El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
El archipiélago del Océano Pacífico Sur, Vanuatu, fue atacado por ransomware el viernes 4 de noviembre y dejó varado al país durante más de una semana.
El ataque que paralizó al gobierno de Vanuta durante 11 días obligó a algunos de sus trabajadores a usar lápiz y papel y provocó retrasos generalizados en toda la nación insular. Los funcionarios no pudieron acceder a los correos electrónicos y a todos los sistemas internos.
El ransomware también inhabilitó los sitios web del parlamento, la policía y la oficina del primer ministro de la isla; al eliminar la intranet y las bases de datos en línea de escuelas y hospitales, paraliza la nación isleña. El país, con una población de unas 315.000 personas, dejó varados a muchos en varias islas para realizar sus tareas básicas como pagar impuestos, facturar facturas y obtener licencias y visas de viaje.
Los operadores de ransomware están evolucionando al expandir el alcance de sus operaciones mediante el desarrollo y la adopción de nuevas herramientas en los ataques cibernéticos. Recientemente, los investigadores de Cyble descubrieron tres nuevas familias de ransomware, AXLocker, Octocrypt y Alice, en ataques generalizados.
El ransomware AXLocker cifra los archivos de las víctimas y roba los tokens de Discord de la máquina infectada. El análisis del código reveló que la función startencryption() implementa la capacidad de buscar archivos enumerando los directorios disponibles en la unidad C:\. El malware sólo se dirige a extensiones de archivo específicas y excluye una lista de directorios del proceso de cifrado.
El ransomware AXLocker utiliza el algoritmo de cifrado AES para cifrar archivos, a diferencia de otros ransomware, no cambia el nombre o la extensión de los archivos cifrados.
Los investigadores también descubrieron una nueva cepa de ransomware denominada Octocrypt, es un ransomware de Golang y sus operadores están adoptando el modelo de negocio Ransomware-as-a-Service (RaaS). El malware apareció en el panorama de amenazas alrededor de octubre de 2022 y se ofrece por $400 USD.
Alice es un nuevo ransomware que, al igual que OctoCrypt, funciona bajo un modelo de negocio RaaS. Apareció en foros de ciberdelincuencia bajo el proyecto TAs de 'Alicia en la Tierra del Malware'.
Los operadores de Alice pueden generar archivos binarios de ransomware con una nota de rescate personalizada utilizando el generador de ransomware Alice. Cifra los archivos de la víctima después de la ejecución, agrega la extensión. alice y coloca notas de rescate en varias carpetas.
El ransomware se vende en $600 por un mes y $1,400 USD por tres meses, además, ofrece opciones de negociación con el operador para comprarlo para siempre, o para cualquier modificación.
Los investigadores de amenazas de IBM Security X-Force han descubierto una nueva variante del ransomware RansomExx que se ha reescrito en el lenguaje de programación Rust, uniéndose a una tendencia creciente de desarrolladores de ransomware que cambian al lenguaje.
El malware escrito en Rust a menudo se beneficia de tasas de detección de AV más bajas (en comparación con los escritos en idiomas más comunes) y esta puede haber sido la razón principal para usar el lenguaje.
RansomExx es operado por el grupo de ciberactores DefrayX, que también es conocido por el malware PyXie, el loader Vatet y las cepas de ransomware Defray. La versión de ransomware recién descubierta se llama RansomExx2 según las cadenas que se encuentran dentro del ransomware y está diseñada para ejecutarse en el sistema operativo Linux. Históricamente, el grupo ha lanzado versiones de su ransomware para Linux y Windows, por lo que es probable que también se esté trabajando en una versión para Windows.
RansomExx2 se ha reescrito por completo con Rust, pero por lo demás, su funcionalidad es similar a la de su predecesor C++. Requiere que se pase una lista de directorios de destino para cifrar como parámetros de línea de comando y luego cifra los archivos usando AES-256, con RSA utilizado para proteger las claves de cifrado.
El lenguaje de programación Rust ha ido aumentando constantemente en popularidad entre los desarrolladores de malware en el transcurso del año pasado, gracias a su soporte multiplataforma y bajas tasas de detección de AV. Al igual que el lenguaje de programación Go, que ha experimentado un aumento similar en el uso por parte de los actores de amenazas en los últimos años.
Se ha confirmado que el grupo de extorsión Donut (D0nut) implementó ransomware en ataques de doble extorsión esta semana, se encontró una muestra de un cifrador para la operación Donut, también conocido como D0nut, que muestra que el grupo está utilizando su propio ransomware personalizado para ataques de doble extorsión. Desde su detección en agosto de 2022, el grupo ha estado involucrado en la publicación cruzada de datos robados, lo que indica una asociación basada en afiliados con varios grupos de amenazas, incluidos Hive y Ragnar Locker y ahora ha lanzado su propio cifrador.
