Cifradores de Lockbit Ransomware dirigidos a dispositivos Mac
De acuerdo a la publicación observada del grupo MalwareHunterTeam, el día 16 de abril, descubrieron un compilado en formato zip de lo que parece ser la mayor cantidad de encriptadores LockBit disponibles. Los encriptadores incluyen un llamado 'locker_Apple_M1_64', que apunta a las Mac más nuevas, así como también un archivo que contiene casilleros para CPU PowerPC, que usan las Mac más antiguas.
De acuerdo a lo anterior, en un análisis efectuado por BleepingComputer de las cadenas encontradas para Apple M1, mencionan que éstas aún no están listas para implementarse en ataques reales contra dispositivos macOS ya que se tratan de compilaciones de prueba que no corresponden con la arquitectura de los CPU de los dispositivos Mac, ya que la mayoría de las cadenas están fuera de lugar respecto a las compilaciones que puedan hacer en éstos dispositivos, ya que aún mantienen una base de código compartida originalmente diseñada para casi todas las cadenas de ESXi y Windows también están presentes en los cifrados MIP y FreeBSD.
Si bien mencionan los investigadores que aún no están listas las cadenas para operaciones reales sobre estos dispositivos, hay que mantenerse alerta respecto a las nuevas versiones que de éstas puedan surgir para comprometer la seguridad de los dispositivos Mac.
National Cash Register golpeada por la banda de ransomware BlackCat/ALPHV
NCR también conocida como National Cash Register, es una empresa estadounidense de software, consultoría y tecnología que ofrece varios servicios profesionales y productos electrónicos entre los que destacan: quioscos de autoservicio, terminales de punto de venta, cajeros automáticos, sistemas de procesamiento de cheques y lectores de códigos de barras. El pasado miércoles 12 de abril, su plataforma de punto de venta Aloha POS (un software de administración y punto de venta de restaurantes) fue comprometido por el grupo de ransomware BlackCat/ALPHV. Se desconocen detalles del compromiso puesto que no han sido publicadas las tácticas técnicas y procedimientos (TTP´s) usadas por los ciberactores para obtener el acceso inicial a ésta empresa.
Nuevo ransomware emergente “Read The Manual” Locker(RTM), con capacidad de autoeliminación para cubrir su rastro
De acuerdo a una investigación observada de Trellix, se trata de un ransomware como servicio (RaaS), que obliga a sus suscriptores a cumplir estrictas reglas que les permitirían evitar la fuga de muestras de su malware para mantenerse fuera del radar el mayor tiempo posible, incluso su panel de afiliados está seteado con la combinación de usuario, contraseña y captcha para evitar accesos por fuerza bruta departe de otros actores de amenaza e investigadores de seguridad, así mismo, una vez ejecutado tiene la propiedad de autoeliminarse para evitar ser rastreado por los investigadores de seguridad.
Software Action1 abusado para la implantación de ransomware
Action1 correspponde a un software de gestión y supervisión remotas (RMM) que suelen utilizar los proveedores de servicios gestionados (MSP) y la empresa para gestionar de forma remota puntos finales en una red.
De acuerdo a una investigación observada, el producto se ha aprovechado en las etapas iniciales de al menos tres ataques recientes de ransomware que utilizan distintas cepas de malware, se desconoce la cepas específicas implementadas en los incidentes. Sin embargo, se menciona que las tácticas, técnicas y procedimientos (TTP´s), de acuerdo a una investigación de julio 2022, de BlackBerry, se atribuyen a un grupo llamado Monti que aprovechó la vulnerabilidad de Log4Shell.
Grupo Ruso APT29, vinculado a los ataques de Países de la OTAN y Unión Europea
El grupo Ruso APT29 (también conocido como grupo SVR , Cozy Bear , Nobelium y The Dukes), ha estado vinculado a las recientes campañas de ciberespionaje dirigidas a los países de la unión europea, cuyo foco está centrado principalmente en entidades y sistemas diplomáticos que transmitían información confidencial sobre políticas que ayudaban a los ciudadanos ucranianos que huían del país y que brindaban ayuda al gobierno de Ucrania. La cadena de ataque de ésta campaña comienza con un correo electrónico de spear-phishing que contiene un documento armado con un enlace que conduce a la descarga de un archivo HTML. Los archivos HTLM están alojados en un sitio web de biblioteca en línea legítimo que probablemente se vio comprometido por los actores de amenazas en algún momento entre finales de enero de 2023 y principios de febrero de 2023, éste grupo también ha abusado de varios sistemas legítimos, incluidos LegisWrite y eTrustEx, que utilizan las naciones de la UE para intercambiar información y datos de forma segura.
Grupo APT Iraní, rastreado como Mercury, vinculado a los ataques de entornos híbridos.
De acuerdo a lo observado en informe publicado por Microsoft el 7 de abril, el grupo APT Mercury ha sido vinculado a lo que ha sido una operación estándar de ransomware, encubierta para la afectación directa con acciones destructivas de los entornos locales y de la nube. De acuerdo a los investigadores, Mercury ha estado explotando vulnerabilidades conocidas en aplicaciones sin parches para el acceso inicial antes de entregar el acceso a DEV-1084 para realizar un amplio reconocimiento y descubrimiento, además de establecer persistencia y moverse lateralmente a través de la red, a menudo esperando semanas y a veces, meses antes de avanzar a la siguiente etapa. Posteriormente, se observó que DEV-1084 aprovechaba credenciales comprometidas altamente privilegiadas para realizar una destrucción masiva de recursos, incluidas granjas de servidores, máquinas virtuales, cuentas de almacenamiento y redes virtuales, y enviar correos electrónicos a destinatarios internos y externos.
Remcos, Rat usado en empresas de preparación de declaraciones de impuestos y contabilidad de EE. UU.
De acuerdo a una investigación observada del 13 de abril, los actores de amenaza asociado a éste malware aprovechan la temporada de impuestos para activar campañas de malware.
Estas campañas parten con ingeniería social comúnmente en días de eventos de gran relevancia, en éste caso particular el día de los impuestos de EE. UU. Los objetivos de esta amenaza son exclusivamente organizaciones que se ocupan de la preparación de impuestos, servicios financieros, CPA y empresas de contabilidad, y empresas de servicios profesionales que se ocupan de la contabilidad y los impuestos.
Remcos, o también conocido como "Control remoto y vigilancia", es una herramienta de código cerrado que permite a los actores de amenazas obtener privilegios de administrador en los sistemas Windows de forma remota. Fue lanzado en 2016 por BreakingSecurity, una empresa europea que comercializa Remcos y otras herramientas de seguridad ofensivas como software legítimo. En 2021, CISA incluyó a Remcos entre sus principales cepas de malware, citando su uso en ataques masivos de phishing con temas de la pandemia de COVID-19 dirigidos a empresas e individuos.
Goldson es llamado el nuevo malware que abusa de aplicaciones legítimas de la tienda oficial de google play.
De acuerdo a un informe observado del 12 de abril de la firma McAfee, fue hallada una biblioteca que recopila una lista de aplicaciones instaladas y un historial de información de dispositivos Wi-Fi y Bluetooth , incluidas las ubicaciones de GPS cercanas. Además, la biblioteca está armada con la funcionalidad para realizar fraude publicitario al hacer clic en anuncios en segundo plano sin el consentimiento del usuario. De acuerdo a la investigación el mayor foco respecto a las descargas de estas aplicaciones en la tienda ONE y Google Play corresponde a Corea del Sur.
Los usuarios con Android 11 o superior están más protegidos frente a las aplicaciones que intentan recopilar todas las aplicaciones instaladas. Sin embargo, incluso con la versión reciente de Android, mencionan en la investigación; que alrededor del 10% de las apps con Goldoson tienen el permiso "QUERY_ALL_PACKAGES" que les permite acceder a toda la información de la app.
Del mismo modo, con Android 6.0 o superior, es posible que se soliciten permisos a los usuarios como Ubicación, Almacenamiento o Cámara en tiempo de ejecución. Si el usuario permite el permiso de localización, la aplicación puede acceder no sólo a los datos GPS, sino también a la información de los dispositivos Wi-Fi y Bluetooth cercanos. Basándose en BSSID (Basic Service Set Identifier) y RSSI (Received Signal Strength Indicator), la aplicación puede determinar la ubicación del dispositivo con más precisión que el GPS, especialmente en interiores.
QuaDream, la firma de cibervigilancia que apunta a dispositivos iPhones para distribuir malware.
De acuerdo a un informe del 11 de abril de la firma Citizen Lab, los actores de amenaza están usando un exploit de cero click para comprometer las versiones de iOS 14.4 y 14.4.2, y posiblemente en otras versiones. El presunto exploit, al que llamaron ENDOFDAYS , parece hacer uso de invitaciones de calendario invisibles de iCloud enviadas por el operador del spyware a las víctimas. Los investigadores detectaron que del ataque ENDOFDAYS se pueden detectar ejecutando la siguiente consulta en el archivo Calendar[.]sqlitedb de un teléfono.
SELECCIONE[ *] DESDE elemento del calendario DONDE resumen[=]"Reunión" Y descripción[=]"Notas";
Los eventos maliciosos del calendario tienen características distintivas adicionales que parecen ser siempre las mismas. El archivo [.]ics contiene invitaciones a dos eventos superpuestos que son retroactivos. En iOS 14, cualquier invitación de calendario de iCloud con una fecha anterior recibida por el teléfono se procesa automáticamente y se agrega al calendario del usuario sin aviso ni notificación de cara al usuario.
No estamos seguros de por qué los eventos se superponen, aunque puede haber
Patch Day SAP – Abril 2023
En el martes de parches SAP de abril 2023, se publicaron 19 nuevos avisos de seguridad para los productos SAP, de los cuales: 2 son de Severidad Hot News, 1 es de Severidad Alta, 13 de Severidad Media y 3 de Severidad Baja .
Esta publicación contempla 20 vulnerabilidades nuevas.
Siemens publica nuevas vulnerabilidades que afectan a sus productos
Siemens ha publicado 14 nuevos avisos de seguridad que contemplan 26 vulnerabilidades, las cuales se clasifican en 4 de severidad Crítica, 15 de severidad Alta y 7 de severidad Media.
Estas vulnerabilidades afectan a productos como:
Fortinet publica avisos de seguridad que afectan a sus productos
Fortinet ha publicado 21 nuevos avisos de seguridad que contemplan 21 vulnerabilidades, las cuales se clasifican en 1 de severidad Crítica, 9 de severidad Alta, 10 de severidad Media y 1 de severidad Baja.
Estas vulnerabilidades afectan a productos como:
Patch Tuesday Microsoft de abril corrige 97 vulnerabilidades
En su actualización programada para el martes de parches de abril 2023, Microsoft informó 97 correcciones de seguridad. Del total de vulnerabilidades, 7 son catalogadas como críticas y corresponden a ejecución de código remoto (RCE) y 90 clasificadas como importantes.
Nuevo aviso de seguridad en Jenkins
El servidor open source Jenkins, publicó un aviso de seguridad que contiene 19 vulnerabilidades que se clasifican en 1 de severidad alta, 16 de severidad media, y 2 de severidad baja, afectando a complementos como:
Sophos publica avisos de seguridad de Web Appliance (SWA)
Sophos ha publicado 1 aviso de seguridad que contiene 3 vulnerabilidades, de las cuales 1 es de severidad Crítica, 1 es de severidad Alta y 1 de severidad Media.
Nuevos avisos de seguridad en productos Palo Alto Networks
Palo Alto ha publicado 3 nuevos avisos de seguridad que contemplan 3 vulnerabilidades de severidad media que afectan a productos como:
Zero-Day de windows activamente explotado por Nokoyawa ransomware
Recientemente se ha dado a conocer una nueva vulnerabilidad de día cero de criticidad alta (CVE-2023-28252[CVSS: 7.8]) que afecta a todas las versiones de cliente y de servidor de Windows que ha sido activamente explotada por el grupo de ransomware NOKOYAWA, pero que recientemente se ha liberado el respectivo parche mitigatorio mediante el Patch Thuesday de microsoft.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 17 al 24 de abril de 2023
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: