El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, compartió el lunes 26 de septiembre de 2022, indicadores de compromiso y una descripción del comportamiento del ransomware LockBit Black, el que afectó al Poder Judicial.
El análisis de la muestra de LockBit Black permitió esclarecer cómo se produce la infección del ransomware.
El archivo bat 123.cmd realiza una llamada al archivo ejecutable externo injector.exe. Este archivo contiene dos parámetros: el parámetro -e, que realiza la llamada a un archivo de sistema denominada rdpclip.exe; y el parámetro -d, el cual convoca a una biblioteca de enlaces dinámicos llamada lbb.dll. La biblioteca lbb.dll realiza la llamada a otras bibliotecas de enlaces dinámicos con el propósito de hacer las cargas dentro del sistema para la realización de la encriptación.
El análisis realizado a la muestra permitió encontrar el ransomware dentro la biblioteca lbb.dll y no en el ejecutable injector.exe, el cual en este caso solo fue un vector de lanzamiento para la inyección de la biblioteca.
El ransomware utiliza el objeto “rootDSE” para establecer una conexión con el active directory. Al obtener el atributo puede enlazar al dominio infectado para así autoreplicarse.
El relativamente nuevo Bl00Dy Ransomware Gang ha comenzado a utilizar un generador de ransomware LockBit recientemente filtrado en ataques contra empresas.
La semana pasada, el generador de ransomware LockBit 3.0 se filtró en Twitter después de que el operador de LockBit tuviera una pelea con su desarrollador. Este builder permite que cualquier persona construya un cifrador y descifrador completamente funcional que los actores de amenazas pueden usar para los ataques.
Como el builder incluye un archivo de configuración que se puede personalizar fácilmente para usar diferentes notas de rescate, servidores de estadísticas y características se predice que otros actores de amenazas pronto usarían el constructor para crear su propio ransomware.
Desafortunadamente, nuestras predicciones se han hecho realidad, y un grupo de ransomware relativamente nuevo llamado 'Bl00Dy Ransomware Gang' ya ha utilizado el constructor en un ataque a una entidad ucraniana.
En la última semana la región se vio afectada por múltiples ataques de ransomwares afectando a Chile, Paraguay y Guatemala. Para nuestro País la amenaza detectada fue el ransomware Lockbit el cual ha estado activamente atacando a la región durante el mes de septiembre ya habiendo afectado a Brasil, Colombia, México, Chile, Ecuador, Venezuela, Costa Rica y Perú.
Para paraguay la amenaza detectada fue el ransomware avoslocker el cual es una familia de ransomware relativamente nueva, que está aumentando sus ataques mientras adopta nuevas tácticas para evadir el software de seguridad. Observado por primera vez aproximadamente hace 1 año, habría mejorado sus técnicas de ataques así como aquellas destinadas a explotar vulnerabilidades que sirvieran de vector de entrada.
En Guatemala se vio afectado el ministerio de de relaciones exteriores por el ransomware VSOP (Onyx), Onyx ransomware fue identificado inicialmente por investigadores a mediados de abril de 2022. El grupo de ransomware utiliza la técnica de doble extorsión para apuntar a sus víctimas, donde extrae los datos de la víctima y luego los cifra. Si la víctima no puede pagar el rescate, los Threat Actors (TA) filtran los datos de la víctima en su sitio de fuga.
Actualmente Lockbit es un grupo de Ransomware altamente experimentado que lidera el ranking con mayor cantidad de víctimas alrededor del mundo de forma histórica y mensual, el cual actualmente ha mostrado una alta presencia en LATAM durante el mes de septiembre, hecho que se ha vuelto cada vez más habitual, pero no menos riesgoso.
Esta organización altamente sofisticada mantiene un total histórico de aproximadamente 1.200 víctimas desde el inicio de su actividad con la primera variante, superando con creces a ransomware CONTI de origen ruso que se mantuvo liderando este ranking hasta que fue dado de baja debido a presiones políticas, quien en su registro histórico logró afectar a aproximadamente 850 organizaciones.
El Grupo Lazarus ha continuado con su patrón de aprovechar oportunidades laborales no solicitadas para implementar malware dirigido al sistema operativo macOS de Apple.
En la última variante de la campaña observada por la empresa de seguridad cibernética SentinelOne la semana pasada, se han utilizado documentos señuelo que anuncian posiciones para la empresa de intercambio de criptomonedas Crypto[.]com, con sede en Singapur, esto con el objeto de montar los ataques.
La última divulgación se basa en hallazgos anteriores de la empresa de ciberseguridad eslovaca ESET en agosto, que profundizó en una publicación de trabajo falsa similar para la plataforma de intercambio de criptomonedas Coinbase.
Estos dos anuncios de trabajo falsos son solo los últimos de una serie de ataques denominados “Interception Operation”, que a su vez, es un componente de una campaña más amplia rastreada bajo el nombre "Operation Dream Job".
Aunque se desconoce el vector de distribución exacto del malware, se sospecha que los objetivos potenciales se señalan a través de mensajes directos en el sitio de redes empresariales LinkedIn.
Se vio al grupo de piratas informáticos de Corea del Norte 'Lazarus' instalando un rootkit de Windows que abusa de un controlador de hardware de Dell en un ataque de Traiga su propio controlador vulnerable.
La campaña de spear-phishing se desarrolló en el otoño de 2021 y los objetivos confirmados incluyen un experto aeroespacial en los Países Bajos y un periodista político en Bélgica.
Según ESET, que publicó hoy un informe sobre la campaña, el objetivo principal era el espionaje y el robo de datos.
El sector de la salud ha sido un objetivo favorito para los ciberdelincuentes, especialmente desde que estalló la pandemia. El Departamento de Salud y Servicios Humanos ha estado publicando alertas para que las entidades de atención médica las sigan para mantenerse a salvo de ataques cibernéticos dañinos. En una de esas últimas alertas, el departamento advierte contra los ataques de un actor de amenazas patrocinado por el estado chino.
APT41 es el actor de amenazas chino conocido por apuntar a las industrias farmacéutica y de alta tecnología, junto con la atención médica. El grupo aprovecha el spear-phishing, los abrevaderos, las puertas traseras y los ataques a la cadena de suministro para obtener acceso a la red.
Además, la alerta indica que el grupo ha estado utilizando capturas de pantalla de registro de teclas, inyección de código, conexión y consulta de bases de datos SQL, robo de datos del portapapeles y descarga de archivos.
APT41 implementa múltiples programas maliciosos privados y públicos para establecer un punto de apoyo y herramientas personalizadas para aumentar los privilegios.
Se descubrió que el actor de amenazas patrocinado por el estado ruso conocido como APT28 aprovecha un nuevo método de ejecución de código que utiliza el movimiento del mouse en documentos señuelo de Microsoft PowerPoint para implementar malware.
La técnica "está diseñada para activarse cuando el usuario inicia el modo de presentación y mueve el mouse", dijo la firma de ciberseguridad Cluster25 en un informe técnico. "La ejecución del código ejecuta un script de PowerShell que descarga y ejecuta un “dropper” comentan desde OneDrive".
El “dropper”, un archivo de imagen aparentemente inofensivo funciona como una vía para una carga útil de seguimiento, una variante de un malware conocido como Graphite, que usa Microsoft Graph API y OneDrive para comunicaciones de comando y control (C2) para recuperar información adicional. cargas útiles
El ataque emplea un documento señuelo que hace uso de una plantilla potencialmente vinculada a la Organización para la Cooperación y el Desarrollo Económicos ( OCDE ), una entidad intergubernamental con sede en París.
Los piratas informáticos han encontrado un nuevo método para establecer la persistencia en los hipervisores VMware ESXi para controlar los servidores vCenter y las máquinas virtuales para Windows y Linux mientras evitan la detección.
Con la ayuda de paquetes de instalación maliciosos de vSphere, el atacante pudo instalar en el hipervisor básico dos puertas traseras que los investigadores han llamado VirtualPita y VirtualPie.
Los investigadores también descubrieron una muestra de malware única a la que llamaron VirtualGate, que incluye un “dropper” y una carga útil (Payload).
Los ciberdelincuentes continúan aprovechándose de los usuarios que buscan software descifrado al dirigirlos a sitios web fraudulentos que alojan instaladores armados que implementan malware llamado NullMixer en sistemas comprometidos.
"Cuando un usuario extrae y ejecuta NullMixer, arroja una cantidad de archivos de malware a la máquina comprometida", dijo la firma de seguridad cibernética Kaspersky. "Lanza una amplia variedad de binarios maliciosos para infectar la máquina, como puertas traseras, banqueros, descargadores, spyware y muchos otros".
Además de desviar las credenciales de los usuarios, la dirección, los datos de la tarjeta de crédito, las criptomonedas e incluso las cookies de sesión de la cuenta de Facebook y Amazon, lo que hace que NullMixer sea insidioso es su capacidad para descargar docenas de troyanos a la vez, lo que amplía significativamente la escala de las infecciones.
Las cadenas de ataque generalmente comienzan cuando un usuario intenta descargar software descifrado de uno de los sitios, lo que conduce a un archivo protegido con contraseña que contiene un archivo ejecutable que, por su parte, descarga y ejecuta un segundo binario de configuración diseñado para entregar una variedad de archivos maliciosos.
Estos sitios web maliciosos aprovechan las técnicas de envenenamiento de optimización de motores de búsqueda (SEO), como el relleno de palabras clave, para destacarlos en los resultados de los motores de búsqueda. Los actores detrás de las campañas de GootLoader y SolarMarker han adoptado tácticas similares.
NullMixer, el mes pasado, se vinculó a la distribución de una extensión maliciosa de Google Chrome llamada FB Stealer, que es capaz de robar credenciales de Facebook y sustituir motores de búsqueda.
Un nuevo malware multifuncional basado en Go denominado Chaos ha crecido rápidamente en volumen en los últimos meses para atrapar una amplia gama de Windows, Linux, enrutadores de oficinas pequeñas/hogares (SOHO) y servidores empresariales en su red de bots.
"La funcionalidad Chaos incluye la capacidad de enumerar el entorno del host, ejecutar comandos de shell remotos, cargar módulos adicionales, propagarse automáticamente mediante el robo y la fuerza bruta de claves privadas SSH, así como lanzar ataques DDoS", dijeron investigadores de Black Lotus Labs.
La mayoría de los bots están ubicados en Europa, específicamente en Italia, con otras infecciones reportadas en China y EE. UU., que representan colectivamente "cientos de direcciones IP únicas" durante un período de un mes desde mediados de junio hasta mediados de julio de 2022.
Escrito en chino y aprovechando la infraestructura basada en China para comando y control, el botnet se une a una larga lista de malware que está diseñado para establecer la persistencia durante períodos prolongados y probablemente abusar del punto de apoyo para fines nefastos, como ataques DDoS y minería de criptomonedas.
En todo caso, el desarrollo también apunta a un aumento dramático en los actores de amenazas que cambian a lenguajes de programación como Go para evadir la detección y dificultar la ingeniería inversa, sin mencionar que apuntan a varias plataformas a la vez.
Chaos (que no debe confundirse con el generador de ransomware del mismo nombre) hace honor a su nombre al explotar las vulnerabilidades de seguridad conocidas para obtener acceso inicial, y luego abusar de él para realizar un reconocimiento e iniciar un movimiento lateral a través de la red comprometida.
Cisco ha publicado 2 avisos de seguridad que contienen 5 vulnerabilidades todas clasificadas con Severidad Media. Estas fallas afectan a Cisco IOS, Cisco Switches, entre otros.
Entre los riesgos de una explotación exitosa podría permitir al atacante eludir la separación de VLAN y potencialmente también eludir cualquier mecanismo de protección de Capa 3 que se implemente.
También, la explotación de estas vulnerabilidades podría permitir que un atacante adyacente eluda las funciones de seguridad de primer salto (FHS) configuradas en los productos de Cisco afectados.
Las vulnerabilidades no dependen unas de otras, no se requiere la explotación de una para explotar otra vulnerabilidad. Además, es posible que una versión de software que se vea afectada por una de las fallas no se vea afectada por las otras.
Cisco ha publicado 21 nuevos avisos de seguridad que contienen 22 vulnerabilidades, de las cuales 14 son de severidad Alta y 8 de severidad Media. Estas fallas afectan a distintas versiones de Cisco IOS XE, Cisco vManage, Cisco SD-WAN, entre otros.
Una nueva vulnerabilidad crítica de MS Exchange (2013, 2016 y 2019) está siendo explotada activamente por actores maliciosos, los cuales mediante dos vulnerabilidades Zero-Day permiten acceder al servidor de correo electrónico para cargar backdoors para posterior movimiento lateral y webshells que luego son utilizadas para ejecutar comandos de forma remota. Si bien aún no cuenta con parche oficial distribuido por la marca, existen medidas mitigatorias para prevenir este ataque, las cuales deben ser aplicadas sobre la última actualización disponible.
Es ampliamente conocido que el servicio de correo electrónico de Microsoft es utilizado alrededor del mundo, por lo que ha sido blanco de múltiples ataques en el último tiempo que lo han llevado a ser un elemento crítico dentro de la seguridad de la organización. La data ahí alojada suele tener un alto valor para las organizaciones sabiendo que, esta es una vía oficial para comunicaciones internas de diferente criticidad, en donde además podemos encontrar un completo registro de las direcciones de correo de los colaboradores que allí prestan servicios que pudiesen ser utilizados posteriormente para comunicaciones fraudulentas o entrega de cargas útiles maliciosas mediante el ya conocido phishing.
Además de lo anterior, es altamente factible que actores de amenazas creen cuentas de usuarios nuevas en donde tengan su propio acceso al servidor y no mediante la utilización de cuentas de terceros, lo que podría ser utilizado para evasión de detección.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) agregó el viernes una falla crítica recientemente revelada que afecta el servidor Bitbucket y el centro de datos de Atlassian al catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), citando evidencia de explotación activa.
El problema, rastreado como CVE-2022-36804 , se relaciona con una vulnerabilidad de inyección de comandos que podría permitir a los actores maliciosos obtener la ejecución de código arbitrario en instalaciones susceptibles mediante el envío de una solicitud HTTP especialmente diseñada.
Sin embargo, la explotación exitosa depende del requisito previo de que el atacante ya tenga acceso a un repositorio público o posea permisos de lectura para un repositorio privado de Bitbucket.
"Todas las versiones de Bitbucket Server y Datacenter lanzadas después de la 6.10.17, incluida la 7.0.0 y posteriores, se ven afectadas, lo que significa que todas las instancias que ejecutan cualquier versión entre 7.0.0 y 8.3.0 inclusive se ven afectadas por esta vulnerabilidad", señaló Atlassian. en un aviso de finales de agosto de 2022.
CISA no proporcionó más detalles sobre cómo se explota la falla y qué tan extendidos son los esfuerzos de explotación, pero GreyNoise dijo que detectó evidencia de abuso en estado salvaje el 20 y 23 de septiembre de 2022.
Como contramedidas, todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) deben remediar las vulnerabilidades antes del 21 de octubre de 2022, para proteger las redes contra amenazas activas.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 03 al 09 de Octubre del 2022.
Objetivos observados durante la semana de análisis:
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4
ENTEL Weekly Threat Intelligence Brief del 19 al 25 de septiembre de 2022 |
MICROSOFT EXCHANGE: ¡Nuevos Zero-Day están siendo explotados! |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
CVE-2021-27853
CVE-2021-27854
CVE-2021-27861
CVE-2021-27862
CVE-2022-20728
CVE-2022-20848
CVE-2022-20769
CVE-2022-20847
CVE-2022-20920
CVE-2022-20775
CVE-2022-20818
CVE-2022-20870
CVE-2022-20919
CVE-2022-20915
CVE-2022-20944
CVE-2022-20855
CVE-2022-20856
CVE-2022-20945
CVE-2022-20837
CVE-2022-20851
CVE-2022-20930
CVE-2022-20830
CVE-2022-20844
CVE-2022-20864
CVE-2022-20662
CVE-2022-20810
CVE-2022-20850
CVE-2022-41040
CVE-2022-41082
CVE-2022-36804
Tipo | Indicador |
---|---|
LockBit | . |
hash | 0a937d4fe8aa6cb947b95841c49... |
hash | 02e614c8577ef1d9dc490fd3bda... |
hash | 03b8472df4beb797f7674c5bc30... |
hash | 070b14d38eb14b3a3fab86a7057... |
hash | 0e46cf8e96321df65d854729cc7... |
hash | 144d9d3f33901d2dc1113948739... |
hash | 25456fd92a3b6daa3ab519e9f6f... |
Avoslocker | . |
hash | f8e99bbacc62b0f72aa12f5f92e... |
VSOP (Onyx) | . |
hash | 02ffc8761f72dd1ad0b00cbee53... |
hash | 2135dbf25e51166e6e410554d10... |