El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing
Ransomware Everest afirma haber hackeado la compañía eléctrica de Sudáfrica ESKOM Hld SOC Ltd.
Los expertos en seguridad informaron que ESKOM Hld SOC Ltd estaba teniendo algunos problemas con el servidor. Al mismo tiempo, la pandilla Everest Ransomware publicó un reclamo sobre el hackeo de la compañía eléctrica estatal sudafricana. En su momento, la empresa negó haber sufrido una brecha de seguridad. Los actores de la amenaza afirman haber tenido acceso a todos los servidores de la empresa y tener acceso root a muchos de ellos.
“Servidores de administración, bases de datos, copias de seguridad, acceso de empleados a la administración de terminales POS y mucho más. Múltiples escenarios y desarrollos. Puedes convertirte en el rey de la electricidad en todo el país. Confiar en el acceso de una conocida empresa de defensa de EE. UU., que es socia de esta Compañía Eléctrica”. Se lee el mensaje publicado en el sitio web de Tor de los ciberactores.
El grupo de ransomware ofrece un paquete que incluye servidores con administrador, root, contraseñas de administrador de sistemas para servidores Linux y Windows, y más. Actualmente están exigiendo $200,000 por el acceso robado, aceptan criptomonedas Bitcoin y Monero.
BlackByte Ransomware abusa de un controlador vulnerable para eludir las soluciones de seguridad
Los investigadores de Sophos advierten que los operadores de ransomware BlackByte están utilizando un ataque BYOVD (Bring Your Own Vulnerable Driver) para eludir los productos de seguridad.
Ransomware BlackByte estaría explotando una vulnerabilidad de escalada de privilegios y ejecución de código ( CVE-2019-16098 , puntuación CVSS 7.8) que afecta al controlador Micro-Star MSI Afterburner RTCore64.sys.
Otros ransomware en el pasado abusaron de la técnica BYOVD para deshabilitar soluciones de seguridad, por ejemplo , los operadores de RobbinHood y AvosLocker explotaron vulnerabilidades (CVE-2018-19320 ) en gdrv.sys y asWarPot.sys.
Cadenas de hospitales CommonSpirit afectadas por ransomware
Common Spirit , una de las mayores cadenas de hospitales de EE.UU., sufrió un ciberataque de ransomware que provocó graves problemas a las instalaciones y a los pacientes. La supuesta brecha de seguridad provocó cirugías retrasadas, retrasos en la atención de los pacientes y obligó a la cadena a reprogramar citas médicas en todo el país.
CommonSpirit Health confirmó que había experimentado un problema de seguridad de TI que lo obligó a desconectar parte de su infraestructura. Sin embargo, aún ningún grupo de ransomware se atribuye este ataque.
Intel confirma la fuga del código fuente del BIOS de Alder Lake por un supuesto ransomware aún sin detectar
El fabricante de chips Intel ha confirmado que se filtró el código fuente propietario relacionado con sus CPU Alder Lake, luego de su publicación por parte de un tercero desconocido en 4chan y GitHub. El contenido publicado contiene el código de la interfaz de firmware extensible unificada ( UEFI ) para Alder Lake , los procesadores de 12.ª generación de la empresa que se lanzaron originalmente en noviembre de 2021.
Los detalles exactos que rodean la naturaleza del ataque, qué ransomware se le podría atribuir el ataque, incluida su procedencia, no están claros aún. Desde entonces, el repositorio de GitHub se eliminó, aunque sigue siendo accesible a través de otras versiones replicadas.
Actores de amenazas roban USD 100 millones en criptomonedas de Binance Bridge
BNB Chain, una cadena de bloques vinculada al intercambio de criptomonedas Binance, reveló un exploit en un puente de cadena cruzada que drenó alrededor de $100 millones en activos digitales. Este ataque se entiende por su forma de actuar sería protagonizado por un grupo de ransomware, sin embargo, aún no se tienen antecedentes que lo confirmen.
Si bien el hackeo involucró el retiro de dos millones de BNB en dos transacciones, la suspensión de la cadena evitó el robo de casi $430 millones en criptomonedas, dijo la firma de seguridad de blockchain SlowMist . La empresa de análisis de blockchain Chainalysis estimó en agosto que se habían robado USD 2000 millones en criptomonedas en 13 ataques de puentes entre cadenas, lo que representa el 69 % del total de los fondos robados en 2022.
Cisa señala que múltiples grupos APT se infiltran en la organización de defensa
Múltiples grupos de amenazas persistentes avanzadas (APT) obtuvieron acceso a la red de una organización de defensa con sede en EE. UU. en enero de 2021, comprometiendo ampliamente las computadoras, la red y los datos de la compañía durante casi un año, declararon tres agencias gubernamentales en un aviso conjunto el 4 de octubre de este año.
Los atacantes tenían acceso al Microsoft Exchange Server de la organización y utilizaron una cuenta de administrador comprometida para recopilar información y moverse lateralmente en el entorno de TI a mediados de enero de 2021, según el aviso emitido por la CISA, la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI).
El grupo APT de Medio Oriente, DeftTorero, despliega nuevas tácticas
Investigadores de Kaspersky descubrieron una serie de nuevos ataques del grupo APT de Medio Oriente conocido como DeftTorero, o Volatile Cedar. El grupo ha estado activo desde 2012, apuntando al gobierno, el ejército, la educación, las empresas y las telecomunicaciones, particularmente en los Emiratos Árabes Unidos, Arabia Saudita, Egipto, Kuwait, Líbano, Jordania y Turquía.
“Aunque DeftTorero no tenía un alto nivel de destreza tecnológica en el pasado, el tiempo demostró que las herramientas de código abierto, los ataques sin archivos y la modificación de herramientas todavía se usan para comprometer con éxito a las víctimas”, explica Kaspersky.
Al usar puertas traseras, el grupo APT no solo puede encontrar puertas de enlace a su objetivo, sino también usarlo para conectarse a otros servidores, y debido a que estos ataques se desarrollan rápidamente y, a menudo, pasan desapercibidos, es crucial mitigarlos en las primeras etapas.
LilithBot Malware, un nuevo MaaS ofrecido por Eternity Group
Los investigadores de Zscaler vincularon una muestra recientemente descubierta de un nuevo malware llamado LilithBot con el grupo Eternity (también conocido como EternityTeam; Eternity Project). El grupo Eternity opera un malware como servicio (MaaS) que está vinculado al "Grupo Jester" ruso, el cual está activo al menos desde enero de 2022.
Los operadores detrás del proyecto permiten a sus clientes personalizar las funciones binarias a través del canal de Telegram.
Los operadores venden el módulo Stealer por $260 como suscripción anual, permite robar información confidencial de los sistemas infectados, incluidas contraseñas, cookies, tarjetas de crédito y billeteras criptográficas. Los datos robados se filtran a través de Telegram Bot.
Expertos advierten sobre el nuevo Spyware de Android RatMilad dirigido a dispositivos empresariales
El troyano móvil funciona como software espía avanzado con capacidades que recibe y ejecuta comandos para recopilar y filtrar una amplia variedad de datos del terminal móvil infectado, dijo Zimperium en un informe compartido con The Hacker News.
La evidencia recopilada por la empresa de seguridad móvil muestra que la aplicación maliciosa se distribuye a través de enlaces en las redes sociales y herramientas de comunicación como Telegram, engañando a los usuarios desprevenidos para que descarguen la aplicación y les otorguen amplios permisos.
Se ha descubierto un malware que se esconde en el logo de inicio en Windows
Ha sido la empresa de seguridad Symantec la que ha descubierto esta nueva campaña de ciberespionaje lanzada en febrero de 2022 y que fue dirigida a dos gobiernos en Oriente Medio y África.
Los actores de amenazas buscaron vulnerabilidades en el sistema y escondieron el malware usando el logotipo de Windows en un tipo de ataque llamado “esteganografía”, el cual consiste en ocultar información dentro de una información pública, evitando su detección. Este archivo malicioso se aloja en un servicio en la nube, lejos del servidor de comando y control (C2) en el sistema para evitar que pueda saltar una alerta de seguridad.
Nuevas tácticas, técnicas y evasión evidenciadas en ataques recientes de Emotet
El resurgimiento de Emotet también estuvo marcado por un cambio en la infraestructura C2, con el actor de amenazas operando dos nuevos grupos de botnets denominados Epochs 4 y 5 . Antes del desmantelamiento del 2021, la operación Emotet se ejecutó sobre tres redes de bots separadas denominadas Epochs 1, 2 y 3 .
"La adaptación continua de la cadena de ejecución de Emotet es una de las razones por las que el malware ha tenido éxito durante tanto tiempo", dijeron investigadores de la Unidad de Análisis de Amenazas (TAU) de VMware.
Los flujos de ataque de Emotet también se caracterizan por el uso de diferentes vectores de ataque en un intento de permanecer encubierto durante largos períodos de tiempo.
Actores maliciosos explotan la falla RCE sin parches en Zimbra Collaboration Suite
Zimbra corresponde tanto a un cliente como a un servidor de mensajería de correos electrónicos escrito en Java, creado en 2003, cuenta con un producto Open Source abierto a la comunidad como con una versión de pago que presenta mejoras al software base. Actualmente VMWare es el propietario de este software.
Actualmente se está explotando una vulnerabilidad identificada con el CVE-2022-41352 que tiene una calificación de gravedad crítica de CVSS 9.8, lo que proporciona una vía para que los atacantes carguen archivos arbitrarios y lleven a cabo acciones maliciosas en las instalaciones afectadas.
La vulnerabilidad, que está presente en las versiones 8.8.15 y 9.0 del software, afecta a varias distribuciones de Linux como Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 y CentOS 8, con la excepción de Ubuntu debido a que ese pax ya viene instalado por defecto.
Microsoft emite mitigaciones mejoradas para vulnerabilidades de servidores Exchange sin parches
Se le ha estado dando seguimiento a las actualizaciones y nuevas novedades respecto del conjunto vulnerabilidades zero-day denominadas ProxyNotShell y el pasado viernes 7 y sábado 8 de octubre Microsoft publicó actualizaciones que hacen referencia a mejoras adicionales en la mitigación de la regla de reescritura de URL. Los clientes deben revisar y usar una de estas opciones:
Junto con una corrección en la cadena en el paso 6 y el paso 9 en la opción 3 de mitigación de la regla de reescritura de URL. Los pasos 8, 9 y 10 tienen imágenes actualizadas.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 11 al 16 de octubre del 2022:
Objetivos observados durante semana de análisis:
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4
ENTEL Weekly Threat Intelligence Brief del 26 de septiembre al 02 de octubre de 2022 |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: