y mayo, se observó una fuerte actividad de amenazas relacionadas a operaciones de malware y ransomware, tocando territorio nacional y algunos países de latinoamérica, destacando por sobre todo, la evolución tecnológica y de capacidades que algunos grupos de actores maliciosos experimentaron durante el transcurso de mayo y junio.

De acuerdo con lo anterior, los acontecimientos clave de este Q2 son:

  • Evolución de amenazas de Ransomware y la proliferación de nuevos operadores y afiliados.
  • Aumento de las operaciones de espionaje de APT’s en contra de gobiernos y países en LATAM y Europa.
  • La presencia de agresivas campañas de malware en Chile y LATAM.
  • El crecimiento de exposición de datos y leaks que afectaron a organizaciones de LATAM.

Al respecto, el equipo de especialistas ha realizado un seguimiento cercano de las actividades mencionadas anteriormente, consolidando información semanal en los “Entel Weekly Threat Intelligence Brief”, resumen que entrega antecedentes relevantes de operaciones, amenazas y vulnerabilidades presentes en el corto y mediano plazo, que puede servir de guía para monitorizar posibles actividades que impacten la organización o la operación de esta.

De igual forma, se evidencia que durante el último período ha existido una tendencia a modernizar las operaciones, como lo ha sido el caso del grupo Conti, cuyas operaciones se habrían centrado en extorsión contra gobiernos de LATAM, exponiendo datos sensibles e interrumpiendo el normal funcionamiento de organizaciones como lo ocurrido en Costa Rica durante finales de abril y principios de mayo. Acto seguido, durante el mes de mayo, se observó como el esquema de operaciones se comenzaba a configurar con la aparición de nuevos actores maliciosos y la entrada en juego del malware destructivo (Wiper), sin el objetivo de efectuar una devolución de los archivos y datos secuestrados.

En relación a las amenazas de malware con mayor actividad durante el último cuarto de año, se destacan nuevas variantes de EMOTET y el loader malware “Bumblebee”, que a mediados de mayo se observó operando en conjunto con operadores y afiliados de ransomware. 

En LATAM, se evidenció un aumento en las campañas de malspam distribuyendo Mekotio e Infostealers, principalmente RedLine y Vidar.

En esta misma línea, hacen su aparición malware diseñado específicamente para linux, como son SYSrv, BPFdoor, Symbiote, Syslogk y Panchan, amenazas que entraron en escena entre fines de mayo y mediados de junio de 2022, apuntando a servicios virtualizados y on premise.

En el caso de la Amenazas Persistentes Avanzadas (APT), se observó un aumento en las operaciones de espionaje dirigido principalmente a sectores de gobierno, defensa y privado, con un enfoque especial en industrias dedicadas a la farmacéutica, desarrollo de armas, investigación aeroespacial diplomacia internacional, entre otras operaciones relacionadas a geopolítica y religión.

La guerra entre Rusia y Ucrania sigue trayendo operaciones en contra la infraestructura crítica, con alto protagonismo de APT28 y APT29, actores sofisticados que siguen en constante actividad en contra de Ucrania y de la Unión Europea.

En el caso de Asia, los operadores APT41, Gallium y MustangPanda siguen siendo los principales actores en llevar a cabo operaciones de espionaje en contra de Israel, Rusia, Corea del Sur y países del sudeste asiático, donde además se evidenció actividad del APT Bitter en una última campaña detectada durante junio de presente año.

La siguiente gráfica, muestra una distribución por tipo de amenazas durante el Q2 del año 2022:

 

Distribución de amenazas Q2 2022

 

Como se aprecia, el Ransomware sigue siendo la mayor amenaza presente en el momento, seguido de las operaciones efectuadas por APT, malware y vulnerabilidades, las que en el último tiempo han tendido al alza debido a la liberación de programas de Bug Bounty que buscan ayudar a los proveedores descubrir vulnerabilidades críticas mucho antes que actores maliciosos, en un intento de ejercer seguridad de manera proactiva.

 

Tendencias de Malware

De acuerdo con lo observado durante el segundo trimestre de 2022, la tendencia de malware radicó principalmente en el aumento de variantes de la familia RAT destinadas a sistemas Linux y la reactivación de botnets diseñadas para infraestructuras Unix y Microsoft.

Los desarrollos de malware del tipo “rootkits” y de criptominería mantuvieron un comportamiento sostenido durante los meses de abril, mayo y junio, evidenciándose una tendencia a la baja en los ataques que implantan puertas traseras (Backdoor), y otros asociados con el despliegue de infostealers y troyanos (principalmente bancarios).

 

Comparativas variantes de malware entre Q1 y Q2

 

El Ransomware sigue liderando las tendencias de crecimiento y de operaciones con mayor éxito en LATAM, evidenciando operaciones en territorio nacional y países vecinos, que se vieron afectados por el compromiso de entidades gubernamentales, sin embargo, ha sufrido un “quiebre” durante el mes de mayo, con la discontinuación de operaciones de grupos como Conti y la aparición de afiliados a nuevas variantes, que han pausado operaciones mientras se realizan actividades de rebranding y actualizaciones internas de los grupos.

 

Nuevas variantes y familias que apuntan a sistemas Linux

Destacadas campañas tuvieron algunas familias de malware que activaron operaciones, cuyo descubrimiento se ha producido en el transcurso del año y afectan directamente a sistemas operativos basados en Linux.

Otras que se han observado en este período de tiempo (abril - junio de 2022), se han concentrado en mejorar sus técnicas de alcance de víctimas, extendiendo actividades en diferentes puntos del planeta, sin embargo, concentrando estas operaciones principalmente en el robo de datos en países de habla hispana.

El equipo de Inteligencia de CCI Entel, ha efectuado un seguimiento de estas amenazas, pudiendo identificar la presencia de nuevas variantes de malware con enfoque principal LATAM y sistemas operativos Linux:

 

  • Symbiote, el troyano para Linux casi imposible de detectar

Pese a su reciente identificación, los expertos estiman que lleva siendo usado por cibercriminales al menos desde noviembre de 2021, y que ya habría sido usado contra entidades del sector financiero iberoamericano.

En teoría, su nombre procede de su capacidad para funcionar sin ejecutables, limitándose a 'inyectarse' en los procesos en ejecución y convertirlos en maliciosos; esto es posible porque la carga 'viral' reside en una biblioteca con extensión .SO, que los procesos cargan porque los atacantes, previamente, han hecho uso de la variable de entorno LD_PRELOAD.

 

  • La botnet SYSrv apunta a servidores Windows y Linux como objetivos para criptominería

Microsoft ha descubierto que la botnet Sysrv ahora está explotando vulnerabilidades antiguas y nuevas (CVE-2022-22947) en Spring Framework y WordPress para implementar malware de criptominería en servidores Windows y Linux vulnerables.

 

  • Backdoor BPFdoor detectado para Linux y Solaris con capacidades de evasión de Firewall

Recientemente descubierto, ha estado apuntando sigilosamente a los sistemas Linux y Solaris sin ser notado durante más de cinco años, que permite a los actores de amenazas conectarse de forma remota a un shell de Linux para obtener acceso completo a un dispositivo comprometido. El malware no necesita abrir puertos, por lo que no puede ser detenido por firewalls y puede responder a comandos desde cualquier dirección IP en la web, lo que lo convierte en la herramienta ideal para el espionaje corporativo y los ataques persistentes.

 

  • Rootkit Syslogk Linux permite a los atacantes controlarlo de forma remota mediante "magic packets"

Un nuevo rootkit que pasa encubierto en el kernel de Linux llamado Syslogk ha sido descubierto en desarrollo y ocultando una carga útil maliciosa (Payload) que puede ser comandada remotamente por un adversario utilizando un paquete de tráfico de red “mágico”.

El rootkit Syslogk se basa en gran medida en Adore-Ng, pero incorpora nuevas funcionalidades que hacen que la aplicación en modo usuario y el rootkit del kernel sean difíciles de detectar.

 

  • Panchan, una nueva botnet peer-to-peer basada en Golang dirigida a servidores Linux

Una nueva botnet peer-to-peer (P2P) basada en Golang que apunta activamente a servidores Linux en el sector educativo, fue descubierta en operación desde al menos marzo de 2022.

Apodado Panchan por Akamai Security Research, el malware "utiliza sus funciones de concurrencia integradas para maximizar la capacidad de propagación y ejecutar módulos de malware" y "recopila claves SSH para realizar movimientos laterales".

El botnet repleto de funciones, que se basa en una lista básica de contraseñas SSH predeterminadas para llevar a cabo un ataque de diccionario y expandir su alcance, funciona principalmente como un cryptojacker diseñado para secuestrar los recursos de una computadora para extraer criptomonedas.

 

Presencia de malware para Linux en el Q2 - 2022

 

En el escenario de la industria bancaria, el troyano Symbiote fué descubierto formando parte de una campaña dirigida en contra de entidades bancarias en LATAM, principalmente Brasil.

Por otra parte, BPFDoor ha sido una herramienta utilizada por actores maliciosos patrocinados por gobiernos, desplegada en campañas de espionaje y robo de información, considerándose como uno de los malware para Linux más agresivos descubiertos durante el presente trimestre.

 

Mayor actividad en el segundo trimestre de 2022

Durante los últimos años ha existido un constante crecimiento en el uso de infostealers que se ofrecen como Malware as a Service (MaaS) y que su función principal es el robo de la mayor cantidad de información de un usuario, para luego ser ofrecidos a la venta en mercados negros y que dependiendo del nivel de desarrollo y capacidades de cada malware varían las características específicas de cada uno, sin embargo entre las  principales y más comunes se encuentra la sustracción de credenciales guardadas en navegadores, sistemas o servicios del equipo, mientras que la última tendencia se enfoca además en la sustracción de billeteras de criptomonedas, un tipo de ataque que han demostrado ser bastante lucrativo y escasamente regulado.

Es importante destacar que las amenazas de Infostealer siguen en el segundo puesto en presencia de ataques a nivel nacional y Latinoamericano.

 

  • InfoStealers como medio de negocio

Si bien este tipo de amenaza no sigue un patrón de distribución común y dado su alto nivel de actualizaciones y versiones disponibles, pueden ser distribuidos por medio de emails, en sitios de descarga haciéndose pasar por otra clase de software, como parte de una segunda o tercera etapa de infección de otro malware, etc.

Los cargadores de este tipo de malware son comúnmente intérpretes de Auto Hot Key y Auto It, herramientas de distribución libre y legítimas que ayudan a automatizar tareas en los equipos, principalmente aquellos con sistema operativo Windows.

 

Comparativa evolución Infostealers por trimestre

 

Respecto al robo de información, además de brindar el acceso “legítimo” a cuentas bancarias o donde se efectúe transacciones de dinero, los operadores de diferentes Infostealers descubrieron que vender estos datos al mejor postor podría volverse un negocio lucrativo.

 

Presencia de RedLine en Chile

 

Es así que surgieron diferentes mercados donde se contrabanda la información obtenida de diferentes víctimas en todo el mundo, manteniendo presencia en foros de la Deep y Dark Net, e incluso en la Surface web.

  • Troyanos de acceso remoto a la orden del día

Para el caso de los RAT, se observó en los meses de mayo y junio, un notable aumento en el despliegue de campañas en LATAM, destacando la operación de espionaje llevada a cabo en el continente sudamericano y principalmente Colombia, en la llamada operación “Discordia”.

Como se menciona en boletines presentados por Entel, los cargadores de este tipo de malware son comúnmente intérpretes de AutoHotKey y AutoIt, herramientas de distribución libre y legítimas que ayudan a automatizar tareas en los equipos, principalmente aquellos con sistema operativo Windows.

Destaca el uso de njRAT en el último semestre, en donde se observó el alza en sus operaciones durante los primeros meses de 2022, volviéndose protagonista de una serie de campañas llevadas a cabo en LATAM durante el último período.

 

Evolutivo mensual de njRAT

 

La gráfica indica la evolución del uso del malware por mes, basado en la cantidad de reportes de víctimas observados diariamente en diferentes fuentes de datos.

Se puede decir que njRAT es un un programa malicioso que permite a un atacante controlar remotamente un equipo comprometido y realizar diversas acciones. 

Las primeras detecciones de njRAT se registraron en el Medio Oriente en 2012, probablemente el lugar donde fue creado , junto a otra variante de este troyano conocida como njw0rm, también desarrollada por el mismo autor. 

Algunas características de este malware incluyen:

  • Escritorio remoto y Ventana activa.
  • Obtener información de configuración de la máquina víctima.
  • Ejecución remota de archivos.
  • Manipulación de archivos.
  • Ejecutar shell de manera remota.
  • Ejecutar administrador de procesos.
  • Modificar el registro de Windows.
  • Activar la cámara y el micrófono de la máquina.
  • Registro de teclas (keylogger).
  • Robo de contraseñas almacenadas en los navegadores u otras aplicaciones.

El código fuente junto con el programa que lo configura se filtró en foros de la dark web alrededor del año 2013, aunque algunos desarrolladores de malware ya lo estaban utilizando para crear nuevas versiones mejoradas o modificadas bajo otros nombres. Algunas de estas variantes se han utilizado tanto para campañas masivas como en ataques dirigidos a individuos u organizaciones por parte de cibercriminales y grupos de APT.

 

  • Bumblebee y su relación con el ecosistema del ransomware

Bumblebee es un cargador de malware desarrollado recientemente, pero se ha convertido en el favorito de los ciberdelincuentes. 

Investigadores de Symantec descubrieron que el cargador Bumbleebee ha reemplazado a bastantes cargadores antiguos, detectándose que la herramienta se ha conectado a varias operaciones de ransomware.

 

Evolutivo por campaña durante 2022

 

Bumblebee ha sido vinculado a operaciones de ransomware por parte de Conti , Quantum y Mountlocker, lo que significa que el malware ahora está a la vanguardia del ecosistema de ransomware. 

Los investigadores, además, sospechan que el cargador puede haber sido utilizado como reemplazo de BazarLoader y Trickbot, dadas las superposiciones en la actividad reciente que involucra a Bumblebee.

 

  • Troyanos bancarios y agresivas operaciones en territorio nacional

Hacia finales de marzo del presente año, diferentes campañas de malspam  intentaban distribuir troyanos bancarios por medio de diferentes técnicas, la que de una forma u otra, eran capaces de alcanzar diferentes objetivos a través de masivos ataques contra entidades y particulares.

De estas familias de malware, destacan dos de ellas, quienes aún con el pasar del tiempo, han mejorado su arsenal de ataque y sus técnicas de ingeniería social, buscando a toda costa poder comprometer sus víctimas por medio de sofisticados y a la vez sencillos medios, que aciertan y garantizan un nivel de éxito muy alto en cada operación desplegada.

 

Evolutivo por trimestre de troyanos bancarios con mayor actividad en Chile

 

La representación gráfica indica el volumen de víctimas semanales reportadas por diferentes fuentes de información.

Las últimas campañas evidenciadas de Mekotio, suplantaron entidades gubernamentales que buscaban hacer creer a la víctima que debía descargar un documento para validar su estado sanitario respecto al SARS COVID-19.

Por otra parte, EMOTET sirvió de “loader” para el despliegue de otros tipos de infecciones de malware e incluso se le observó siendo empleado en ataques donde se desplegaba el ransomware Conti, una vez infectado el equipo víctima, cuando el grupo decidió  dejar de utilizar el cargador de TrickBot, por problemas internos del grupo.

 

Panorama de Ransomware

Una amenaza que no requiere una amplia introducción, se ha mantenido en constante evolución y adaptándose a los nuevos entornos de trabajo, adicionando capacidades y ampliando sus alcances.

Si bien ha existido una leve baja en el volumen de actividades en el teatro de operaciones LATAM, sigue al alza en cuanto a cooperación con otros actores de amenaza y el estrecho vínculo con algunos portales del mercado negro, considerando la gran cantidad de afiliados que los programas de “recompensas” atraen a sus equipos. Sin embargo, durante este trimestre el ransomware continúa siendo una de las principales amenazas a nivel nacional y global.

Algo que ha marcado este trimestre, ha sido en gran medida la aparición de nuevos afiliados y variantes mejoradas, la implementación de “brazos” de operación de conocidos actores maliciosos y la orquestación de ataques por medio de ransomware llevada a cabo por APT.

 

Concentración de ataques por familia de Ransomware Q2 2022

 

Como se puede apreciar el operador del Ransomware BlackBasta ha tomado un lugar dentro del top 5 de amenazas de ransomware con mayor número de operaciones en los últimos 3 meses, considerando el volumen de víctimas nuevas y su aparente vínculo con el grupo Conti.

Sin embargo, en comparación con el trimestre anterior, se observa un aumento general de las operaciones de ransomware ya analizadas en el informe anterior, donde se evidencia que estadísticamente, 4 de los 5 operadores de ransomware siguen en una tendencia al alza en sus actividades.

