El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
El ransomware afecta a más de 200 organizaciones gubernamentales, educativas y sanitarias en 2022
Los ataques de ransomware en 2022 afectaron a más de 200 organizaciones más grandes en el sector público de los EE. UU. en los sectores verticales de gobierno, educación y atención médica.
Los datos recopilados de informes disponibles públicamente, declaraciones de divulgación, filtraciones en la web oscura e inteligencia de terceros muestran que los ciberactores informáticos robaron datos en aproximadamente la mitad de estos ataques de ransomware.
Según los datos disponibles, la amenaza del ransomware en los EE. UU. afectó a 105 condados, 44 universidades y colegios, 45 distritos escolares y 24 proveedores de atención médica.
Un grupo de ransomware clonó el sitio web de la víctima para filtrar los datos robados
El 26 de diciembre de 2022, el actor de amenazas publicó en su sitio de fuga de datos ocultos en la red Tor que habían comprometido a una empresa de servicios financieros. Como la víctima no cumplió con las demandas del actor de amenazas, publicaron todos los archivos robados como sanción, un actuar común para los operadores de ransomware.
Como una desviación del proceso habitual, los actores también decidieron filtrar los datos en un sitio que imita al de la víctima en lo que respecta a la apariencia y el nombre de dominio.
Grupo de ransomware se disculpa y le da al hospital SickKids un descifrador gratuito
El grupo de ransomware LockBit lanzó un descifrador gratuito para el Hospital for Sick Children (SickKids), diciendo que uno de sus miembros violó las reglas al atacar a la organización de atención médica.
Si bien el ataque producido el 18 de diciembre de 2022 solo cifró algunos sistemas, SickKids afirmó que el incidente provocó demoras en la recepción de resultados de laboratorio e imágenes y resultó en tiempos de espera más prolongados para los pacientes.
"Nos disculpamos formalmente por el ataque a sikkids.ca y devolvemos el descifrador de forma gratuita. El socio que atacó este hospital violó nuestras reglas, está bloqueado y ya no está en nuestro programa de afiliados", declaró la banda de ransomware.
El ransomware LockBit afirma haber atacado el puerto de Lisboa en Portugal
El grupo de ransomware LockBit reivindicó un ciberataque que golpeó la Administración del Puerto de Lisboa (APL), el tercer puerto más grande de Portugal, el 25 de diciembre de 2022.
“Todos los protocolos de seguridad y medidas de respuesta previstas para este tipo de sucesos se activaron rápidamente, siendo monitoreada la situación por el Centro Nacional de Ciberseguridad y la Policía Judicial”, dice el anuncio compartido con el diario nacional portugués Público .
Los actores detrás de LockBit afirman haber robado informes financieros, auditorías, presupuestos, contratos, información de carga, registros de barcos, detalles de la tripulación, PII del cliente (información de identificación personal), documentación del puerto, correspondencia por correo electrónico y más.
Empresa minera canadiense cierra planta tras ataque de ransomware
La Canadian Copper Mountain Mining Corporation (CMMC) en Columbia Británica ha anunciado que fue el objetivo de un ataque de ransomware que afectó sus operaciones.
El ciberataque dirigido a la empresa ocurrió a última hora del 27 de diciembre de 2022 y el equipo de TI de la empresa respondió rápidamente implementando los sistemas y protocolos de gestión de riesgos predefinidos. Para contener el incidente, CMMC aisló los sistemas infectados y eliminó otras partes para examinarlas minuciosamente y determinar el impacto del ataque de ransomware.
Royal ransomware afirma haber atacado al proveedor de telecomunicaciones Intrado
Royal Ransomware se atribuyó la responsabilidad de un ataque cibernético contra la empresa de telecomunicaciones Intrado.
Si bien Intrado aún no ha compartido ninguna información sobre este incidente, las fuentes le dijeron a BleepingComputer a principios de este mes que el ataque comenzó el 1 de diciembre de 2022 y que la demanda de rescate inicial fue de $ 60 millones.
Los atacantes afirman haber obtenido documentos internos, pasaportes y licencias de conducir de empleados de dispositivos Intrado comprometidos.
Los complementos de Microsoft Excel emergen como un nuevo vector de ataque de los hackers de APT.
Los archivos de complemento de Excel (.XLL) se utilizan con mayor frecuencia como vector de infiltración inicial por parte de reproductores de amenazas sofisticadas (APT) y familias de malware como resultado del bloqueo de macros VBA, según Cisco Talos. Según Microsoft, los archivos XLL son un tipo específico de archivo de biblioteca de vínculos dinámicos (DLL) al que solo Excel puede acceder. Estos archivos se pueden enviar por correo electrónico e incluso con medidas específicas de análisis antimalware, es posible que los usuarios no sepan que pueden contener código malicioso.
TA410 (un actor vinculado a APT10), DoNot Team, FIN7, así como familias de malware comunes como Agent Tesla, Arkei, Buer, Dridex, Ducktail, Ekipa RAT, etc., son otros colectivos hostiles conocidos que se han visto usando este técnica. La Unidad 42 de Palo Alto Networks llamó previamente la atención sobre el uso indebido del formato de archivo XLL para difundir el Agente Tesla y Dridex, afirmando que "puede sugerir una nueva tendencia en el panorama de amenazas".
Kaspersky descubre que el actor BlueNoroff APT se disfrazó de firmas VC para entregar nuevo malware
BlueNoroff es conocido como el actor de amenazas que apunta a criptomonedas de entidades financieras en todo el mundo, más específicamente a las empresas de capital de riesgo, las empresas emergentes de criptomonedas y los bancos. Ahora, el actor de BlueNoroff está experimentando con nuevos tipos de archivos para propagar su malware de manera más eficiente y ha creado más de 70 dominios falsos de firmas de capital de riesgo y bancos para atraer a los empleados de nuevas empresas a una trampa.
Ciberataques de Corea del Norte apuntan a expertos en políticas de Corea del Sur
El grupo APT Kimsuky, patrocinado por el estado de Corea del Norte, apuntó a casi 900 expertos en política exterior de Corea del Sur para robar su información personal y llevar a cabo ataques de ransomware.
La policía atribuye la última campaña al actor de amenazas persistentes avanzadas de Corea del Norte, Kimsuky, el mismo grupo que se sospecha que hackeó a Korea Hydro and Nuclear Power en 2014. Esta APT es históricamente conocida por atacar a los grupos de expertos y periodistas de todo el mundo.
El nuevo malware de Linux usa 30 complementos para explotar los sitios de WordPress de puerta trasera
Un malware de Linux, aún desconocido, ha estado explotando 30 vulnerabilidades en múltiples complementos y temas obsoletos de WordPress para inyectar JavaScript malicioso.
De acuerdo a investigaciones, el malware se dirige a los sistemas Linux de 32 y 64 bits, lo que brinda a su operador capacidades de comando remoto. La funcionalidad principal del troyano es vulnerar sitios de WordPress utilizando un conjunto de exploits codificados que se ejecutan sucesivamente, hasta que uno de ellos funciona.
Si el sitio web objetivo ejecuta una versión desactualizada y vulnerable de cualquiera de los complementos utilizados, el malware obtiene automáticamente el JavaScript malicioso de su servidor de comando y control (C2) e inyecta el script en el sitio web.
PyTorch revela el compromiso malicioso de la cadena de dependencia durante las vacaciones
PyTorch ha identificado una dependencia maliciosa con el mismo nombre que la biblioteca 'torchtriton' del framework. Esto ha llevado a un compromiso exitoso a través del vector de ataque de confusión de dependencia.
Los administradores de PyTorch advierten a los usuarios que instalaron PyTorch-nightly recientemente que desinstalen el framework y la dependencia falsificada 'torchtriton'.
El 'torchtriton' malicioso no solo examina su sistema en busca de información básica de huellas dactilares (como la dirección IP, el nombre de usuario y el directorio de trabajo actual), sino que también roba datos confidenciales:
Obtiene información del sistema:
Lee los siguientes archivos:
The Godfather, el nuevo malware para Android que roba tus cuentas bancarias
Este malware ha sido detectado por analistas de Group-IB, que creen que es el sucesor de Anubis, un peligroso troyano bancario y que cayó en desuso debido a que no era capaz de seguir esquivando las defensas de Android.
The Godfather ataca a 110 plataformas de intercambio de criptomonedas y 94 aplicaciones de monederos de criptomonedas.
Se ha detectado por lo menos una app disponible en Google Play que está infectada con el malware Godfather. Los actores detrás del malware suben la app sin virus a Google Play para que supere los controles y luego añaden el malware en una actualización.
Servidores Citrix expuestos a internet aún sin parche
Durante los dos últimos meses del año, Citrix publicó avisos de seguridad para vulnerabilidades críticas (CVE-2022-27510 y CVE-2022-27518) que afectan a los productos Gateway y ADC y una de ellas (CVE-2022-27518) notificada por ser explotada por el grupo de amenazas APT5. Recientemente investigadores de Fox-IT de NCC Group realizaron un extenso estudio sobre cuántas versiones hay activas en Internet y si aún son vulnerables a CVE-2022-27510 o CVE-2022-27518.
Ambas vulnerabilidades fueron abordadas previamente en nuestro portal y las puedes encontrar en los siguientes enlaces:
Vulnerabilidades críticas en el kernel de Linux
Una vulnerabilidad crítica del kernel de Linux ZDI-22-1690 expone los servidores SMB con ksmbd habilitado. KSMBD es un servidor del kernel de Linux que implementa el protocolo SMB3 en el espacio del kernel para compartir archivos a través de la red.
En principio no se asignó ningún ID de CVE, ZDI (zero Day Iniciative) calificó la vulnerabilidad con un 10 en la escala CVSS (Common Vulnerability Scoring System). Esto causó molestia en algunos investigadores dada la gravedad de la vulnerabilidad, por lo que finalmente un investigador llamado Marcus Meissner solicitó la asignación de un ID de CVE para esta vulnerabilidad la cual finalmente es rastreada como CVE-2022-47939.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 3 al 8 de enero de 2023:
Objetivos observados durante semana de análisis:
|
|
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4
Ciberactores se aprovechan de los anuncios de Google Ads para propagar malware |
ENTEL Weekly Threat Intelligence Brief del 19 al 25 de Diciembre de 2022 |
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: