El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
El nuevo ransomware 'MortalKombat' apunta a los sistemas en los EE. UU.
Ciberactores que llevan a cabo una nueva campaña motivada financieramente están utilizando una variante del ransomware de productos básicos Xortist llamado 'MortalKombat', junto con el clipper Laplas en ataques cibernéticos. Ambas infecciones de malware se utilizan para realizar fraudes financieros, con el ransomware utilizado para extorsionar a las víctimas para que reciban un descifrador y Laplas para robar criptomonedas mediante el secuestro de transacciones criptográficas.
Laplas es un secuestrador de criptomonedas lanzado en 2022 que monitorea el portapapeles de Windows en busca de direcciones criptográficas y, cuando las encuentra, las sustituye por direcciones bajo el control del atacante.
En cuanto a MortalKombat, Cisco Talos dice que el nuevo ransomware se basa en la familia de ransomware de productos básicos Xorist, que utiliza un constructor que permite a los actores de amenazas personalizar el malware. Xorist se puede descifrar de forma gratuita desde 2016 .
Los ataques observados se centraron principalmente en los Estados Unidos, con algunas víctimas también en el Reino Unido, Turquía y Filipinas.
Ciudad de Oakland declara estado de emergencia tras ataque de ransomware
Oakland ha declarado un estado de emergencia local debido al impacto de un ataque de ransomware que obligó a la ciudad a desconectar todos sus sistemas de TI el 8 de febrero.
El administrador interino de la ciudad, G. Harold Duffey, declaró el estado de emergencia para permitir que la ciudad de Oakland, California, acelere los pedidos, la adquisición de materiales y equipos, y active a los trabajadores de emergencia cuando sea necesario.
"Hoy, el administrador interino de la ciudad, G. Harold Duffey, emitió un estado de emergencia local debido a los continuos impactos de las interrupciones de la red como resultado del ataque de ransomware que comenzó el miércoles 8 de febrero", se lee en un comunicado.
Si bien el ataque de ransomware de la semana pasada solo afectó a los servicios que no son de emergencia, muchos sistemas que se desactivaron inmediatamente después del incidente para contener la amenaza aún están fuera de línea. Actualmente se desconoce el grupo de ransomware detrás del ataque, y la Ciudad aún no ha compartido ningún detalle sobre las demandas de rescate o el robo de datos de los sistemas comprometidos.
El ransomware dirigido hacia servidores VMware, estaba en aumento antes de la campaña de ESXiArgs
La actividad de ransomware dirigida a las instancias de VMware ESXi estaba en aumento antes de que estallara una ola de ransomware este mes, que afectó a miles de servidores, según descubrió una investigación de Recorded Future.
Solo dos ataques cibernéticos dirigidos a ESXi con ransomware en 2020, pero en 2021 Recorded Future identificó más de 400 incidentes. El año pasado, el número se disparó y casi se triplicó a 1118 en 2022, encontró la investigación.
Se observaron payloads de ransomware de varios grupos, incluidos ALPHV, LockBit y BlackBasta.
La investigación destaca un aumento constante de la actividad de ransomware y puntos ciegos que presentan riesgos adicionales entre las organizaciones que utilizan VMware ESXi.
VMware se negó a comentar sobre la investigación de Recorded Future y aconsejó a las organizaciones que actualicen a las últimas versiones de componentes para abordar las vulnerabilidades conocidas actualmente.
CISA advierte sobre ataques de ransomware contra la atención médica
Un nuevo aviso de seguridad cibernética emitido por CISA en colaboración con la NSA, el FBI, el HHS, el Servicio de Inteligencia Nacional de la República de Corea del Sur y la Agencia de Seguridad de Defensa de la República de Corea del Sur advirtió que los ciberactores de Corea del Norte están involucrados en ataques de ransomware contra los sistemas de salud en Corea del Sur y los Estados Unidos.
Según el aviso, el modus operandi de los ataques incluye a piratas informáticos norcoreanos que adquieren y compran infraestructura para ocultar sus identidades.
Esto incluye el uso de personas y cuentas falsas y criptomonedas obtenidas ilegalmente para ocultar sus operaciones. También están utilizando servicios VPN (VPS) o direcciones IP de terceros para ocultar el origen del ataque.
Los ciberactores se infiltran en los objetivos explotando vulnerabilidades: Log4Shell (CVE-2021-44228), falla de ejecución remota de código en dispositivos SonicWall (CVE-2021-20038) y falla de divulgación de contraseña de administrador en productos TerraMaster NAS (CVE-2022-24990) que permiten acceso y escalada de privilegios en las redes de destino.
El ransomware se distribuye a través de archivos troyanos para 'X-Popup', un mensajero de código abierto comúnmente utilizado por empleados de hospitales pequeños y medianos en Corea del Sur.
Si bien los piratas informáticos de Corea del Norte han sido vinculados a las cepas de ransomware Maui y H0lyGh0st , el aviso señala que también se ha observado que utilizan herramientas de ransomware disponibles públicamente para el cifrado. Estos incluyen BitLocker, Deadbolt, ech0raix, GonnaCry, Hidden Tear, Jigsaw, LockBit 2.0, My Little, NxRansomware, Ryuk y YourRansom.
Ciberactores de Lazarus usan un nuevo mezclador para ocultar USD 100 millones en criptomonedas robadas
Ciberactores de Corea del Norte han encontrado una forma de evitar las sanciones impuestas por EE. UU. para lavar las ganancias en criptomonedas de sus atracos, según la evidencia descubierta por los analistas de blockchain.
El Grupo Lazarus, como se suele llamar al actor de amenazas, ha lavado alrededor de USD 100 millones en Bitcoin robado desde octubre de 2022 a través de un único servicio de mezcla de criptomonedas llamado Sinbad.
El año 2022, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de EE. UU. anunció sanciones contra los servicios de mezcla de criptomonedas Blender y Tornado Cash, que Lazarus había utilizado para lavar cerca de USD 500 millones en criptomonedas obtenidas ilícitamente.
Según la empresa de análisis de blockchain Elliptic , es muy probable que el operador de Blender haya lanzado a principios de octubre de 2022 un nuevo servicio llamado Sinbad, que está siendo utilizado por Lazarus para lavar activos.
OilRig apunta a más entidades gubernamentales de Medio Oriente
El grupo de ciberactores patrocinado por el estado iraní OilRig ha estado desarrollando sus métodos para eludir las protecciones de seguridad. El grupo ha agregado recientemente una nueva backdoor a su arsenal para apoyar su campaña de espionaje de larga duración contra las organizaciones gubernamentales en el Medio Oriente .
OilRig , también conocido como APT34, ha estado activo desde al menos 2014 y se sabe que utiliza un conjunto de herramientas diversas en sus operaciones. Durante 2020 , 2021 y 2022, el grupo empleó puertas traseras como Karkoff, Shark, Marlin y Saitama para el robo de información.
La infección del ataque comienza con un dropper basado en [.]NET que tiene la tarea de entregar cuatro archivos diferentes, cada uno de los cuales se colocó en un búfer Base64 dentro del dropper principal, denominado REDCAP.
Los investigadores de Trend Micro descubrieron que la campaña se ha dirigido principalmente a países de Oriente Medio, incluidos los Emiratos Árabes Unidos, China, Jordania, Arabia Saudita, Qatar, Omán, Kuwait, Bahrein, Líbano y Egipto.
APT iraní filtra datos del gobierno de Arabia Saudita
El actor de amenazas persistentes avanzadas (APT) vinculado a Irán conocido como Moses Staff está filtrando datos robados de los ministerios del gobierno de Arabia Saudita utilizando una persona en línea creada recientemente.
Moses Staff (A.K.A Cobalt Sapling), probablemente haya estado activo desde noviembre de 2020, pero su existencia no se reveló hasta septiembre de 2021.
Un grupo declarado anti-israelí y pro-palestino, ha publicado en su sitio web de filtraciones 16 actividades a partir de diciembre de 2022, que consisten principalmente en datos robados de empresas israelíes, o información personal de personas afiliadas a una unidad de inteligencia israelí de Israel.
APT37 aprovecha la vulnerabilidad Hangul con malware M2RAT altamente evasivo
El grupo de ciberactores patrocinado por el estado de Corea del Norte APT37 , también conocido como RedEyes o ScarCruft, ha agregado recientemente un nuevo malware evasivo denominado M2RAT a su arsenal. El grupo está utilizando el malware junto con la técnica de esteganografía para apuntar a individuos específicos y robar información personal de PC y datos de teléfonos móviles.
Los investigadores de AhnLab descubrieron que los ataques recientes comenzaron en enero de 2023 y APT37 está distribuyendo malware a través de una antigua vulnerabilidad en Hangul Encapsulated PostScript (EPS).
La vulnerabilidad ( CVE-2017-8291 ) es una vulnerabilidad de confusión de tipos en Artifex Ghostscript, que puede explotarse para ejecutar código arbitrario. Los atacantes envían correos electrónicos de phishing que contienen archivos adjuntos maliciosos que desencadenan la explotación de la vulnerabilidad Hangul EPS.
El exploit hará que el shellcode se ejecute en la computadora de la víctima descargando una imagen JPEG del servidor C2 del atacante y descifra el archivo PE codificado. Este archivo de imagen JPG utiliza esteganografía para evadir la detección de red. El archivo PE introduce sigilosamente el ejecutable M2RAT en el sistema y lo inyecta en explorer[.]exe y agrega persistencia al sistema.
APT37 continúa actualizando sus conjuntos de herramientas personalizados con malware evasivo para hacer que la detección y el análisis sean un desafío. El grupo es consistente con su estrategia objetivo y motivo de recolección de inteligencia. Además, apuntar a personas no corporativas dificulta el reconocimiento del daño causado por los ataques del grupo.
Los expertos publicaron una lista de IP proxy utilizadas por el grupo prorruso Killnet
Los investigadores de SecurityScorecard publicaron una lista de direcciones IP proxy utilizadas por el grupo prorruso Killnet con la intención de interferir con su operación y bloquear sus ataques.
“Para ayudar a las organizaciones a protegerse mejor, SecurityScorecard ha publicado una lista de IP de proxy para ayudar a bloquear el bot Killnet DDoS”.
El grupo Killnet ha estado activo desde marzo de 2022, lanzó ataques DDoS contra gobiernos e infraestructura crítica de países que expresaron su apoyo a Ucrania, incluidos Italia, Rumania , Moldavia, República Checa, Lituania , Noruega y Letonia.
A principios de febrero de 2023, el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC) informó que los sitios web de varios hospitales en los Países Bajos y Europa fueron atacados por ataques DDoS llevados a cabo por el grupo Killnet .
Las fallas de Microsoft Exchange ProxyShell explotadas en un nuevo ataque de criptominería
Un nuevo malware denominado 'ProxyShellMiner' explota las vulnerabilidades de Microsoft Exchange ProxyShell para implementar mineros de criptomonedas en un dominio de Windows para generar ganancias para los atacantes.
ProxyShell es el nombre de tres vulnerabilidades de Exchange descubiertas y reparadas por Microsoft en 2021. Cuando se encadenan, las vulnerabilidades permiten la ejecución remota de código sin autenticar, lo que permite a los atacantes tomar el control completo del servidor de Exchange y pasar a otras partes de la red de la organización.
En los ataques vistos por Morphisec, los actores de amenazas explotan las fallas de ProxyShell rastreadas como CVE-2021-34473 y CVE-2021-34523 para obtener acceso inicial a la red de la organización.
A continuación, los actores de la amenaza colocan una payload de malware [.]NET en la carpeta NETLOGON del controlador de dominio para garantizar que todos los dispositivos de la red ejecuten el malware.
Para que el malware se active, requiere un parámetro de línea de comando que también se dobla como una contraseña para el componente minero XMRig. En la siguiente fase, el malware descarga un archivo llamado "DC_DLL" y realiza una reflexión [.]NET para extraer argumentos para el programador de tareas, XML y la clave XMRig. El archivo DLL se utiliza para descifrar archivos adicionales.
El paso final en la cadena de ataque es crear una regla de firewall que bloquee todo el tráfico saliente, que se aplica a todos los perfiles de Firewall de Windows.El propósito de esto es hacer que sea menos probable que los defensores detecten marcadores de infección o reciban alertas sobre un posible compromiso del sistema infectado.
