ENTEL Weekly Threat Intelligence Brief del 15 al 21 de Agosto 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe, es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

• El Malware Bumblebee ha sido asociado a un corredor de acceso inicial denominado Exotic Lily .
• Una vulnerabilidad en la interfaz de administración web de Cisco AsyncOS, podría permitir realizar inyección de comandos y elevar los privilegios a la raíz.
• Microsoft Parse Server tiene código vulnerable de Prototype Pollution.
• Ransomware Play vulneró la red del Poder Judicial de Argentina, consiguiendo exfiltrar datos de correos electrónicos de sus colaboradores.

El nuevo blanco de Play Ransomware

Corresponde a la exfiltración de datos causada al Poder Judicial de Córdoba, Argentina; si bien se desconoce aún el vector de ataque, de acuerdo a algunos investigadores se cree que los atacantes probablemente obtuvieron acceso a la red judicial a través de un ataque de phishing, basado en direcciones de correo electrónico obtenidas a través de la filtración de datos pasada de Globant.

Grupo de Ransomware Conti asociado a actividades de Bumblebee

Bumblebee salió a la luz por primera vez en marzo de 2022 y ha sido asociado a un corredor de acceso inicial denominado Exotic Lily, altamente vinculado a operaciones de ransomware de los grupos Conti y Diavol. Exotic Lily, además de utilizar empresas e identidades ficticias como un medio para generar confianza con las entidades objetivo, ha aprovechado los servicios legítimos de intercambio de archivos como WeTransfer, TransferNow y OneDrive para entregar cargas útiles (Payload) de BazarBackdoor en un intento por evadir los mecanismos de detección y seguridad.

Black Basta, la nueva amenaza Ransomware

Se trata de una extensión de Conti, la cual se detectó por primera vez en abril del 2022, su modus operandi es el de la doble extorsión, que combina el cifrado de archivos con la extorsión por la fuga de datos. Esto luego de hacer acopio de credenciales y mapeo de la red usando PsExec con el objetivo de localizar y comprometer el controlador de dominio.  Según variadas fuentes, este grupo se ha hecho responsable de comprometer al menos a 50 organizaciones hasta el momento.

Ransomware LockBit se atribuyó el reciente ataque a la empresa de ciberseguridad Entrust

En este ataque, se robó una gran cantidad de datos de los sistemas internos que contenían información de los clientes de Entrust, una empresa proveedora de software y hardware de tarjetas financieras e identidades.

Este ransomware es ocupado como servicio por entidades criminales prominentes como DarkSide y Conti. En su última iteración conocida hasta el momento como LockBit 3.0 ha implementado balizas Cobalt Strike en los sistemas Windows y VMware, lo que pone en riesgo a los usuarios a nivel global.

FBI y CISA advierten sobre banda de Ransomware Zeppelin

Este grupo surgió a fines de 2019 y de momento su foco principal apunta a grandes organizaciones de EE.UU. y Europa solicitando enormes demandas de rescate. Entre unos de los vectores de ataque conocidos de este grupo se destaca la explotación del protocolo de escritorio remoto (RDP), las vulnerabilidades del firewall de SonicWall y el uso de Phishing.

Regreso de la operación de ransomware BlackByte, con estrategia de rescate de varios niveles

Según algunos investigadores la banda permite a las víctimas la oportunidad de pagar para retrasar la publicación de sus datos en varios niveles que van desde  $5.000 USD por 24 horas, $200.000 USD para descargar los datos y $300.000 USD por destruir todos los datos. Al igual que con cualquier grupo de ciberactores de ransomware, el pago de cualquier suma exigida trae consigo cero garantías de que quienes están detrás del ataque cumplirán sus promesas.

El grupo de Ciberinteligencia TA558 intensifica los ataques a hoteles

Este actor de amenazas se dirige a las organizaciones hoteleras y de viajes con señuelos únicos que hacen referencia a reservaciones, de acuerdo a lo indivcado por Sherrod DeGrippo, Vicepresidente de investigación y detección de amenazas de Proofpoint.  Si bien se observó por primera vez en 2018, el actor de amenazas rastreado como TA558 por Proofpoint ha aumentado su ritmo operativo, a través de investigaciones se han observando 51 campañas en lo que va del año. Durante los últimos cuatro años, los ciberdelincuentes han evolucionado sus tácticas y han ido diversificado la cantidad de RAT desplegadas en campañas, centrándose principalmente en víctimas en la región de América Latina, con objetivos adicionales observados en Europa Occidental y América del Norte.

Bumblebee ha sido asociado a un corredor de acceso inicial denominado Exotic Lily

Bumblebee salió a la luz por primera vez en marzo de 2022 y ha sido asociado a un corredor de acceso inicial denominado Exotic Lily altamente vinculado a operaciones de ransomware de los grupos APT Conti y Diavol. 

Exotic Lily además de utilizar empresas e identidades ficticias como un medio para generar confianza con las entidades objetivo, ha aprovechado los servicios legítimos de intercambio de archivos como WeTransfer, TransferNow y OneDrive para entregar cargas útiles de BazarBackdoor en un intento por evadir los mecanismos de detección y seguridad.

Malware no identificado efectúa el mayor ataque DDOS hasta el momento registrado.

Según fuentes un cliente de Google Cloud Armor, sufrió un ataque de denegación de servicio distribuido (DDoS) a través del protocolo HTTPS que alcanzó los 46 millones de solicitudes por segundo (RPS), lo que lo convierte en el mayor ataque jamás registrado de este tipo. El malware detrás del ataque aún no se ha determinado, pero la distribución geográfica de los servicios utilizados apunta a Meris, una red de bots responsable de los ataques DDoS que alcanzan un máximo de  17,2 millones de RPS  y  21,8 millones de RPS , ambos record hasta el momento.

Vulnerabilidad de Microsoft Windows Parse Server permite  Prototype Pollution

Parse Server es un backend de servidor web http de código abierto. En versiones anteriores a la 4.10.7, existe una vulnerabilidad de ejecución remota de código (RCE) en Parse Server. Esta vulnerabilidad afecta a Parse Server en la configuración por defecto con MongoDB. La principal debilidad que conduce a RCE es el código vulnerable de Prototype Pollution en el archivo "DatabaseController.js", por lo que es probable que también afecte a Postgres y cualquier otro backend de base de datos. Esta vulnerabilidad ha sido confirmada en Linux (Ubuntu) y Windows. 

Vulnerabilidad afecta a Cisco AsyncOS para Cisco Secure Web Appliance

Cisco ha publicado un nuevo aviso de seguridad que contiene 1 vulnerabilidad de severidad Media. No todas las versiones del producto afectado por esta falla poseen actualmente un parche disponible. Según la publicación, estos parches estarían disponibles entre lo que queda de Agosto y Septiembre de 2022.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 22 al 28 de agosto de 2022:

• Banca y Finanzas
• Construcción e inmobiliaria
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Retail y servicios de consumo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Turismo, hoteles y restaurantes
• Infraestructura tecnológica - Componentes

• Construcción e inmobiliaria
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Retail y servicios de consumo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Infraestructura tecnológica - Componentes

• Banca y Finanzas
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia

• Entretenimiento, cultura y arte

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.