ENTEL Weekly Threat Intelligence Brief del 26 de diciembre al 2 de enero de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• El ransomware afecta a más de 200 organizaciones gubernamentales, educativas y sanitarias en 2022.
• Un grupo de ransomware clonó el sitio web de la víctima para filtrar los datos robados.
• Grupo de ransomware se disculpa y le da al hospital SickKids un descifrador gratuito.
• El ransomware LockBit afirma haber atacado el puerto de Lisboa en Portugal.
• Empresa minera canadiense cierra planta tras ataque de ransomware.
• Royal ransomware afirma haber atacado al proveedor de telecomunicaciones Intrado.
• Los complementos de Microsoft Excel emergen como un nuevo vector de ataque de los hackers de APT.
• Kaspersky descubre que el actor BlueNoroff APT se disfrazó de firmas VC para entregar nuevo malware.
• Ciberataques de Corea del Norte apuntan a expertos en política de Corea del Sur.
• El nuevo malware de Linux usa 30 complementos para explotar los sitios de WordPress de puerta trasera.
• PyTorch revela el compromiso malicioso de la cadena de dependencia durante las vacaciones.
• The Godfather, el nuevo malware para Android que roba tus cuentas bancarias.
• Servidores Citrix expuestos a internet aún sin parche.
• Vulnerabilidades críticas en el kernel de Linux.

El ransomware afecta a más de 200 organizaciones gubernamentales, educativas y sanitarias en 2022

Los ataques de ransomware en 2022 afectaron a más de 200 organizaciones más grandes en el sector público de los EE. UU. en los sectores verticales de gobierno, educación y atención médica.

Los datos recopilados de informes disponibles públicamente, declaraciones de divulgación, filtraciones en la web oscura e inteligencia de terceros muestran que los ciberactores informáticos robaron datos en aproximadamente la mitad de estos ataques de ransomware.

Según los datos disponibles, la amenaza del ransomware en los EE. UU. afectó a 105 condados, 44 universidades y colegios, 45 distritos escolares y 24 proveedores de atención médica.

Un grupo de ransomware clonó el sitio web de la víctima para filtrar los datos robados

El 26 de diciembre de 2022, el actor de amenazas publicó en su sitio de fuga de datos ocultos en la red Tor que habían comprometido a una empresa de servicios financieros. Como la víctima no cumplió con las demandas del actor de amenazas, publicaron todos los archivos robados como sanción, un actuar común para los operadores de ransomware.

Como una desviación del proceso habitual, los actores también decidieron filtrar los datos en un sitio que imita al de la víctima en lo que respecta a la apariencia y el nombre de dominio.

Grupo de ransomware se disculpa y le da al hospital SickKids un descifrador gratuito

El grupo de ransomware LockBit lanzó un descifrador gratuito para el Hospital for Sick Children (SickKids), diciendo que uno de sus miembros violó las reglas al atacar a la organización de atención médica.

Si bien el ataque producido el 18 de diciembre de 2022 solo cifró algunos sistemas, SickKids afirmó que el incidente provocó demoras en la recepción de resultados de laboratorio e imágenes y resultó en tiempos de espera más prolongados para los pacientes.

"Nos disculpamos formalmente por el ataque a sikkids.ca y devolvemos el descifrador de forma gratuita. El socio que atacó este hospital violó nuestras reglas, está bloqueado y ya no está en nuestro programa de afiliados", declaró la banda de ransomware.

El ransomware LockBit afirma haber atacado el puerto de Lisboa en Portugal

El grupo de ransomware LockBit reivindicó un ciberataque que golpeó la Administración del Puerto de Lisboa (APL), el tercer puerto más grande de Portugal, el 25 de diciembre de 2022.

“Todos los protocolos de seguridad y medidas de respuesta previstas para este tipo de sucesos se activaron rápidamente, siendo monitoreada la situación por el Centro Nacional de Ciberseguridad y la Policía Judicial”, dice el anuncio compartido con el diario nacional portugués  Público .

Los actores detrás de LockBit afirman haber robado informes financieros, auditorías, presupuestos, contratos, información de carga, registros de barcos, detalles de la tripulación, PII del cliente (información de identificación personal), documentación del puerto, correspondencia por correo electrónico y más.

Empresa minera canadiense cierra planta tras ataque de ransomware

La Canadian Copper Mountain Mining Corporation (CMMC) en Columbia Británica ha anunciado que fue el objetivo de un ataque de ransomware que afectó sus operaciones.

El ciberataque dirigido a la empresa ocurrió a última hora del 27 de diciembre de 2022 y el equipo de TI de la empresa respondió rápidamente implementando los sistemas y protocolos de gestión de riesgos predefinidos. Para contener el incidente, CMMC aisló los sistemas infectados y eliminó otras partes para examinarlas minuciosamente y determinar el impacto del ataque de ransomware.

Royal ransomware afirma haber atacado al proveedor de telecomunicaciones Intrado

Royal Ransomware se atribuyó la responsabilidad de un ataque cibernético contra la empresa de telecomunicaciones Intrado.

Si bien Intrado aún no ha compartido ninguna información sobre este incidente, las fuentes le dijeron a BleepingComputer a principios de este mes que el ataque comenzó el 1 de diciembre de 2022 y que la demanda de rescate inicial fue de $ 60 millones.

Los atacantes afirman haber obtenido documentos internos, pasaportes y licencias de conducir de empleados de dispositivos Intrado comprometidos.

Los complementos de Microsoft Excel emergen como un nuevo vector de ataque de los hackers de APT.

Los archivos de complemento de Excel (.XLL) se utilizan con mayor frecuencia como vector de infiltración inicial por parte de reproductores de amenazas sofisticadas (APT) y familias de malware como resultado del bloqueo de macros VBA, según Cisco Talos. Según Microsoft, los archivos XLL son un tipo específico de archivo de biblioteca de vínculos dinámicos (DLL) al que solo Excel puede acceder. Estos archivos se pueden enviar por correo electrónico e incluso con medidas específicas de análisis antimalware, es posible que los usuarios no sepan que pueden contener código malicioso.

TA410 (un actor vinculado a APT10), DoNot Team, FIN7, así como familias de malware comunes como Agent Tesla, Arkei, Buer, Dridex, Ducktail, Ekipa RAT, etc., son otros colectivos hostiles conocidos que se han visto usando este técnica. La Unidad 42 de Palo Alto Networks llamó previamente la atención sobre el uso indebido del formato de archivo XLL para difundir el Agente Tesla y Dridex, afirmando que "puede sugerir una nueva tendencia en el panorama de amenazas".

Kaspersky descubre que el actor BlueNoroff APT se disfrazó de firmas VC para entregar nuevo malware

BlueNoroff es conocido como el actor de amenazas que apunta a criptomonedas de entidades financieras en todo el mundo, más específicamente a las empresas de capital de riesgo, las empresas emergentes de criptomonedas y los bancos. Ahora, el actor de BlueNoroff está experimentando con nuevos tipos de archivos para propagar su malware de manera más eficiente y ha creado más de 70 dominios falsos de firmas de capital de riesgo y bancos para atraer a los empleados de nuevas empresas a una trampa.

Ciberataques de Corea del Norte apuntan a expertos en políticas de Corea del Sur

El grupo APT Kimsuky, patrocinado por el estado de Corea del Norte, apuntó a casi 900 expertos en política exterior de Corea del Sur para robar su información personal y llevar a cabo ataques de ransomware.

La policía atribuye la última campaña al actor de amenazas persistentes avanzadas de Corea del Norte, Kimsuky, el mismo grupo que se sospecha que hackeó a Korea Hydro and Nuclear Power en 2014. Esta APT es históricamente conocida por atacar a los grupos de expertos y periodistas de todo el mundo.

El nuevo malware de Linux usa 30 complementos para explotar los sitios de WordPress de puerta trasera

Un malware de Linux, aún desconocido, ha estado explotando 30 vulnerabilidades en múltiples complementos y temas obsoletos de WordPress para inyectar JavaScript malicioso.

De acuerdo a investigaciones, el malware se dirige a los sistemas Linux de 32 y 64 bits, lo que brinda a su operador capacidades de comando remoto. La funcionalidad principal del troyano es vulnerar sitios de WordPress utilizando un conjunto de exploits codificados que se ejecutan sucesivamente, hasta que uno de ellos funciona.

Si el sitio web objetivo ejecuta una versión desactualizada y vulnerable de cualquiera de los complementos utilizados, el malware obtiene automáticamente el JavaScript malicioso de su servidor de comando y control (C2) e inyecta el script en el sitio web.

PyTorch revela el compromiso malicioso de la cadena de dependencia durante las vacaciones

PyTorch ha identificado una dependencia maliciosa con el mismo nombre que la biblioteca 'torchtriton' del framework. Esto ha llevado a un compromiso exitoso a través del vector de ataque de confusión de dependencia.

Los administradores de PyTorch advierten a los usuarios que instalaron PyTorch-nightly recientemente que desinstalen el framework y la dependencia falsificada 'torchtriton'.

El 'torchtriton' malicioso no solo examina su sistema en busca de información básica de huellas dactilares (como la dirección IP, el nombre de usuario y el directorio de trabajo actual), sino que también roba datos confidenciales:

Obtiene información del sistema:

• servidores de nombres de /etc/resolv.conf
• nombre de host de gethostname()
• nombre de usuario actual de getlogin()
• nombre del directorio de trabajo actual desde getcwd()
• Variables de entorno

Lee los siguientes archivos:

• / et c /hosts
• / etc  /contraseña
• Los primeros 1000 archivos en $ HOME / *
• $ INICIO /.git config
• $ INICIO /. ssh/ *

The Godfather, el nuevo malware para Android que roba tus cuentas bancarias

Este malware ha sido detectado por analistas de Group-IB, que creen que es el sucesor de Anubis, un peligroso troyano bancario y que cayó en desuso debido a que no era capaz de seguir esquivando las defensas de Android. 

The Godfather ataca a 110 plataformas de intercambio de criptomonedas y 94 aplicaciones de monederos de criptomonedas. 

Se ha detectado por lo menos una app disponible en Google Play que está infectada con el malware Godfather. Los actores detrás del malware suben la app sin virus a Google Play para que supere los controles y luego añaden el malware en una actualización.

Servidores Citrix expuestos a internet aún sin parche

Durante los dos últimos meses del año, Citrix publicó avisos de seguridad para vulnerabilidades críticas (CVE-2022-27510 y CVE-2022-27518) que afectan a los productos Gateway y ADC y una de ellas (CVE-2022-27518) notificada por ser explotada por el grupo de amenazas APT5. Recientemente investigadores de Fox-IT de NCC Group realizaron un extenso estudio sobre cuántas versiones hay activas en Internet y si aún son vulnerables a CVE-2022-27510 o CVE-2022-27518.

Ambas vulnerabilidades fueron abordadas previamente en nuestro portal y las puedes encontrar en los siguientes enlaces:

• CVE-2022-27518
  Ejecución de código arbitrario remoto no autenticado
• CVE-2022-27510 [CVSSv3: 9.8]
  Vulnerabilidad de Omisión de autenticación usando una ruta o canal alternativo

Vulnerabilidades críticas en el kernel de Linux

Una vulnerabilidad crítica del kernel de Linux ZDI-22-1690 expone los servidores SMB con ksmbd habilitado. KSMBD es un servidor del kernel de Linux que implementa el protocolo SMB3 en el espacio del kernel para compartir archivos a través de la red.

En principio no se asignó ningún ID de CVE, ZDI (zero Day Iniciative) calificó la vulnerabilidad con un 10 en la escala CVSS (Common Vulnerability Scoring System). Esto causó molestia en algunos investigadores dada la gravedad de la vulnerabilidad, por lo que finalmente un investigador llamado Marcus Meissner solicitó la asignación de un ID de CVE para esta vulnerabilidad la cual finalmente es rastreada como CVE-2022-47939.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 3 al 8 de  enero de 2023:

Objetivos observados durante semana de análisis: 

DEFCON 1

• Educación
• Entretenimiento, cultura y arte
• Servicios de salud, sociales y farmacia
• Transportes y servicios automotrices

DEFCON 2

• Servicios legales y profesionales
• Infraestructura tecnológica

DEFCON 3

• Construcción e inmobiliaria
• Defensa y orden público
• Servicios empresariales y comercio

DEFCON 4

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.