Al ejecutarse, Donut busca archivos que coincidan con extensiones específicas para cifrar. Evita ciertos archivos y carpetas específicas que contienen cadenas para Edge, Opera, Chromium, Windows, thumbs[.]db, ntuser[.]ini y otros.
Cuando se cifra un archivo, el ransomware Donut agrega la extensión .d0nut a los archivos cifrados.
El grupo de ciberactores LockBit 3.0 se responsabiliza por el ataque de ransomware que detuvo los servicios municipales y cerró las cuentas de correo electrónico de los empleados en Westmount, Quebec, dando a la ciudad una fecha límite del 4 de diciembre de 2022 para realizar un pago de rescate no revelado.
Westmount, una ciudad con casi 21.000 habitantes en el suroeste de Quebec informó inicialmente el lunes que los servicios de correo electrónico de la ciudad no estaban disponibles debido a una falla informática no identificada. Más tarde, la ciudad confirmó que la interrupción también afectó a otros servicios municipales y se debió a un ciberataque dirigido.
El grupo de ransomware LockBit 3.0 se atribuyó la responsabilidad del ataque y dice que ha descargado con éxito 14 terabytes de datos confidenciales. LockBit dice que liberará los datos robados si no se realiza el pago del rescate en las próximas dos semanas.
Los investigadores de Microsoft han identificado un nuevo grupo de actividad de amenazas, que están rastreando como DEV-0569. Además, desde agosto, este grupo ha cambiado a varias tácticas de entrega, y la más reciente abusa de Google Ads para entregar BatLoader.
Según el informe, los ataques de DEV-0569 están evolucionando continuamente, ya que el grupo está mejorando sus tácticas de evasión, entrega de carga útil posterior al compromiso y facilitación de ransomware.
De agosto a octubre de 2022, el grupo apuntó a sus víctimas a través de ataques de publicidad maliciosa, enviándoles enlaces de descarga que simulaban ser aplicaciones simples como Microsoft Teams, Zoom, Adobe Flash Player, AnyDesk o LogMeIn.
Utiliza un descargador de malware, BatLoader, que descarga las cargas útiles de la siguiente etapa (a través de los comandos de PowerShell), incluido el ransomware Royal y el implante Cobalt Strike Beacon.
Además, el grupo ha estado utilizando la herramienta de código abierto Nsudo para deshabilitar las soluciones antivirus en la máquina objetivo.
A fines de octubre, se observaron campañas de publicidad maliciosa DEV-0569 aprovechando Google Ads, mezclados con el tráfico web normal para evitar la detección. Se observó además que el grupo usaba el Sistema de Distribución de Tráfico (TDS) legítimo Keitaro para seleccionar víctimas para entregar payloads.
DEV-0569 está abusando de servicios genuinos como Google Ads, GitHub y OneDrive y herramientas como Keitaro para permanecer invisible.
Una unidad del regulador ruso de Internet y medios, Roskomnadzor, confirmó el sábado que los ciberactores habían violado sus sistemas después de que el grupo hacktivista bielorruso conocido como Cyber Partisans afirmara haber atacado la organización.
El Centro General de Radiofrecuencia de Rusia (GRFC), una de las agencias de Roskomnadzor, dijo que los ciberactores no pudieron acceder a información confidencial y también negó que sus estaciones de trabajo estuvieran cifradas por el grupo.
Cyber Partisans afirmó el viernes haber robado miles de documentos internos de la agencia y bloqueado sus sistemas informáticos. Incluyendo los datos de pasaporte y registros médicos de los empleados, correos electrónicos internos e informes sobre los proyectos de la agencia, trayendo consigo las granjas de bots y la vigilancia en Internet de periodistas, blogueros y usuarios comunes.
Un equipo de piratería ruso ha afirmado haber eliminado el sitio web del Príncipe de Gales por el continuo apoyo del Reino Unido a Ucrania. En un mensaje publicado en Telegram, Killnet dijo que había lanzado el ataque "debido al suministro de misiles de alta precisión a Ucrania".
Killnet también prometió que "todas las instituciones médicas, los servicios gubernamentales y los servicios en línea" enfrentarán un golpe similar. Este ataque, por lo visualizado corresponde a una denegación de servicio distribuida (DDoS).
Estos ciberactores rusos, se han atribuido la responsabilidad de numerosos ataques contra diferentes naciones desde marzo de este año, un mes después de que comenzara la invasión de Ucrania y se cree que estuvieron detrás de un golpe frustrado en el concurso de canciones de Eurovisión de este año.
El sitio web del Parlamento Europeo ha sido eliminado tras un ataque DDoS (Distributed Denial of Service) reclamado por Anonymous Rusia, El presidente del Parlamento Europeo confirmó el incidente.
El ataque se produjo después de que el Parlamento Europeo reconociera a Rusia como estado patrocinador del terrorismo y los eurodiputados pidieron un mayor aislamiento internacional de Rusia.
Los grupos hacktivistas pro-Kremlin han atacado sitios web europeos y estadounidenses desde que Rusia invadió Ucrania, a principios de este mes, el FBI dijo que los ataques DDoS coordinados por hacktivistas prorrusos tienen un impacto menor en sus objetivos porque están atacando infraestructura pública como sitios web en lugar de los servicios reales, lo que genera una interrupción limitada.
El malware de Windows está implementando una extensión del navegador Google Chrome que roba información llamada 'VenomSoftX' para robar criptomonedas y contenido del portapapeles mientras los usuarios navegan por la web.
Esta extensión de Chrome está siendo instalada por el malware de Windows ViperSoftX, que actúa como un RAT (troyano de acceso remoto) basado en JavaScript y un secuestrador de criptomonedas.
Desde principios de 2022, Avast ha detectado y detenido 93 000 intentos de infección de ViperSoftX contra sus clientes, afectando principalmente a Estados Unidos, Italia, Brasil e India.
El principal canal de distribución de ViperSoftX son los archivos torrent que contienen cracks de juegos entrelazados y activadores de productos de software.
Los grupos de ciberdelincuentes están adoptando a Aurora, un ladrón de información con funciones avanzadas de robo de datos, estabilidad funcional y de infraestructura, y bajas tasas de detección, en su arsenal. Recientemente, los investigadores de SEKOIA han observado un aumento en la cantidad de muestras de Aurora y servidores C2 asociados.
El malware se dirige a los datos almacenados en múltiples navegadores web (cookies, contraseñas, historial, tarjetas de crédito), extensiones de navegador de criptomonedas que administran las billeteras de criptomonedas como Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda y Jaxx Liberty y Telegram.
Agrupa todos los datos robados del host infectado en un solo archivo JSON codificado en base64 y lo envía al C2 a través de los puertos TCP 8081 o 9865.
En octubre y noviembre de 2022, se observaron múltiples cadenas de infección que llevaron a la ejecución del infostealer de Aurora.
Se observan siete equipos, incluidos RavenLogs, BrazzersLogs, DevilsTraff, YungRussia, Gfbg6, SAKURA y HellRide, que distribuyen activamente al malware.
Aurora se distribuye utilizando páginas de phishing que se hacen pasar por páginas de descarga de software legítimo, incluidas herramientas de acceso remoto y billeteras de criptomonedas.
Los otros vectores de infección incluyen videos de YouTube con software falso y enlaces de catálogo de trucos y sitios web de descarga de crack de software falso potenciados por SEO.
Una nueva campaña de phishing ha estado distribuyendo el malware QBot (también conocido como Qakbot). Esta campaña abusa de una falla de secuestro de DLL en el ejecutable del Panel de control de Windows para infectar dispositivos.
Losciberactores están utilizando correos electrónicos de cadena de respuesta robados para distribuir un archivo adjunto HTML malicioso. El archivo muestra una imagen que pretende ser Google Drive y descarga automáticamente un archivo ZIP protegido por contraseña con un archivo ISO dentro.
Este archivo ISO contiene un archivo de acceso directo de Windows ([.]LNK), un ejecutable del Panel de control de Windows 10 ([.]exe) y dos archivos DLL llamados edputil[.]dll (utilizado para el secuestro de DLL) y msoffice32[.]dll (malware QBot).
El malware se ejecuta silenciosamente en segundo plano, roba correos electrónicos para usarlos en ataques de phishing y descarga kits de herramientas adicionales posteriores a la explotación, como Brute Ratel o Cobalt Strike.
Microsoft dijo que las vulnerabilidades de seguridad que afectaron a un servidor web descontinuado desde 2005 se han utilizado para apuntar y comprometer organizaciones en el sector energético.
Como reveló la compañía de seguridad cibernética Recorded Future en un informe publicado en abril, los grupos de ciberactores chinos respaldados por el estado (incluido uno identificado como RedEcho) se dirigieron a múltiples operadores de redes eléctricas indias, comprometiendo un sistema de respuesta de emergencia nacional indio y la subsidiaria de una empresa multinacional de logística.
Los atacantes obtuvieron acceso a las redes internas de las entidades a través de cámaras expuestas a Internet en sus redes como servidores de comando y control donde explotaron un componente vulnerable en el servidor web Boa, una solución de software descontinuada desde 2005 que todavía utilizan los dispositivos IoT (desde enrutadores hasta cámaras).
Boa es uno de los componentes utilizados para iniciar sesión y acceder a las consolas de administración de los dispositivos IoT, lo que aumenta significativamente el riesgo de que se comprometa la infraestructura crítica a través de dispositivos vulnerables y expuestos a Internet que ejecutan el servidor web vulnerable.
El equipo de inteligencia de amenazas de seguridad de Microsoft dijo hoy que los servidores Boa son omnipresentes en los dispositivos IoT principalmente debido a la inclusión del servidor web en los kits de desarrollo de software (SDK) populares.
Según los datos de la plataforma Microsoft Defender Threat Intelligence, más de 1 millón de componentes del servidor Boa expuestos a Internet se detectaron en línea en todo el mundo en una sola semana. "Los servidores de Boa se ven afectados por varias vulnerabilidades conocidas, incluido el acceso arbitrario a archivos (CVE-2017-9833 ) y la divulgación de información ( CVE-2021-33558 )", dijeron los investigadores de Microsoft .
De acuerdo a portales de investigacion existen más de 700 servidores Boa expuestos a internet en Chile.
Google ha lanzado una actualización de seguridad de emergencia para la versión de escritorio del navegador web Chrome, que aborda la octava vulnerabilidad de día cero explotada en los ataques de este año.
La falla de alta gravedad se rastrea cómo CVE-2022-4135 y es un desbordamiento del búfer de montón en la GPU, "Google es consciente de que existe un exploit para CVE-2022-4135", dice el aviso de actualización.
En general, el desbordamiento del búfer del montón es una vulnerabilidad de la memoria que provoca que los datos se escriban en ubicaciones prohibidas (generalmente adyacentes) sin verificación.
Los atacantes pueden usar el desbordamiento del búfer del montón para sobrescribir la memoria de una aplicación para manipular su ruta de ejecución, lo que da como resultado un acceso a la información sin restricciones o la ejecución de código arbitrario.
Se recomienda a los usuarios de Chrome que actualicen a la versión 107.0.5304.121/122 para Windows y 107.0.5304.122 para Mac y Linux, que aborda CVE-2022-4135.
Cisco Talos descubrió recientemente tres vulnerabilidades de denegación de servicio en el filtro CBFS de Callback Technologies.
Callback Technologies tiene una solución de almacenamiento de archivos CBFS para personalizar la persistencia de datos en los dispositivos. Para acompañar esto, su filtro CBFS administra esta solución de almacenamiento de archivos, lo que permite a los usuarios crear reglas de filtro y acceso, modificar y cifrar datos, entre otras.
Talos ha identificado tres vulnerabilidades de desreferencia de puntero nulo en el filtro CBFS:
TALOS-2022-1647 (CVE-2022-43588)
TALOS-2022-1648 (CVE-2022-43589)
TALOS-2022-1649 (CVE-2022-43590)
Un paquete de solicitud de E/S (IRP) especialmente diseñado puede provocar una denegación de servicio. Un atacante puede emitir un ioctl para desencadenar estas vulnerabilidades.
Cisco Talos trabajó con Callback Technologies para garantizar que estos problemas se resolvieran y que hubiera una actualización disponible para los clientes afectados, todo en cumplimiento de la política de divulgación de vulnerabilidades de Cisco.
Se recomienda a los usuarios que actualicen este producto afectado lo antes posible: Tecnologías de devolución de llamada CBFS Filter 20.0.8317. Talos probó y confirmó que esta versión del filtro CBFS podría ser aprovechada por estas vulnerabilidades.
Investigadores de la empresa de ciberseguridad industrial Nozomi Networks han descubierto más de una docena de vulnerabilidades en el firmware del controlador de gestión de la placa base (BMC).
BMC es un procesador especializado que permite a los administradores controlar y monitorear de forma remota un dispositivo sin tener que acceder al sistema operativo o las aplicaciones que se ejecutan en él. El BMC se puede usar para reiniciar un dispositivo, instalar un sistema operativo, actualizar el firmware, monitorear los parámetros del sistema y analizar registros.
Se han encontrado muchas vulnerabilidades de BMC en los últimos años, y los investigadores advierten que la explotación de estas fallas puede permitir que un atacante remoto comprometa e incluso dañe el servidor objetivo.
Nozomi ha detallado cómo dos de las 13 vulnerabilidades, un problema de control de acceso roto de gravedad media y una falla de inyección de comando de gravedad crítica, podrían ser encadenadas por un atacante no autenticado para lograr la ejecución remota de código con privilegios de root en el BMC.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 28 de noviembre al 04 de Diciembre del 2022:
ENTEL Weekly Threat Intelligence Brief del 14 al 20 de noviembre de 2022 |
Ransomware AXLocker cifra archivos y roba cuentas de Discord |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: