El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Ransomware Cuba recaudó $60 millones de dólares de más de 100 víctimas
El FBI ha observado que los actores de ransomware de Cuba continúan apuntando a entidades estadounidenses en los siguientes cinco sectores de infraestructura crítica: servicios financieros, instalaciones gubernamentales, atención médica y salud pública, fabricación crítica y tecnología de la información.
El FBI y CISA agregaron que la banda de ransomware ha ampliado sus tácticas, técnicas y procedimientos (TTP´s) desde principios de año y se ha relacionado con el troyano de acceso remoto (RAT) RomCom y el ransomware Industrial Spy.
El nuevo wiper CryWiper apunta a entidades rusas disfrazadas de ransomware
Los investigadores de Kaspersky descubrieron un borrador de datos previamente desconocido, denominado CryWiper, que se empleó en ataques destructivos contra las oficinas del alcalde y los tribunales rusos . El malware se hace pasar por ransomware, pero el análisis del código demuestra que en realidad no cifra, sino que solo destruye los datos del sistema infectado.
Según Kaspersky, el wiper se detectó por primera vez en el otoño de 2022 cuando se empleó en un ataque contra la red de una organización en la Federación Rusa.
"Después de examinar una muestra de malware, descubrimos que este troyano, aunque se hace pasar por un ransomware y extorsiona a la víctima por "descifrar" los datos, en realidad no cifra, sino que destruye a propósito los datos en el sistema afectado. Además, un análisis del código del programa del troyano mostró que no se trataba de un error del desarrollador, sino de su intención original”.
Múltiples organizaciones ucranianas fueron atacadas por el Ransomware RansomBoggs con sede en Rusia
Los investigadores de ESET observaron múltiples ataques que involucran una nueva familia de ransomware, rastreados como ransomware RansomBoggs, contra organizaciones ucranianas. La firma de seguridad detectó por primera vez los ataques el 21 de noviembre e inmediatamente alertó al CERT US. El ransomware está escrito en .NET y los expertos notaron que la implementación es similar a los ataques anteriores atribuidos al grupo Sandworm APT vinculado a Rusia.
Los actores de amenazas utilizaron un script de PowerShell para propagar el ransomware, los expertos notaron que es casi idéntico al script detectado en abril durante los ataques de Industroyer2 contra el sector energético.
El script de PowerShell fue rastreado por CERT UA como POWERGAP y se utilizó para implementar el limpiador CaddyWiper en los ataques de abril contra entidades ucranianas.
RansomBoggs cifra archivos usando AES-256 en modo CBC y agrega la extensión [.]chsch a los archivos cifrados. Luego, la clave se cifra con RSA y se escribe en aes[.]bin
El APT UNC4191 vinculado a China se basa en dispositivos USB en ataques contra entidades en Filipinas
Las operaciones UNC4191 han afectado a una variedad de entidades del sector público y privado principalmente en el sudeste asiático y se han extendido a EE. UU., Europa y Asociación Peruana Japonesa (APJ); sin embargo, incluso cuando las organizaciones objetivo tenían su sede en otros lugares, también se descubrió que los sistemas específicos objetivo de UNC4191 estaban ubicados físicamente en Filipinas”.
La cadena de infección comienza cuando un usuario conecta un dispositivo extraíble comprometido y ejecuta manualmente un binario firmado renombrado desde el directorio raíz del volumen de almacenamiento (T1091). Los archivos binarios iniciales, llamados extraíble Drive[.]exe o USB Drive[.]exe, son versiones de una aplicación legítimamente firmada llamada USB Network Gate, desarrollada por la empresa Electronic Team, Inc. Estos se utilizan para descargar el malware MISTCLOAK que se hace pasar por una DLL legítima.
Ciberactores usan una nueva aplicación criptográfica falsa para violar las redes y robar criptomonedas
El grupo de ciberactores de Corea del Norte “Lazarus” está vinculado a un nuevo ataque que difunde aplicaciones de criptomonedas falsas bajo la marca inventada, "BloxHolder", para instalar el malware AppleJeus para el acceso inicial a las redes y robar activos criptográficos.
Según un informe conjunto del FBI y CISA de febrero de 2021, AppleJeus ha estado en circulación desde al menos 2018, este ha sido utilizado por Lazarus en operaciones de secuestro de criptomonedas y robo de activos digitales.
La nueva campaña atribuida a Lazarus comenzó en junio de 2022 y estuvo activa al menos hasta octubre de 2022.
El desafío TikTok “Invisible Body” explotado para impulsar malware
Actores de amenazas están aprovechando un desafío TikTok de tendencia llamado “Invisible Body” para instalar malware en miles de dispositivos y robar sus contraseñas, cuentas de Discord y potencialmente, billeteras de criptomonedas.
En un nuevo informe de la firma de seguridad cibernética Checkmarx, los investigadores encontraron dos videos de TikTok publicados por los atacantes, que acumularon rápidamente más de un millón de visitas combinadas.
Los usuarios de TikTok ahora suspendidos @learncyber y @kodibtc crearon los videos para promocionar una aplicación de software para "eliminar el cuerpo invisible del filtro" que se ofrece en un servidor de Discord llamado "Space Unfilter".
El nuevo servicio de malware DuckLogs afirma tener miles de “clientes”
Ha surgido una nueva operación de malware como servicio (MaaS) llamada 'DuckLogs', que brinda a los atacantes poco calificados un fácil acceso a múltiples módulos para robar información, registrar pulsaciones de teclas, acceder a datos del portapapeles y acceso remoto al host comprometido. DuckLogs está completamente basado en la web. Afirma que miles de ciberdelincuentes pagan una suscripción para generar y lanzar más de 4000 compilaciones de malware.
DuckLogs incluye principalmente un ladrón de información y un troyano de acceso remoto (RAT), pero tiene más de 100 módulos individuales que se dirigen a aplicaciones específicas.
A continuación se muestra una lista de algunos de los datos y aplicaciones a los que apunta el componente de robo de información:
Investigadores de ciberseguridad eliminan botnet DDoS por accidente
Mientras analizaban sus capacidades, los investigadores de Akamai eliminaron accidentalmente una red de bots de criptominería que también se usaba para ataques de denegación de servicio distribuido (DDoS). Como se reveló en un informe publicado a principios de este mes, el malware KmsdBot detrás de esta botnet fue descubierto por miembros del Equipo de respuesta de inteligencia de seguridad de Akamai (SIRT) después de que infectara uno de sus honeypots.
KmsdBot, se dirige a dispositivos Windows y Linux con una amplia gama de arquitecturas e infecta nuevos sistemas a través de conexiones SSH que usan credenciales de inicio de sesión débiles o predeterminadas. Los dispositivos comprometidos se utilizan para extraer criptomonedas y lanzar ataques DDoS, y algunos de los objetivos anteriores son empresas de juegos y tecnología, así como fabricantes de automóviles de lujo.
Errores críticos de RCE en aplicaciones de teclado remoto de Android con 2 millones de instalaciones
Tres aplicaciones de Android que permiten a los usuarios usar dispositivos como teclados remotos para sus computadoras tienen vulnerabilidades críticas que podrían exponer las pulsaciones de teclas y permitir la ejecución remota de código. Las aplicaciones son PC Keyboard, Lazy Mouse y Telepad, y sus versiones vulnerables (gratuitas y de pago) y en Google Play tienen un recuento de instalación combinada de más de dos millones.
La actualización de emergencia de Google Chrome corrige el noveno día cero del año
Google ha lanzado Chrome 108.0.5359.94/.95 para usuarios de Windows, Mac y Linux para abordar una sola falla de seguridad de alta gravedad, el noveno día cero de Chrome explotado en la naturaleza parcheado desde el comienzo del año.
Google está al tanto de los informes de que existe un exploit para CVE-2022-4262, dijo el gigante de las búsquedas en un aviso de seguridad publicado el viernes 2 de diciembre.
La vulnerabilidad de día cero (CVE-2022-4262) se debe a una debilidad de confusión de tipos de alta gravedad en el motor de JavaScript Chrome V8 informada por Clement Lecigne del Grupo de análisis de amenazas de Google.
A pesar de que las fallas de seguridad de confusión de tipos generalmente provocan fallas en el navegador después de una explotación exitosa al leer o escribir memoria fuera de los límites del búfer, los actores de amenazas también pueden explotarlas para la ejecución de código arbitrario.
CISA advierte sobre múltiples vulnerabilidades críticas que afectan a los PLC de Mitsubishi Electric
La explotación exitosa de estas vulnerabilidades al software de ingeniería Mitsubishi Electric GX Works3 podría permitir a los usuarios no autorizados obtener acceso a los módulos de CPU de la serie MELSEC iQ-R/F/L y al módulo de servidor OPC UA de la serie MELSEC iQ-R o ver y ejecutar programas.
GX Works3 es un software de estación de trabajo de ingeniería utilizado en entornos ICS, que actúa como un mecanismo para cargar y descargar programas desde/hacia el controlador, solucionar problemas de software y hardware y realizar operaciones de mantenimiento.
Los errores más críticos, CVE-2022-25164 y CVE-2022-29830 , tienen una puntuación CVSS de 9,1 y se puede abusar de ellos para obtener acceso al módulo de la CPU y obtener información sobre los archivos del proyecto sin necesidad de permisos.
Ciberactores explotan la vulnerabilidad de Redis para implementar el nuevo malware Redigo en los servidores
La falla CVE-2022-0543 es una falla de escape del sandbox de Lua que afecta a las distribuciones de Linux Debian y derivadas de Debian. La vulnerabilidad, que recibió una calificación de 10 sobre 10 en cuanto a gravedad, podría ser aprovechada por un atacante remoto con la capacidad de ejecutar secuencias de comandos de Lua arbitrarias para posiblemente escapar de la zona de pruebas de Lua y ejecutar código arbitrario en la máquina subyacente.
Los investigadores de Juniper Threat Labs informaron que se ha observado que la red de bots Muhstik apunta a servidores Redis que explotan la vulnerabilidad CVE-2022-0543.
Una nueva falla de Linux se puede encadenar con otros dos errores para obtener privilegios completos de root
Los investigadores de la Unidad de Investigación de Amenazas de Qualys demostraron cómo encadenar una nueva vulnerabilidad de Linux, rastreada como CVE-2022-3328 , con otras dos fallas para obtener privilegios de root completos en un sistema afectado.
Nvidia corrige 29 vulnerabilidades en los controladores de pantalla de Windows y Linux
Nvidia corrige múltiples fallas de seguridad en su controlador de pantalla GPU, el más grave de los defectos de seguridad es CVE-2022-34669 (puntuación CVSS de 8,8), un problema en la capa de modo de usuario del controlador de Windows de Nvidia que podría ser explotado por un atacante sin privilegios para acceder o manipular archivos del sistema u otros archivos que utiliza el conductor.
Los 29 errores afectan a varios productos de software de Nvidia diferentes: GeForce, Studio, Nvidia RTX, Quadro, NVS y Tesla que se ejecutan en sistemas Windows. Además, GeForce, Nvidia RTX, Quadro, NVS y Tesla en dispositivos basados en Linux.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 5 al 11 de diciembre de 2022:
Objetivos observados durante semana de análisis:
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: