ENTEL Weekly Threat Intelligence Brief del 3 de octubre al 10 de octubre del 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing

• Ransomware Everest afirma haber hackeado la compañía eléctrica de Sudáfrica ESKOM Hld SOC Ltd.
• BlackByte Ransomware abusa de un controlador vulnerable para eludir las soluciones de seguridad
• Cadenas de hospitales CommonSpirit afectadas por ransomware
• Intel confirma la fuga del código fuente del BIOS de Alder Lake
• Actores de amenazas roban USD 100 millones en criptomonedas de Binance Bridge
• Cisa señala que múltiples grupos APT se infiltran en la organización de defensa
• El grupo APT de Medio Oriente, DeftTorero, despliega nuevas tácticas
• LilithBot Malware, un nuevo MaaS ofrecido por Eternity Group
• Expertos advierten sobre el nuevo Spyware de Android RatMilad dirigido a dispositivos empresariales
• Se ha descubierto un malware que se esconde en el logo de inicio en Windows
• Nuevas tácticas, técnicas y evasión evidenciadas en ataques recientes de Emotet
• Actores maliciosos explotan la falla RCE sin parches en Zimbra Collaboration Suite
• Microsoft emite mitigaciones mejoradas para vulnerabilidades de servidores Exchange sin parches
• Vulnerabilidad crítica afecta a FortiOS y FortiProxy

Ransomware Everest afirma haber hackeado la compañía eléctrica de Sudáfrica ESKOM Hld SOC Ltd.

Los expertos en seguridad informaron que ESKOM Hld SOC Ltd estaba teniendo algunos problemas con el servidor. Al mismo tiempo, la pandilla Everest Ransomware publicó un reclamo sobre el hackeo de la compañía eléctrica estatal sudafricana. En su momento, la empresa negó haber sufrido una brecha de seguridad. Los actores de la amenaza afirman haber tenido acceso a todos los servidores de la empresa y tener acceso root a muchos de ellos.

“Servidores de administración, bases de datos, copias de seguridad, acceso de empleados a la administración de terminales POS y mucho más. Múltiples escenarios y desarrollos. Puedes convertirte en el rey de la electricidad en todo el país. Confiar en el acceso de una conocida empresa de defensa de EE. UU., que es socia de esta Compañía Eléctrica”. Se lee el mensaje publicado en el sitio web de Tor de los ciberactores.

El grupo de ransomware ofrece un paquete que incluye servidores con administrador, root, contraseñas de administrador de sistemas para servidores Linux y Windows, y más. Actualmente están exigiendo $200,000 por el acceso robado, aceptan criptomonedas Bitcoin y Monero.

BlackByte Ransomware abusa de un controlador vulnerable para eludir las soluciones de seguridad

Los investigadores de Sophos advierten que los operadores de ransomware BlackByte están utilizando un ataque BYOVD (Bring Your Own Vulnerable Driver) para eludir los productos de seguridad.

Ransomware BlackByte estaría explotando una vulnerabilidad de escalada de privilegios y ejecución de código ( CVE-2019-16098 , puntuación CVSS 7.8) que afecta al controlador Micro-Star MSI Afterburner RTCore64.sys.

Otros ransomware en el pasado abusaron de la técnica BYOVD para deshabilitar soluciones de seguridad, por ejemplo  , los operadores de RobbinHood y AvosLocker explotaron vulnerabilidades (CVE-2018-19320 ) en gdrv.sys y asWarPot.sys.

Cadenas de hospitales CommonSpirit afectadas por ransomware

Common Spirit , una de las mayores cadenas de hospitales de EE.UU., sufrió un ciberataque de ransomware que provocó graves problemas a las instalaciones y a los pacientes. La supuesta brecha de seguridad provocó cirugías retrasadas, retrasos en la atención de los pacientes y obligó a la cadena a reprogramar citas médicas en todo el país.

CommonSpirit Health confirmó que había experimentado un problema de seguridad de TI que lo obligó a desconectar parte de su infraestructura. Sin embargo, aún ningún grupo de ransomware se atribuye este ataque.

Intel confirma la fuga del código fuente del BIOS de Alder Lake por un supuesto ransomware aún sin detectar

El fabricante de chips Intel ha confirmado que se filtró el código fuente propietario relacionado con sus CPU Alder Lake, luego de su publicación por parte de un tercero desconocido en 4chan y GitHub. El contenido publicado contiene el código de la interfaz de firmware extensible unificada ( UEFI ) para Alder Lake , los procesadores de 12.ª generación de la empresa que se lanzaron originalmente en noviembre de 2021.

Los detalles exactos que rodean la naturaleza del ataque, qué ransomware se le podría atribuir el ataque, incluida su procedencia, no están claros aún. Desde entonces, el repositorio de GitHub se eliminó, aunque sigue siendo accesible a través de otras versiones replicadas.

Actores de amenazas roban USD 100 millones en criptomonedas de Binance Bridge

BNB Chain, una cadena de bloques vinculada al intercambio de criptomonedas Binance, reveló un exploit en un puente de cadena cruzada que drenó alrededor de $100 millones en activos digitales. Este ataque se entiende por su forma de actuar sería protagonizado por un grupo de ransomware, sin embargo, aún no se tienen antecedentes que lo confirmen.

Si bien el hackeo involucró el retiro de dos millones de BNB en dos transacciones, la suspensión de la cadena evitó el robo de casi $430 millones en criptomonedas, dijo la firma de seguridad de blockchain SlowMist . La empresa de análisis de blockchain Chainalysis estimó en agosto que se habían robado USD 2000 millones en criptomonedas en 13 ataques de puentes entre cadenas, lo que representa el 69 % del total de los fondos robados en 2022.

Cisa señala que múltiples grupos APT se infiltran en la organización de defensa

Múltiples grupos de amenazas persistentes avanzadas (APT) obtuvieron acceso a la red de una organización de defensa con sede en EE. UU. en enero de 2021, comprometiendo ampliamente las computadoras, la red y los datos de la compañía durante casi un año, declararon tres agencias gubernamentales en un aviso conjunto el 4 de octubre de este año.

Los atacantes tenían acceso al Microsoft Exchange Server de la organización y utilizaron una cuenta de administrador comprometida para recopilar información y moverse lateralmente en el entorno de TI a mediados de enero de 2021, según el aviso emitido por la CISA, la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI).

El grupo APT de Medio Oriente, DeftTorero, despliega nuevas tácticas

Investigadores de Kaspersky descubrieron una serie de nuevos ataques del grupo APT de Medio Oriente conocido como DeftTorero, o Volatile Cedar. El grupo ha estado activo desde 2012, apuntando al gobierno, el ejército, la educación, las empresas y las telecomunicaciones, particularmente en los Emiratos Árabes Unidos, Arabia Saudita, Egipto, Kuwait, Líbano, Jordania y Turquía.

“Aunque DeftTorero no tenía un alto nivel de destreza tecnológica en el pasado, el tiempo demostró que las herramientas de código abierto, los ataques sin archivos y la modificación de herramientas todavía se usan para comprometer con éxito a las víctimas”, explica Kaspersky.

Al usar puertas traseras, el grupo APT no solo puede encontrar puertas de enlace a su objetivo, sino también usarlo para conectarse a otros servidores, y debido a que estos ataques se desarrollan rápidamente y, a menudo, pasan desapercibidos, es crucial mitigarlos en las primeras etapas.

LilithBot Malware, un nuevo MaaS ofrecido por Eternity Group

Los investigadores de Zscaler vincularon una muestra recientemente descubierta de un nuevo malware llamado LilithBot con el grupo Eternity (también conocido como EternityTeam; Eternity Project). El grupo Eternity opera un malware como servicio (MaaS) que está vinculado al "Grupo Jester" ruso, el cual está activo al menos desde enero de 2022.

Los operadores detrás del proyecto permiten a sus clientes personalizar las funciones binarias a través del canal de Telegram.

Los operadores venden el módulo Stealer por $260 como suscripción anual, permite robar información confidencial de los sistemas infectados, incluidas contraseñas, cookies, tarjetas de crédito y billeteras criptográficas. Los datos robados se filtran a través de Telegram Bot.

Expertos advierten sobre el nuevo Spyware de Android RatMilad dirigido a dispositivos empresariales

El troyano móvil funciona como software espía avanzado con capacidades que recibe y ejecuta comandos para recopilar y filtrar una amplia variedad de datos del terminal móvil infectado, dijo Zimperium en un informe compartido con The Hacker News.

La evidencia recopilada por la empresa de seguridad móvil muestra que la aplicación maliciosa se distribuye a través de enlaces en las redes sociales y herramientas de comunicación como Telegram, engañando a los usuarios desprevenidos para que descarguen la aplicación y les otorguen amplios permisos.

Se ha descubierto un malware que se esconde en el logo de inicio en Windows

Ha sido la empresa de seguridad Symantec la que ha descubierto esta nueva campaña de ciberespionaje lanzada en febrero de 2022 y que fue dirigida a dos gobiernos en Oriente Medio y África.

Los actores de amenazas buscaron vulnerabilidades en el sistema y escondieron el malware usando el logotipo de Windows en un tipo de ataque llamado “esteganografía”, el cual consiste en ocultar información dentro de una información pública, evitando su detección. Este archivo malicioso se aloja en un servicio en la nube, lejos del servidor de comando y control (C2) en el sistema para evitar que pueda saltar una alerta de seguridad.

Nuevas tácticas, técnicas y evasión evidenciadas en ataques recientes de Emotet

El resurgimiento de Emotet también estuvo marcado por un cambio en la infraestructura C2, con el actor de amenazas operando dos nuevos grupos de botnets denominados Epochs 4 y 5 . Antes del desmantelamiento del 2021, la operación Emotet se ejecutó sobre tres redes de bots separadas denominadas Epochs 1, 2 y 3 .

"La adaptación continua de la cadena de ejecución de Emotet es una de las razones por las que el malware ha tenido éxito durante tanto tiempo", dijeron investigadores de la Unidad de Análisis de Amenazas (TAU) de VMware.

Los flujos de ataque de Emotet también se caracterizan por el uso de diferentes vectores de ataque en un intento de permanecer encubierto durante largos períodos de tiempo.

Actores maliciosos explotan la falla RCE sin parches en Zimbra Collaboration Suite

Zimbra corresponde tanto a un cliente como a un servidor de mensajería de correos electrónicos escrito en Java, creado en 2003, cuenta con un producto Open Source abierto a la comunidad como con una versión de pago que presenta mejoras al software base. Actualmente VMWare es el propietario de este software.

Actualmente se está explotando una vulnerabilidad identificada con el CVE-2022-41352 que tiene una calificación de gravedad crítica de CVSS 9.8, lo que proporciona una vía para que los atacantes carguen archivos arbitrarios y lleven a cabo acciones maliciosas en las instalaciones afectadas.

La vulnerabilidad, que está presente en las versiones 8.8.15 y 9.0 del software, afecta a varias distribuciones de Linux como Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 y CentOS 8, con la excepción de Ubuntu debido a que ese pax ya viene instalado por defecto.

Microsoft emite mitigaciones mejoradas para vulnerabilidades de servidores Exchange sin parches

Se le ha estado dando seguimiento a las actualizaciones y nuevas novedades respecto del conjunto vulnerabilidades zero-day denominadas ProxyNotShell y el pasado viernes 7 y sábado 8 de octubre Microsoft publicó actualizaciones que hacen referencia a mejoras adicionales en la mitigación de la regla de reescritura de URL. Los clientes deben revisar y usar una de estas opciones: 

• Opción 1: la mitigación para EEMS se ha actualizado y las actualizaciones se aplicarán automáticamente. 
• Opción 2: Se actualizó la mitigación para EOMTv2. 
• Opción 3: Se ha revisado la cadena en el paso 6 y el paso 9. Los pasos 8, 9 y 10 tienen imágenes actualizadas.

Junto con una corrección en la cadena en el paso 6 y el paso 9 en la opción 3 de mitigación de la regla de reescritura de URL. Los pasos 8, 9 y 10 tienen imágenes actualizadas.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 11 al 16 de octubre del 2022:

Objetivos observados durante semana de análisis: 

• Banca y Finanzas
• Gobierno
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Transportes y servicios automotrices

DEFCON 1

• Banca y Finanzas
• Gobierno
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia

DEFCON 2

• Transportes y servicios automotrices.

DEFCON 3

• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Servicios empresariales y comercio
• Shipment y cadena de suministros

DEFCON 4

• Agricultura, ganadería, silvicultura y pesca - producción
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Petróleo
• Retail y servicios de consumo
• Servicios básicos y sanitarios
• Servicios legales y profesionales
• Turismo, hoteles y restaurantes
• Infraestructura tecnológica - Componentes

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.