Se evidenció que cada uno de estos, en promedio, efectuaba la liberación de una víctima en un lapso no mayor a 2 días, por lo que se estima que entre 6 y 7 organizaciones son afectadas por un  ataque de ransomware en un lapso de 7 días.

 

Comparativa de actividad por ransomware entre el Q1 y Q2 de 2022

 

Para el caso de Conti, donde se ve una disminución en sus actividades, vale decir que dado el cese de sus operaciones a mediados de mayo, el control de sus ataques fué asumido por otros operadores (como BlackBasta y Karakurt extorsion group), los que sin duda alguna comenzaron a aumentar sus entradas en los blog de leaks durante fines de mayo y comienzos de junio.

 

Nuevas familias y operaciones de ransomware detectadas

Si bien la operación de estos grupos difiere en algunos aspectos relacionados a organización y técnicas de compromiso inicial, sin duda alguna la operación es vital para la sobrevivencia del grupo y del éxito de cada actividad realizada.

En este sentido, muchos grupos y afiliados comenzaron a aparecer durante el período de tiempo comprendido entre fines de marzo y mediados de abril de este año, para dar paso a la activación de nuevas operaciones y la reactivación de otras ya consideradas “disueltas”.

Las nuevas familias de ransomware más relevantes detectadas durante el segundo trimestre son:

 

  • BlackBasta Ransomware

Black Basta se observó por primera vez a mediados de abril de 2022, pero ya había causado daños sustanciales a más de diez organizaciones, las que se dieron a conocer públicamente después que el grupo anunciara la filtración de datos de la Asociación Dental Estadounidense, de la cual se expusieron 2,9 GB de datos. 

 

  • Onyx Ransomware entra en escena

Observado a fines del mes de abril, este pseudo ransomware elimina grandes archivos para impedir que se descifren incluso después de que la víctima pague el rescate.

Lo que hace Onyx, igual que otras muchas operaciones de ransomware, es robar datos de una red y posteriormente cifrar los dispositivos. Una vez hecho esto, hacen uso de una estrategia que está en aumento: la doble extorsión. Básicamente significa que cifran los archivos, pero también amenazan con hacerlos públicos.

Sin embargo, la característica principal de Onyx radica en que cualquier archivo de más de 2 MB, que es bastante común en las empresas, simplemente se destruye, ya que a diferencia de otras familias de ransomware, no se puede recuperar.

 

  • Ransomware “GoodWill” apoyando la caridad

El ransomware GoodWill obliga a sus víctimas a donar a los pobres y ayudar a los necesitados en una forma inusual de hacktivismo al estilo de “Robin Hood”, según un informe de la empresa de ciberseguridad CloudSEK .

El ransomware, identificado por primera vez en marzo, cifra documentos, fotos, vídeos, bases de datos y otros archivos importantes y los hace inaccesibles sin la clave de descifrado.

 

  • El regreso de REvil

Durante las últimas semanas de abril y principios de mayo de 2022, investigadores observaron que el sitio onion del grupo, que había estado inactivo desde las operaciones contra Kaseya en 2021, nuevamente había sido reactivado, presentando supuestas nuevas víctimas.

Posterior a la “activación” del sitio de leaks de REvil, solo quedaba confirmar por medio de la captura de una muestra del “nuevo” ransomware, si efectivamente las operaciones de este grupo habrían retornado.

Durante la última semana de abril, los investigadores “R3MRUM” y Vitali Kremez analizaron una muestra obtenida por el investigador de AVAST  Jakub Kroustek, desde donde obtuvieron datos relacionados a que la compilación del código (a partir del código base del ransomware) fue realizada el 26 de abril de este año e incluyen mejoras en su desarrollo que se presume se orientan a ataques altamente dirigidos.

 

  • Ransomware eCh0raix apunta a los dispositivos NAS de QNAP

Las infraestructuras con despliegue de NAS de QNAP han sido afectadas recientemente por el ransomware eCh0raix después de un ataque similar de Deadbolt en sus dispositivos vulnerables. Se ha confirmado una nueva ola de ataques eCh0raix después de un aumento en la cantidad de envíos a ID Ransomware.

No hay números definitivos como tales, pero los informes indican que solo se han enviado unas pocas docenas de muestras de eCh0raix. Es probable que el número real de ataques exitosos sea mayor.

 

  • El grupo de ransomware Lockbit lanza el programa “bug bounty” para su rebrand 3.0.

En lo que probablemente sea la primera vez que se ve este tipo de acciones por parte de estos grupos, los operadores de LockBit agregaron un programa de recompensas al lanzar la versión 3.0 de su ransomware, que ofrece pagos a aquellos que descubren vulnerabilidades en su sitio web de fugas y en su código.

En capturas de pantalla que circulan en línea, el grupo dice que su objetivo es "Hacer que el ransomware vuelva a ser grandioso" y detalla una variedad de áreas en las que está buscando aportes de "Todos los investigadores de seguridad en el planeta, hackers éticos y no éticos”, con pagos desde USD$1.000.

De esta forma, se aprecia que finalmente los grupos de ransomware han “evolucionado” para utilizar sus desarrollos como un arma a base de código contra gobiernos e infraestructura crítica, cambiando radicalmente su motivación financiera a una motivación política-militar totalmente disruptiva. Su evolución apunta a la destrucción de sus objetivos, sin interés en beneficio económico. En este punto y como se había anunciado en el reporte anterior, el ransomware ha evolucionado a su nivel 4.0.

 

  • DeadBolt Ransomware atacando dispositivos NAS

Este ransomware fue evidenciado en ataques que comenzaron el 25 de enero de 2022, cuando los dispositivos de QNAP se encontraron con sus archivos cifrados y a los nombres de los archivos se les agregó la extensión .deadbolt.   

Una de las diferencias detectadas respecto a las notas de rescate de otros ransomware es que, en lugar de mostrar una nota de rescate en cada carpeta de estos dispositivos, este secuestra la página de inicio de sesión del dispositivo QNAP para mostrar una pantalla que dice “WARNING: Your files have been locked by DeadBolt”.

 

Otras operaciones relevantes

Cabe destacar, que a medida que el modelo de negocio RaaS evoluciona, los objetivos de este también se expanden y buscan operar ampliamente en diferentes regiones del planeta, intentando mantener sigilosidad previa al despliegue de un ataque.

La presencia de nuevas operaciones de ransomware a nivel mundial y principalmente en Chile, demuestran que este “modelo de negocio” está lejos de terminar, siendo un ejemplo de esto los ataques evidenciados contra organizaciones Chilenas durante el segundo trimestre del presente año.

 

Distribución de actividad por grupo APT según país de origen

 

Los operadores anteriormente mencionados, mantienen una estructura en constante crecimiento y mejora, la que hace gala de su denominación como RaaS.

 

Operaciones y actividad de APT en el segundo trimestre

Como es de conocimiento, una APT se refiere a una especie de ciberataque muy preciso y de alta sofisticación con múltiples vectores de ataque, ejecutado por grupos que a menudo son apoyados o financiados por entes externos, siendo su premisa:

  • Acuciosidad en la seguridad de sus operaciones.
  • Bajas tasas de detección.
  • Altas probabilidades de éxito en el cumplimiento de sus objetivos.

Sin embargo la actividad observada de grupos que han tenido participación en territorio latinoamericano, han desarrollado operaciones de obtención de información (o robo de esta) y espionaje, con aparente motivación político - industrial.

 

Operaciones en Europa, Asia y Medio Oriente

La actividad proveniente de grupos de China, Corea del Norte, Irán, Rusia y otros cuya atribución se apunta a medio oriente y asia, mantiene un constante movimiento con campañas de espionaje y obtención de información.

 

Distribución de actividad por grupo APT según país de origen

 

Por otra parte, se ha evidenciado actividad disruptiva en contra de países de Europa, como lo son Alemania y Ucrania, quienes han sido víctimas de ataques en contra de su infraestructura de energía eléctrica, en el marco de la guerra entre Rusia y Ucrania.

 

Las operaciones más relevantes observadas y analizadas en el último trimestre, son:

 

  • APT iraní estaría aprovechando BitLocker y DiskCryptor en ataques de ransomware

Cobalt Mirage y APT35 habrían realizado dos conjuntos diferentes de intrusiones contra dispositivos Fortinet y servidores MS Exchange, una de las cuales se relaciona con ataques de ransomware oportunistas que involucran el uso de herramientas legítimas como BitLocker y DiskCryptor para obtener ganancias financieras.

 

  • Lazarus Group es evidenciado explotando activamente Log4Shell

Se ha observado que Lazarus Group, respaldado por Corea del Norte, aprovecha la vulnerabilidad Log4Shell en los servidores VMware Horizon para desplegar el backdoor NukeSped (también conocido como Manuscrypt) contra objetivos ubicados en su contraparte del sur.

 

  • APT41 es evidenciado utilizando el Backdoor “BPFdoor” para desplegar operaciones de espionaje

Investigadores recientes de incidentes relacionados a comportamiento anómalo en redes, indicarían el uso del Backdoor BPFdoor y que este sería desplegado por el actor de amenazas chino para operaciones de espionaje contra países objetivo.

 

  • APT Chino es evidenciado explotando Zero Day crítico presente en MS Office

Actores de amenazas vinculados a China ahora están explotando activamente una vulnerabilidad de día cero de Microsoft Office (conocida como 'Follina') para ejecutar código malicioso de forma remota en sistemas Windows.

Descrito por Microsoft como una falla de ejecución remota de código en la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) y rastreado como CVE-2022-30190, afecta a todas las plataformas de servidor y cliente de Windows que aún reciben actualizaciones de seguridad (Windows 7 o posterior y Windows Server 2008 o posterior).

 

  • Actor de amenazas iraní continúa desarrollando herramientas de explotación masiva

Recientemente, una empresa de infraestructura y construcción en el sur de los EE.UU. habría sido víctima de actividades de espionaje por parte de un grupo APT iraní conocido como “Phosphorus”.

Se sabe que el actor de amenazas explota las vulnerabilidades de Fortinet CVE-2018-13379, Exchange ProxyShell y log4j.

 

  • Grupo APT con sede en el Líbano previamente desconocido lanza ataque dirigido a organizaciones israelíes

POLONIUM ha atacado y comprometido a más de 20 organizaciones israelíes y una organización intergubernamental con operaciones en el Líbano durante los últimos tres meses. Desde febrero, los ataques se dirigieron a organizaciones de fabricación crítica, TI y la industria de defensa de Israel. 

Se observaron actores de amenazas abusando de OneDrive, por esta razón, Microsoft suspendió más de 20 aplicaciones maliciosas de OneDrive creadas por actores de POLONIUM, notificó a las organizaciones afectadas e implementó una serie de actualizaciones de inteligencia de seguridad que pondrán en cuarentena las herramientas maliciosas desarrolladas por los atacantes.

 

Operaciones en Chile y LATAM

Durante este segundo trimestre, se observaron tendencias de continuos ataques contra la banca nacional en un intento por efectuar un acercamiento para una posible campaña como la observada en 2018, así como recientes intereses expresados por el gobierno de China en la exploración de tierras raras y de producción de minerales, apuntando a la vigilancia y robo de datos de organizaciones del rubro minero y químico, sin embargo, no se evidencia alguna operación directamente declarada contra instituciones chilenas.

Destaca en este ámbito, una campaña de espionaje dirigida a Colombia durante el inicio del presente año y que extendió hasta mayo, en el que se evidenció el intento por comprometer empresas de distintas industrias, organizaciones sin fines de lucro, y entidades gubernamentales.

En LATAM, el uso de malware de tipo infostealers, se ha mantenido en constante crecimiento, ya que es una de las tantas aristas del MaaS con mayor éxito de compromiso, evidenciando un modelo de negocio creciente y con proyección dentro del mercado negro.

 

Colombia en la mira: Operación Discordia

En una investigación realizada por el laboratorio ESET LATAM, se indica que la campaña apunta a que el método para lograr acceso inicial y comenzar la cadena de infección hasta descargar njRAT comenzaba con correos de phishing que simulaban ser comunicaciones oficiales del Sistema Penal Oral Acusatorio (SPOA) de Colombia. Estos correos incluían como adjuntos archivos comprimidos que estaban protegidos con una contraseña de cuatro números.

 

Ejemplo de malspam de campaña de espionaje contra Colombia

 

De acuerdo con la firma de seguridad, anteriormente se habría llevado a cabo otra operación de similares características, denominada “Operación Spalax”.

En el año 2020, el Laboratorio de ESET observó varios ataques dirigidos exclusivamente a entidades colombianas, los que se centraron tanto en instituciones gubernamentales como en empresas privadas, siendo los sectores energético y el metalúrgico los más apuntados. Los atacantes se apoyaron en el uso de troyanos de acceso remoto (RAT) con el objetivo de espiar a sus víctimas. 

Tomando en cuenta esta operación y la recientemente llevada a cabo “Operación Discordia”, ambas guardan similitudes en el modo de operación de los actores maliciosos, desde el uso de campañas de phishing hasta los artefactos relacionados a las infecciones en los equipos víctimas.

Hasta el momento, se desconoce la atribución de la campaña, sin embargo y dada la clara intención de la operación, no se descarta que grupos políticamente motivados estén detrás de dicha actividad.

 

El interés de China por empresas occidentales de minerales y tierras raras

Una operación de desinformación alineada con China conocida como “Dragon Bridge” apuntó a empresas estadounidenses, australianas y canadienses de minerales de tierras raras en un aparente intento de apuntalar el dominio del mercado chino, anunciaron investigadores de Mandiant.

China produce la gran mayoría de los 17 minerales de tierras raras que son críticos en la fabricación de productos electrónicos. A medida que surgieron preocupaciones geopolíticas y de la cadena de suministro, también lo hizo el abastecimiento de minerales de tierras raras. China amenazó con un embargo de tierras raras en 2019, durante una guerra comercial instituida por la administración de Donald Trump. 

A finales de junio, Estados Unidos, la Unión Europea y nueve países adicionales , incluidos el Reino Unido, Corea del Sur, Australia y Canadá, firmaron un acuerdo para crear un suministro adicional de este tipo de materia prima.

 

 

Como se ha venido observando durante el pasado Q1 y Q2 20222 se estima que las operaciones que se vienen por delante estarán enfocadas en explotar activos de alto interés principalmente en los sectores de gobierno, energía, banca y combustibles, esto de acuerdo a lo visualizado en las  diferentes campañas desplegadas en LATAM y en el mundo, en los últimos meses.

A su vez se aprecia que la utilización del Malware destructivo (Wiper) va en aumento y no sería extraño el ver a actores de amenaza implantando este tipo de malware dentro del territorio Nacional, dado que ya ha sido utilizado, puesto a prueba y perfeccionado en la Guerra entre Rusia y Ucrania. Este tipo de ataques debe poner en alerta a sectores de la Infraestructura Nacional, que pueden llegar a ser el objetivo de posibles operaciones que en forma silenciosa se vienen orquestando desde el anonimato. 

En este tema en particular de los malware del tipo “destructivo”, se debe tener en cuenta que posterior a los análisis de los artefactos utilizados en las diferentes operaciones detectadas, se hace imperioso señalar que el interés de aquellos actores de amenazas que tienen como objetivo obtener una ventaja industrial, no están centrados en “negociar”, sino que, se debe considerar muy en cuenta que sus acciones podrían tener como objetivo el provocar un daño irrecuperable.

En el terreno de los Ataques con Malware sofisticado, como son los del tipo Ransomware, Infostealer, Wiper o similar, estós se han mantenido y seguirán en alza, en algunos casos se ha observado una leve tendencia hacia acciones relacionadas a la extorsión, posterior a la ejecución del ataque en forma exitosa, esto podría desencadenar en que los actores de amenazas no tengan dentro de su plan de acción el devolver, los accesos a los datos comprometidos.

También es prudente mencionar que se estima que el sector bancario Nacional podría verse afectado por ataques, esto a razón de que se han observado durante los últimos meses ataques hacia entidades de la Banca en LATAM, como lo fue recientemente la denominada “Operación Discordia” en Colombia. 

En términos generales, los hechos ocurridos y observados en LATAM y el mundo, nos entregan una visión en relación a que existen actores de amenazas operando muy cerca de Chile, lo cual nos pone como un objetivo que podría estar dentro del área de ataque de estos actores de amenazas.

Mitigación

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
Tags: #Panorama #Amenazas #Q2 2022 #Infostealers #Ransomware #Wiper #njRatt #Blumblebee #Panoramas-CCI
Fuentes utilizadas
https://portal.cci-entel.cl/Threat_Intelli...
  • Productos Afectados
  • Producto Versión
    . .
Entel Corp.
Torre Entel,
Santiago, Chile
Enlaces Internos
Blogs de Seguridad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.