Morphisec advierte que el impacto del malware va más allá de causar interrupciones en el servicio, degradar el rendimiento del servidor y sobrecalentar las computadoras.
Una vez que los atacantes se han afianzado en la red, pueden hacer cualquier cosa, desde la implementación de puertas traseras hasta la ejecución de código.
Para abordar el riesgo de infecciones de ProxyShellMiner, Morphisec aconseja a todos los administradores que apliquen las actualizaciones de seguridad disponibles y utilicen estrategias de defensa y detección de amenazas integrales y multifacéticas.
Para más información sobre ProxyShell visitar:
Crack de Hogwarts Legacy conduce a adware
Hogwarts Legacy , el tan esperado videojuego de Harry Potter, finalmente ha aterrizado en las principales plataformas de juegos. Pero, como con todos los juegos como este, viene con una etiqueta de precio elevada, por lo que no sorprende ver de repente sitios web que venden versiones "crackeadas" del juego de forma gratuita. Estos sitios son fácilmente accesibles a través de una búsqueda rápida en Google.
Los juegos crackeados son juegos que se vuelven jugables debido a la manipulación o modificación de archivos. Por lo general, también están disponibles de forma gratuita. Esencialmente, son juegos pirateados, lo cual es ilegal en algunos estados. El analista de inteligencia de malware Stefan Dasic investigó los sitios web anteriores que afirman compartir la versión descifrada del juego para PC.
Un sitio web, games-install[.]com , solicita a los usuarios una clave de activación una vez que han descargado el "juego". Para acceder a la clave, el sitio dice que el usuario debe verificarse a sí mismo a través de una encuesta.
Todo se desmorona en ese punto. O la encuesta conduce a un callejón sin salida o pide a los usuarios que introduzcan sus datos, como un número de teléfono. Baste decir que el sitio web es una estafa de encuestas .
Dasic dijo que todos los sitios de la captura de pantalla anterior se resuelven en gameportpc[.]ru , que redirige a sitios cambiantes que se ven alojando un archivo llamado Hogwarts_Legacy_Setup[.]exe
Cuando los usuarios hacen clic en el botón "Descargar", descubren que han descargado una copia del programa legítimo de compresión de archivos 7-Zip .
Sin embargo, si visita la misma URL de gameportpc , el archivo descargado se convierte en un troyano, que luego arroja adware. Malwarebytes detecta el troyano y el adware como Trojan[.]Dropper y Adware[.]Agent.Generic, respectivamente.
Abuso de Adsense: 11.000 sitios de Wordpress hackeados en un ataque de puerta trasera
Los investigadores de Sucuri informaron que una puerta trasera infectó con éxito alrededor de 11,000 sitios web en los últimos meses. Según la investigación, la puerta trasera redirige a los usuarios a sitios que muestran visualizaciones fraudulentas de anuncios de Google AdSense . El escáner remoto SiteCheck ha detectado más de 10.890 sitios infectados. La actividad se ha intensificado aún más recientemente, con 70 nuevos dominios maliciosos disfrazados de legítimos en 2023 y 2600 sitios infectados descubiertos en la web.
Todos los sitios web infectados detectados por Sucuri usaban WordPress CMS . Estos tenían un script PHP ofuscado inyectado en los archivos legítimos de los sitios web, como index[.]php, wp - activate[.]php, wp - signup[.]php y wp - cron[.]php, etc.
Cuando el usuario ingresa cualquier nombre de dominio en su navegador, se lo redirige a un servicio de acortamiento de URL real, por ejemplo, Cuttly o Bitly, pero estos no son acortadores de URL públicos genuinos. Cada dominio tiene unas pocas URL que funcionan y que redirigen a los visitantes a sitios de preguntas y respuestas con spam que incluyen la monetización de AdSense.
“En este punto, no hemos notado un comportamiento malicioso en estas páginas de destino. Sin embargo, en un momento dado, los operadores del sitio pueden agregar arbitrariamente malware o comenzar a redirigir el tráfico a otros sitios web de terceros”, señalaron los investigadores.
Sitios web de aeropuertos alemanes afectados por un supuesto ataque cibernético
Los sitios web de siete aeropuertos alemanes fueron atacados el jueves por un presunto ciberataque, dijo la asociación aeroportuaria ADV, un día después de que una importante falla informática en Lufthansa dejara varados a miles de pasajeros.
Entre los aeropuertos afectados estaban Dusseldorf, Nuremberg y Dortmund, pero los sitios web de los aeropuertos más grandes de Alemania en Frankfurt, Munich y Berlín funcionaban con normalidad.
“Una vez más, los aeropuertos fueron víctimas de ataques DDoS a gran escala”, dijo el director ejecutivo de ADV, Ralph Beisel, en un comunicado, y agregó que los sitios web de siete aeropuertos estaban temporalmente inactivos.
GoDaddy: los piratas informáticos robaron el código fuente e instalaron malware en una violación de varios años
El gigante del alojamiento web GoDaddy dice que sufrió una brecha en la que atacantes desconocidos robaron el código fuente e instalaron malware en sus servidores después de comprometer su entorno de alojamiento compartido cPanel en un ataque de varios años.
Si bien GoDaddy descubrió la brecha de seguridad luego de los informes de los clientes a principios de diciembre de 2022 de que sus sitios se estaban utilizando para redirigir a dominios aleatorios, los atacantes tuvieron acceso a la red de la empresa durante varios años.
"Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas que, entre otras cosas, instala malware en nuestros sistemas y obtuvo fragmentos de código relacionados con algunos servicios dentro de GoDaddy", dijo la firma en una presentación ante la SEC .
La compañía dice que las infracciones anteriores reveladas en noviembre de 2021 y marzo de 2020 también están vinculadas a esta campaña de varios años.
GoDaddy dice que también encontró evidencia adicional que vincula a los actores de amenazas con una campaña más amplia dirigida a otras empresas de alojamiento en todo el mundo a lo largo de los años.
"Tenemos evidencia, y la policía lo ha confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que tenía como objetivo servicios de alojamiento como GoDaddy", dijo la empresa de alojamiento en un comunicado .
GoDaddy es uno de los registradores de dominios más grandes y también brinda servicios de alojamiento a más de 20 millones de clientes en todo el mundo.
Nuevo malware WhiskerSpy entregado a través de un instalador de códec troyano
Los investigadores de seguridad han descubierto una nueva puerta trasera llamada WhiskerSpy utilizada en una campaña de un actor de amenazas avanzado relativamente nuevo rastreado como Earth Kitsune, conocido por apuntar a personas que muestran interés en Corea del Norte.
El actor usó un método probado y probado y escogió víctimas entre los visitantes de un sitio web Pro Corea del Norte, una táctica conocida como ataque “watering hole”.
La nueva operación fue descubierta a finales del año pasado por investigadores de la empresa de ciberseguridad Trend Micro, que han estado rastreando la actividad de Earth Kitsune desde 2019.
Según Trend Micro, WhiskerSpy se entregó cuando los visitantes intentaron ver videos en el sitio web. El atacante comprometió el sitio web e inyectó un script malicioso que le pedía a la víctima que instalara un códec de video para que se ejecutaran los medios.
Para evitar sospechas, el actor de amenazas modificó un instalador de códec legítimo para que finalmente cargue "una puerta trasera nunca antes vista" en el sistema de la víctima. Los investigadores dicen que el actor de amenazas apuntó sólo a los visitantes del sitio web con direcciones IP de Shenyang, China, Nagoya, Japón y Brasil.
Trend Micro ha descubierto una versión anterior de WhiskerSpy que utiliza el protocolo FTP en lugar de HTTP para la comunicación C2. Esta variante anterior también verifica la presencia de un depurador al ejecutarse e informa al C2 con el código de estado apropiado.
Para tener en cuenta, la confianza de los investigadores en atribuir este ataque al abrevadero a Earth Kitsune es media, pero el modus operandi y los objetivos son similares a las actividades previamente asociadas al grupo.
El FBI investiga un incidente de ciberseguridad en su red
Según se informa, la Oficina Federal de Investigaciones (FBI) de EE. UU. está investigando actividades cibernéticas maliciosas en la red de la agencia.
La agencia federal de aplicación de la ley dice que ya contuvo el "incidente aislado" y está trabajando para descubrir su alcance e impacto general. "Este es un incidente aislado que ha sido contenido. Como se trata de una investigación en curso, el FBI no tiene más comentarios para proporcionar en este momento".
CNN informó por primera vez el viernes que se trataba de un incidente de piratería informática que involucró un sistema informático de la Oficina de Campo de Nueva York del FBI utilizado para investigar la explotación sexual infantil.
Nueva variante de malware Mirai infecta dispositivos Linux para construir botnet DDoS
Una nueva variante de botnet Mirai rastreada como 'V3G4' apunta a 13 vulnerabilidades en servidores basados en Linux y dispositivos IoT para usar en ataques DDoS (denegación de servicio distribuido).
El malware se propaga mediante la fuerza bruta de credenciales de telnet/SSH débiles o predeterminadas y explota fallas codificadas para realizar la ejecución remota de código (RCE) en los dispositivos de destino. Una vez que se infecta un dispositivo, el malware infecta el dispositivo y lo recluta en su enjambre de botnets. El malware en particular fue detectado en tres campañas distintas por investigadores de Palo Alto Networks (Unit 42), quienes informaron haber monitoreado la actividad maliciosa entre julio y diciembre de 2022.
Unit 42 cree que las tres olas de ataque se originan del mismo actor de amenazas porque los dominios C2 codificados contienen la misma cadena, las descargas de scripts de shell son similares y los clientes de botnet utilizados en todos los ataques presentan funciones idénticas.
Una característica que diferencia a V3G4 de la mayoría de las variantes de Mirai es que utiliza cuatro claves de cifrado XOR diferentes en lugar de solo una, lo que hace que la ingeniería inversa del código del malware y la decodificación de sus funciones sean más desafiantes.
Cuando se propaga a otros dispositivos, la red de bots usa una fuerza bruta de telnet/SSH que intenta conectarse usando credenciales predeterminadas o débiles. La Unidad 42 notó que las variantes de malware anteriores usaban la fuerza bruta de telnet/SSH y la explotación de vulnerabilidades para propagarse, mientras que las muestras posteriores no usaban el escáner.
Finalmente, los dispositivos comprometidos reciben comandos DDoS directamente desde el C2, incluidos los métodos de inundación TCP, UDP, SYN y HTTP.
Es probable que V3G4 venda servicios DDoS a clientes que desean causar la interrupción del servicio en sitios web o servicios en línea específicos.Sin embargo, esta variante no se ha vinculado a un servicio en particular en este momento.
Hackers servidores backdoor Microsoft IIS con nuevo malware Frebniis
Ciberactores están implementando un nuevo malware llamado 'Frebniss' en los Servicios de información de Internet (IIS) de Microsoft que ejecuta sigilosamente los comandos enviados a través de solicitudes web.
Frebniis fue descubierto por el Threat Hunter Team de Symantec, quien informó que un actor de amenazas desconocido lo está utilizando actualmente contra objetivos con sede en Taiwán. Microsoft IIS es un software de servidor web que actúa como un servidor web y una plataforma de alojamiento de aplicaciones web para servicios como Outlook en la Web para Microsoft Exchange.
En los ataques vistos por Symantec, los piratas informáticos abusan de una característica de IIS llamada 'Búfer de evento de solicitud fallida' (FREB), responsable de recopilar metadatos de solicitud (dirección IP, encabezados HTTP, cookies). Su propósito es ayudar a los administradores del servidor a solucionar problemas de códigos de estado HTTP inesperados o problemas de procesamiento de solicitudes.
El malware inyecta código malicioso en una función específica de un archivo DLL que controla FREB ("iisfreb[.]dll") para permitir que el atacante intercepte y controle todas las solicitudes HTTP POST enviadas al servidor ISS. Cuando el malware detecta solicitudes HTTP específicas que envía el atacante, analiza la solicitud para determinar qué comandos ejecutar en el servidor.
La principal ventaja de abusar del componente FREB para los fines descritos es evadir la detección de las herramientas de seguridad. Esta puerta trasera HTTP única no deja rastros ni archivos y no crea procesos sospechosos en el sistema.
Aunque se desconoce la ruta de compromiso inicial, generalmente se recomienda actualizar su software para minimizar las posibilidades de que los piratas informáticos exploten las vulnerabilidades conocidas.
El gigante de la atención médica CHS informa la primera violación de datos en los hackeos de GoAnywhere
Community Health Systems (CHS) dice que se vio afectado por una ola reciente de ataques dirigidos a una vulnerabilidad de día cero en la plataforma de transferencia segura de archivos GoAnywhere MFT de Fortra.
El gigante proveedor de atención médica dijo el lunes que Fortra emitió una alerta diciendo que había "experimentado un incidente de seguridad" que provocó que algunos datos de CHS se vieran comprometidos.
Una investigación posterior reveló que la violación de datos resultante afectó la información personal y de salud de hasta 1 millón de pacientes.
"Si bien esa investigación aún está en curso, la Compañía cree que la infección de Fortra no ha tenido ningún impacto en ninguno de los sistemas de información de la Compañía y que no ha habido ninguna interrupción material de las operaciones comerciales de la Compañía, incluida la prestación de atención al paciente". CHS dijo que una presentación 8-K ante la SEC fue detectada por primera vez por DataBreaches[.]net
Múltiples vulnerabilidades afectan a Fortinet
Fortinet ha publicado 40 nuevos avisos de seguridad que contemplan 40 vulnerabilidades, las cuales se clasifican en 2 de severidad Crítica, 15 de severidad Alta, 22 de severidad Media y 1 de severidad Baja.
Estas vulnerabilidades afectan a productos como:
Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1507/
Nuevas vulnerabilidades afectan a los complementos de Jenkins
El servidor Jenkins, publicó un aviso de seguridad que contiene 11 vulnerabilidades que se clasifican en 7 de severidad Alta y 4 de severidad Media.
Nuevos avisos de seguridad en productos Cisco
Cisco ha publicado 6 nuevos avisos de seguridad que contemplan 7 vulnerabilidades, las cuales se clasifican en 1 de severidad Crítica, 3 de severidad Alta y 3 de severidad media afectando a productos como:
Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1505/
Patch Tuesday Microsoft de febrero corrige 80 vulnerabilidades
En su actualización programada para el martes de parches de febrero del 2023, Microsoft informó 80 correcciones de seguridad. Del total de vulnerabilidades 9 son catalogadas como Críticas y corresponden a fallas de ejecución de código remoto (RCE).
De las 80 CVE´s parcheadas por Microsoft en el Patch Tuesday de febrero, 9 son clasificadas como Críticas , 69 clasificadas como Importantes, 1 como Moderada y 1 Desconocida.
Adicionalmente, existen 22 vulnerabilidades asociadas a Chromium que no se consideran en el conteo anterior.
Estas vulnerabilidades se pueden segmentar de las siguiente forma:
Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1504/
Múltiples vulnerabilidades afectan a productos Siemens
Siemens ha publicado 12 avisos de seguridad que contemplan 76 vulnerabilidades, 5 de ellas de severidad Crítica, 69 de severidad Alta y 2 de severidad Media.
Citrix publica un aviso con una nueva vulnerabilidad
Citrix ha publicado 3 nuevos avisos de seguridad que contienen 4 vulnerabilidades, de las cuales 2 son de severidad Alta y 2 de severidad Media que afecta a los siguientes productos:
Aplicaciones y escritorios virtuales de Citrix
Patch Day SAP – Febrero 2023
En el martes de parches de febrero del 2023 SAP publicó 21 nuevos avisos de seguridad para sus productos, de los cuales: 3 son de Severidad Alta y 19 de Severidad Media. Además, se incluyen 5 actualizaciones de vulnerabilidades abordadas anteriormente. Esta publicación contempla 22 vulnerabilidades nuevas.
Cabe mencionar que SAP publicó una Actualización de la nota de seguridad publicada el día del parche de abril de 2018 con severidad HotNews y puntuación cvss 10 : “Actualizaciones de seguridad para el control del navegador Google Chromium entregadas con SAP Business Client” , la nota de seguridad 2622660 , publicada el día del parche de abril 2018, es para actualizar a los clientes sobre las vulnerabilidades que SAP Business Client hereda de navegadores web de terceros como Google Chromium.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 20 al 26 de Febrero de 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel Ciber Secure recomienda lo siguiente: