El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Keywords: Ransomware, APT, Malware, Vulnerabilidad, Exploit, Phishing
El ransomware de código abierto Cryptonite se convierte en un malware wiper accidental
Investigadores de Fortinet han realizado un análisis al ransomware de código abierto publicado gratuitamente en github (actualmente removido) identificando una serie de errores de código que desencadenan en que los archivos cifrados no puedan ser recuperados, transformando su actuar a un Wiper.
Esta condición está dada por errores que causan que el programa se interrumpa luego de desplegar la nota de secuestro, o si es que este es cerrado inesperadamente, causando un error en la clave de cifrado que impide la recuperación de archivos
Decenas de colegios en el punto de mira del ransomware de Vice Society en 2022
De acuerdo a un reporte de Palo alto, durante 2022 el grupo de ransomware Vice Society ha atacado un total de 33 instituciones educativas, principalmente georeferenciadas en Estados Unidos, sin embargo no es la única industria ya que también se ha dirigido a organizaciones del cuidado de la salud, organizaciones gubernamentales y no gubernamentales, además de industria manufacturera, lo que da indicios de que sus motivaciones no son 100% orientadas en la recompensa económica, sino que también en infraestructura sensible de crecimiento de un país, lo cual podría estar relacionado a motivaciones de ciberespionaje.
Cabe destacar que Vice society no funciona bajo la modalidad de RaaS, por lo que sus operadores definen directamente sus objetivos.
Nuevo ransomware Babuk detectado en un importante ataque
Recientemente se ha identificado una nueva variante de ransomware Babuk realizando ataques. Este ransomware originado en 2021 había detenido sus operaciones luego de que se filtra el código fuente completo de su builder en un foro de habla rusa
Actualmente la variante detectada no se encuentra solo compuesta por el data leak, si no que se ha combinado con otras herramientas de código abierto para la evasión de detecciones, generando nuevas variantes nunca antes vistas, logrando atacar a una compañía multimillonaria en donde logró infectar miles de terminales luego de capturar su Active Directory
La profesionalización del ransomware crece a medida que RaaS se afianza
Durante 2022 se ha visualizado un fuerte incremento en la incidencia de ransomware en el mundo a la vez que estos crecen, son mayormente sofisticados y comienzan a adquirir características de negocios para monetizar de mejor forma sus ataques, en mayor medida cuando se trata de RaaS ya que deben organizar y administrar tanto sus ingresos y actividad de sus operadores, tareas y pagos.
De esta forma tal como se pudo evidenciar tras el dataleak de Conti, existe una organización jerarquizada que responde a diferentes tareas o afiliados, por tanto, las organizaciones detrás de bandas de ransomware cada vez deben ser más especializadas y preparadas para el rápido crecimiento y adopción detrás de esta lucrativa forma de ataque, por tanto, se estima que para 2023 continue en constante aumento y perfeccionamiento.
DEV-0139 se dirige al sector de la inversión en criptomonedas
DEV-0139 es un APT vinculado a Lazarus y Corea del norte que se ha estado dedicando a ataques dirigidos hacia las criptomonedas, como una forma directa de monetización de sus ataques, en donde las últimas evidencias apuntan a su infiltración dentro de chats de telegram de los exchanges o de usuarios Vip de los mismos, en donde luego de tomar confianza suficiente, se hace pasar por representante de una entidad para compartir documentación con comparativas de comisiones, la cual se envía mediante un documento excel con macros, que tras ser abiertas despliegan el malware AppleJesus.
Campañas de phishing de MuddyWater dirigidas a MSP de todo el mundo
El grupo de ciberactores vinculado a Irán mantiene campañas activas dirigidas a MSP de todo el mundo, en donde por medio de phishing o spear phishing realizan la propagación de un archivo HTML vía correo electrónico, con un enlace adjunto que invita a descargar el software “Syncro msi installer” desde OneDrive, para que luego una vez instalado permite tomar el control remoto del terminal infectado, pudiendo desplegar backdoors para establecer persistencia.
Cabe mencionar que Syncro es una herramienta que multiples MSPs utilizan para el desarrollo de sus actividades.
MSP: Un proveedor de servicios gestionados (MSP) es una empresa externa que gestiona a distancia la infraestructura de tecnologías de la información (TI) y los sistemas de usuario final de un cliente.
El mercado del robo de información se dispara en la Dark Web
Mediante un reporte de Accenture, se ha identificado una alta demanda de información relacionada a info stealers en DDW, debido a sus apreciadas capacidades para el robo de información, principalmente de credenciales, generando un gran interés en la adquisición de la información robada como de la herramienta para propagar el malware, ya que mediante el modelo de negocio MaaS (Malware as a service) es factible que actores maliciosos con bajos conocimientos o con pocos recursos puedan desplegar malware para acceder a otras redes de forma fácil.
Es por esto que el mercado crece y cada vez existen mayores opciones y oportunidades de adquisicion de malware, los que se ofrecen en mercados negros y han permitido un incremento en el desarrollo de mas y nuevas familias o variantes como:
El servicio de enlace APK Zombinder utilizado en múltiples ataques de malware
Zomblinder es un servicio alojado en DDW que permite incrustar archivos maliciosos a aplicaciones legítimas de android, de forma que estas al ser distribuidas e instaladas por las victimas no levantan sospechas en su funcionamiento, sin embargo una vez son utilizadas, descargan el archivo malicioso incorporado anteriormente, entre los que se encuentran:
Adicionalmente, La variante de Ermac empleada en los ataques analizados tiene las siguientes capacidades:
Una vulnerabilidad crítica de Ping permite a atacantes remotos hacerse con el control de sistemas FreeBSD - [CVE-2022-23093]
Afecta a todas las versiones soportadas de FreeBSD y tiene que ver con una vulnerabilidad de desbordamiento de búfer basada en pila en el servicio ping.
Ping lee paquetes IP sin procesar de la red para procesar respuestas en la función pr_pack()", cuya funcion copia las cabeceras IP e ICMP recibidas en búferes de pila para su posterior procesamiento. Al hacerlo, no tiene en cuenta la posible presencia de cabeceras de opción IP a continuación de la cabecera IP, ya sea en la respuesta o en el paquete citado.
El Proyecto FreeBSD señaló que el proceso de ping se ejecuta en una sandbox de modo de capacidad y, por tanto, está limitado en la forma en que puede interactuar con el resto del sistema operativo.
Tres vulnerabilidades inocuas de Linux encadenadas para obtener plenos privilegios de root - [CVE-2022-3328, CVE-2022-41974, CVE-2022-41973]
El fallo afecta al programa 'snap-confine' (CVE-2022-3328) utilizado por Snapd para construir el entorno de ejecución de las aplicaciones Snap.
El programa afectado está presente por defecto en Ubuntu y puede ser explotado para la escalada de privilegios local y la ejecución de código arbitrario que podría combinarse con otras vulnerabilidades para un ataque más sofisticado.
Esta vulnerabilidad puede ser vinculada con Multipathd, que cuenta con un problema de omisión de autorización que puede ser explotado por un usuario sin privilegios para ejecutar comandos privilegiados a Multipathd (CVE-2022-41974), y un ataque symlink (CVE-2022-41973) que puede ser utilizado para forzar la ejecución de código malicioso.
En conclusión la vulnerabilidad de Snapd con los dos fallos de Multipathd puede permitir a cualquier usuario sin privilegios obtener privilegios de root en un dispositivo vulnerable.
Parcheadas varias vulnerabilidades de ejecución de código en Sophos Firewall
Sophos ha publicado 1 aviso de seguridad que contiene 7 vulnerabilidades, de las cuales 1 es de severidad crítica, 4 es de severidad crítica, 1 de severidad Media y 1 de severidad Baja.
Es importante mencionar que las vulnerabilidades no son recientes y han sido alertadas desde Septiembre, cuando se identificó que el CVE-2022-3236 estaba siendo activamente explotado en Asia, sin embargo, solo se dispone de parches para estas vulnerabilidades desde el 1 de Diciembre de 2022, por lo que es imperante aplicarlas a la brevedad posible.
Cisco revela un fallo de alta gravedad en teléfonos IP con código de explotación - [CVE-2022-20968]
Cisco ha revelado una vulnerabilidad de día cero de alta gravedad que afecta a la última generación de sus teléfonos IP y los expone a la ejecución remota de código y a ataques de denegación de servicio (DoS).
La compañía advirtió el jueves que su Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) es consciente de que el código de explotación de prueba de concepto está disponible" y que la "vulnerabilidad ha sido discutida públicamente, sin embargo, el PSIRT de Cisco añadió que aún no tiene constancia de ningún intento de explotar este fallo de seguridad en ataques.
Los WAF de varios proveedores importantes se burlan con un método de ataque genérico
Investigadores descubrieron una vulnerabilidad de inyección SQL que podía utilizarse para obtener información confidencial, como cookies de sesión, tokens, claves SSH y hashes de contraseñas.
La explotación del fallo funcionó contra la versión local, pero un intento de explotarlo contra la versión en la nube fue bloqueado por el WAF de Amazon Web Services (AWS), que marcó la carga útil de inyección SQL como maliciosa.
Un análisis más detallado reveló que el WAF podía eludirse abusando del formato de intercambio de datos JSON. La sintaxis JSON es compatible con los principales motores SQL y está activada por defecto.
Los investigadores Reprodujeron con éxito el bypass contra productos de Palo Alto Networks, Cloudflare, F5 e Imperva.WAF bypass
Más de 4.000 hosts seguros Pulse Connect vulnerables expuestos a Internet
Un análisis realizado por Censys logró identificar un gran volumen de dispositivos expuestos a internet con vulnerabilidades críticas para su servicio Pulse Connect, las cuales son conocidas y cuentan con parches disponibles, en algunos casos desde 2018.
A continuación el listado de las vulnerabilidades críticas detectadas:
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 5 al 11 de diciembre de 2022:
Objetivos observados durante semana de análisis:
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4
Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades
|
ENTEL Weekly Threat Intelligence Brief del 12 al 18 de diciembre de 2022 |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: