ENTEL Weekly Threat Intelligence Brief del 19 al 25 de junio de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
 

• BlackCat/ALPHV se adjudica robo de 80GB de datos de Reddit 
• Centro oncológico de EE.UU afectado por ataque de ransomware  
• Ransomware 8BASE compromete pymes de latinoamérica
• Anonymous Sudán se adjudica ataques DDoS masivos contra Azure, Onedrive y Outlook
• Grupo APT vinculado a Rusia compromete cliente de correo electrónico Roundcube 
• Grupo APT asociado al estado Indio usa aplicaciones maliciosas de Android para campañas de Spyware  
• RedEyes grupo APT que apunta a objetivos norcoreanos
• Flea Grupo APT asociado a China utiliza nuevo backdoor Graphican para comprometer al Ministerio de Relaciones Exteriores Americano. 
• Grupo APT asociado a China en campaña activa de distribución de malware a través de unidades USB
• Muddled Libra grupo APT que apunta a organizaciones en las industrias de automatización de software, BPO, telecomunicaciones y tecnología
• PindOS el nuevo dropper que distribuye el malware Bumblebee e IcedID
• Malware Tsunami botnet usado para infectar servidores linux
• Juego super Mario 3 utilizado para distribuir malware del tipo troyano
• Vulnerabilidades activas de dispositivos IOT de varios proveedores explotadas por la botnet Mirai 
• Apple lanza parche de seguridad para vulnerabilidades de Zero Day activamente explotadas
• Varios Repositorios de Github podrían estar expuestos a un ataque de RepoJacking
• Fortinet publica avisos de seguridad para fallas en FortiNAC
• Nuevos avisos de seguridad y lanzamiento de Exploit en Cisco AnyConnect
• VMware publica nuevas vulnerabilidades importantes que afectan a sus productos

BlackCat/ALPHV se adjudica robo de 80GB de datos de Reddit 

Reddit anunció que se vio afectado por un ataque de ransomware que permitió a los actores de amenaza obtener acceso no autorizado a documentos internos, código y algunos sistemas comerciales de la compañía. La atribución de esta brecha se adjudica al grupo de ransomware  BlackCat/Alphv, quienes hicieron varios intentos de comunicarse con la compañía para solicitar el rescate por los datos robados. Según una publicación observada, el grupo de ransomware tiene en su poder por lo menos 80 GB de datos comprimidos, así mismo, se identificó que el método de acceso inicial fue una campaña masiva de phishing especialmente dirigida a los usuarios de la compañía que imitaba portales web de la intranet de la empresa.

Centro oncológico de EE.UU afectado por ataque de ransomware   

De acuerdo al artículo observado, el centro de salud vio reducida su capacidad para el tratamiento del cáncer debido a la baja de sus servicios digitales por un ataque de ransomware por parte del grupo rastreado como TimiSoaraHackerTeam (THT), grupo poco conocido que puede tener conexiones con Europa del Este y China, según firmas de investigación cibernética, además  puede estar vinculado a otros grupos de ransomware conocidos como DeepBlueMagic y APT 41.

THT parece aprovecharse herramientas informáticas legítimas como BitLocker, BestCrypt, RPM y vulnerabilidades publicadas en servicios VPN para conseguir el acceso inicial.

Ransomware 8BASE compromete pymes de latinoamérica

De acuerdo a fuentes observadas en la clear y la dark web, se tiene que el grupo de ransomware 8BASE, está orientando sus ataques a pymes de distintos rubros de latinoamérica, hasta el momento de esta nota, se han observado entre los países afectados recientemente por 8BASE; a México con dos empresas del rubro de retail y turismo respectivamente, mientras tanto en Brasil también dos empresas afectadas, una del rubro agropecuario y otra del retail, hasta el momento se desconoce las tácticas  técnicas y procedimientos usadas por este grupo para lograr el acceso inicial y comprometer la información de dichas empresas.

Anonymous Sudán se adjudica ataques DDoS masivos contra Azure, Onedrive y Outlook

Microsoft ha anunciado en una investigación a principios de junio del 2023, una actividad DDoS orientada al ataque de la capa 7, a través, de múltiples dispositivos en la nube e infraestructura de proxy abierta o (VPS), que afectó a varios de sus servicios, entre los cuales se mencionan:

• Azure
• Outlook
• OneDrive

De acuerdo a los investigadores de Microsoft, la atribución de la amenazada fue rastreada como Storm-1359, esta designación de nombre temporal se la dan a grupos de hackers no identificados, emergentes o actores de amenaza que están en proceso de ser investigados. Para mas informació de ésta noticia consulte el siguiente boletín: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1631/ 

Grupo APT vinculado a Rusia compromete cliente de correo electrónico Roundcube 

APT28 es el grupo de amenaza persistente avanzada que se adjudica la afectación del cliente de correo electrónico open source  “Roundcube”; perteneciente a varias organizaciones ucranianas.  

De acuerdo a un informe del CERT de Ucrania, el acceso inicial lo obtuvieron a través de la explotación de tres vulnerabilidades  de Roundcube; (CVE-2020-35730, CVE-2021-44026, CVE-2020-12641) y mediante la utilización de campañas de phishing dirigidas especialmente con noticias de Ucrania desde el remitente  "ukraine_news@meta[.]ua", que contenía un señuelo en forma de artículo de la publicación "NV" (nv[.]ua), así como un exploit para la vulnerabilidad en Roundcube CVE-2020-35730 (XSS) y el código JavaScript correspondiente diseñado para cargar y ejecutar archivos JavaScript adicionales: "q[.]js" y "e[.]js".

Entre los archivos mencionados, "e[.]js" garantiza la creación de un "filtro predeterminado" para redirigir los correos electrónicos entrantes a una dirección de correo electrónico de terceros, y también realiza la exfiltración mediante solicitudes HTTP POST: libreta de direcciones, valores de sesión ​​(Cookie) y mensajes de correo electrónico de la víctima. A su vez, "q[.]js" contiene un exploit para la vulnerabilidad en Roundcube CVE-2021-44026 (SQLi), que se utiliza para extraer información de la base de datos de Roundcube.

Además, se descubrió el código del programa "c[.]js" que contiene un exploit para la vulnerabilidad CVE-2020-12641 y ejecuta comandos en el servidor de correo.

En general, se enviaron correos electrónicos similares a las direcciones de más de 40 organizaciones ucranianas que afectaron a la versión desactualizada de Roundcube (1.4.1).

Grupo APT asociado al estado Indio usa aplicaciones maliciosas de Android para campañas de Spyware  

Una investigación de Cyfirma, pone en evidencia tres aplicaciones de Android (Device Basic Plus, nSure Chat e iKHfaa VPN); que están siendo activamente usadas para operaciones de espionaje. La campaña fue atribuida al grupo APT rastreado como DoNot, también conocido como APT-C-35 y SectorE02, que intenta atacar a las víctimas en la región del sur de Asia.

El vector de ataque utilizado en esta campaña por los actores de amenaza corresponde al uso de aplicaciones de Telegram y Whatsapp para atraer a las víctimas e instalar el malware  utilizando las aplicaciones maliciosas desde la tienda de Google Play, esto según los investigadores corresponde a la primera etapa de la campaña con foco en obtener información básica de las víctimas para posteriores ataques. 

RedEyes grupo APT que apunta a objetivos norcoreanos

De acuerdo a una reciente investigación del 21 de junio del 2023, RedEyes (también conocido como APT37, ScarCruft y Reaper); está llevando a cabo operaciones que comprometen a desertores de Corea del Norte, activistas de derechos humanos y profesores universitarios, su principal enfoque es monitorear activamente a las víctimas a través de la distribución de un programas de tipo Infostealer con funciones de escuchas telefónicas antes desconocida junto con una puerta trasera desarrollada en GoLang que explota la plataforma Ably, esta es una plataforma de transferencia de datos y mensajería en tiempo real. También puede realizar mensajes de publicación/suscripción, notificaciones automáticas, consultas en tiempo real y sincronización de estado.

Grupo APT asociado a China en campaña activa de distribución de malware a través de unidades USB

En una reciente investigación de Checkpoint del 22 de junio del 2023, se pudo evidenciar una nueva campaña de espionaje patrocinada por el estado chino que se enfoca en propagar malware a través de unidades USB infectadas. 

La atribución de esta campaña fue rastreada por los investigadores con el nombre de  Camaro Dragon, un actor de amenazas de espionaje con sede en China, también conocido como Mustang Panda y LuminousMoth. Si bien su enfoque principal ha sido tradicionalmente los países del sudeste asiático, un reciente compromiso a una institución de atención  médica de Europa, revela su alcance global y destaca el papel alarmante que juegan las unidades USB en la propagación de malware, por lo que se deben implementar las medidas pertinentes que sensibilicen a los empleados sobre los peligros potenciales del uso de unidades USB de fuentes desconocidas o no confiables, así mismo la aplicación de las políticas de seguridad sólidas de administración de dispositivos para monitorear y controlar el uso de unidades USB, restringiendo el acceso no autorizado y aplicando los controles que permitan la detección de comportamientos sospechosos.

Flea Grupo APT asociado a China utiliza nuevo backdoor Graphican para comprometer al Ministerio de Relaciones Exteriores Americano. 

El grupo de amenazas persistentes avanzadas (APT) Flea (también conocido como APT15, Nickel), aprovecha el backdoor de la API de Microsoft Graph para establecer la comunicación remota con las víctimas. Los objetivos de este grupo, de acuerdo a los investigadores de symantec, parecen ser asociados a gobiernos, misiones diplomáticas y embajadas, con el fin de obtener información de inteligencia. 

Graphican es una evolución del conocido backdoor de Flea, Ketrican, que a su vez se basaba en un malware anterior, BS2005, también utilizado por Flea. Graphican tiene la misma funcionalidad básica que Ketrican, con la diferencia de que Graphican usa Microsoft Graph API y OneDrive para obtener su infraestructura de comando y control (C&C).

Una vez en una máquina, Graphican hace lo siguiente:

• Deshabilita el asistente de primera ejecución de Internet Explorer 10 y la página de bienvenida a través de claves de registro
• Comprueba si el proceso iexplore[.]exe se está ejecutando
• Crea un objeto COM IWebBrowser2 global para acceder a Internet
• Se autentica en la API de Microsoft Graph para obtener un token de acceso válido y un refresh_token
• Usando Graph API, enumera los archivos y carpetas secundarios dentro de la carpeta "Persona" en OneDrive
• Obtiene el nombre de la primera carpeta y la descifra para usarla como servidor C&C
• Genera una ID de bot basada en el nombre de host, la IP local, la versión de Windows, el identificador de idioma predeterminado del sistema y el bitness del proceso (32 bits o 64 bits) de la máquina comprometida
• Registra el bot en el C&C con la cadena de formato "f$$$%s&&&%s&&&%s&&&%d&&&%ld&&&%s" o "f@@@%s###%s###%s###% d###%ld###%s" lleno con la información recopilada previamente de la computadora de la víctima
• Sondea el servidor C&C en busca de nuevos comandos para ejecutar

Los comandos que puede ejecutar Graphican incluyen:

• 'C': Crea una línea de comando interactiva que se controla desde el servidor C&C
• 'U' — Crea un archivo en la computadora remota
• 'D': Descarga un archivo desde la computadora remota al servidor C&C
• 'N' — Crea un nuevo proceso con una ventana oculta
• 'P': Crea un nuevo proceso de PowerShell con una ventana oculta y guarda los resultados en un archivo temporal en la carpeta TEMP y envía los resultados al servidor C&C

Muddled Libra grupo APT que apunta a organizaciones en las industrias de automatización de software, BPO, telecomunicaciones y tecnología.

De acuerdo a una reciente investigación de Unit42, para frustrar parte de los ataques de esta amenaza persistente avanzada se requiere una combinación de estrictos controles de seguridad, capacitación diligente en concientización sobre seguridad a los colaboradores de la organización y monitoreo atento de toda la infraestructura y sistemas.

El estilo de ataque que define a Muddled Libra apareció en el radar de ciberseguridad a fines del 2022 con el lanzamiento del kit de phishing 0ktapus, que ofrecía un marco de alojamiento preconstruido y plantillas integradas. Con una gran cantidad de portales de autenticación falsos realistas y smishing dirigido, los atacantes pudieron recopilar rápidamente credenciales y códigos MFA de autenticación multifactor.

La velocidad y la amplitud de estos ataques tomaron por sorpresa a muchos defensores. Si bien el smishing no es nuevo, el marco 0ktapus mercantilizó el establecimiento de una infraestructura normalmente compleja de una manera que otorgó incluso a los atacantes poco calificados una alta tasa de éxito.

Estas características incluían plantillas prediseñadas y un canal C2 integrado a través de Telegram, todo por un costo de solo unos pocos cientos de dólares estadounidenses. Esta mejora en la funcionalidad llevó a los ciberdelincuentes a lanzar una campaña de ataque masivo dirigida a una amplia gama de organizaciones.

La gran cantidad de objetivos alcanzados con este kit ha creado una gran confusión en la comunidad de investigación sobre la atribución de estos ataques. Informes anteriores de Group-IB , CrowdStrike y Okta han documentado y asignado muchos de estos ataques a los siguientes grupos de intrusión: 0ktapus, Scattered Spider y Scatter Swine. Si bien estos han sido tratados en los medios como tres nombres para un grupo, en realidad es probable que múltiples actores usen un conjunto de herramientas común. 

Durante las investigaciones de respuesta a incidentes de la Unidad 42, se identificaron varios casos que se superponen. Esto indicó un subconjunto de los grupos mencionados anteriormente que se centran en una serie compleja de ataques a la cadena de suministro, lo que en última instancia conduce a objetivos de criptomonedas de alto valor.

Las características definitorias de Muddled Libra incluyen lo siguiente:

• Uso del kit de phishing 0ktapus
• Persistencia a largo plazo
• Presencia no destructiva
• Enfoque persistente de la industria de subcontratación de procesos comerciales (BPO)
• Robo de datos
• Uso de infraestructura comprometida en ataques posteriores

PindOS el nuevo dropper que distribuye el malware Bumblebee e IcedID

Una reciente investigación de Deep Instinct del 22 de junio del 2023, evidenció una nueva variante del dropper PindOS que ofrece  Bumblebee e IcedID malware. Para más información de Bumblebee y IceID, vea los siguientes boletínes: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1338/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1584/ 

El modus operandi de PindOS es relativamente simple según comentan los investigadores, ya que se trata de solo una función  "exec", que obtiene cuatro parámetros para conseguir el acceso inicial:

• “UserAgent”: La cadena de agente de usuario que se usará al descargar el [.]DLL de Bumblebee
• “URL1” – Primera dirección desde la que descargar
• “URL2” – Segunda dirección desde donde descargar
• "RunDLL": Función exportada de carga útil [.]DLL para la llamada remota

Malware Tsunami botnet usado para infectar servidores Linux

Se ha evidenciado a través de una investigación de ASEC del 20 de junio del 2023, una nueva campaña de malware de la botnet Tsunami enfocada en servidores mal administrados de Linux SSH, para instalar bots DDoS o CoinMiners. De acuerdo a los investigadores los actores de amenaza no solo instalan el malware Tsunami, sino que también aprovechan la brecha para propagar otros programas maliciosos como: ShellBot, XMRig CoinMiner y Log Cleaner.

Tsunami es un bot DDoS que también se conoce como Kaiten. Es una de las varias cepas de malware que se han distribuido constantemente junto con Mirai y Gafgyt cuando se dirigen a dispositivos IoT que generalmente son vulnerables. Si bien todos comparten el terreno común de ser bots DDoS, Tsunami se destaca de los demás en que opera como un bot IRC, utilizando IRC para comunicarse con el actor de amenazas.

El código fuente de Tsunami está disponible públicamente, por lo que es utilizado por una multitud de actores de amenazas. Entre sus diversos usos, se utiliza mayoritariamente en ataques contra dispositivos IoT. Por supuesto, también se usa constantemente para apuntar a servidores Linux. Además, similar al caso en el que XMRig CoinMiner se distribuyó a un contenedor Docker público con Tsunami, se confirmó otro caso en el que también se distribuyeron a un entorno de nube. Además, la inclusión de malware dentro de contenedores Docker distribuidos no oficialmente es uno de sus principales vectores de ataque.

Juego Super Mario 3 utilizado para distribuir malware del tipo troyano

Super Mario 3: Mario Forever es una nueva versión gratuita del clásico juego de Nintendo desarrollado por Buziol Games y lanzado para la plataforma Windows en 2003. Recientemente los investigadores de Cyble, han descubierto que los instaladores del popular juego están siendo usados por los actores de amenaza para propagar troyanos enfocados en afectar a los jugadores desprevenidos aprovechándose de la ingeniería social que persuade a los jugadores a descargar e instalar programas aparentemente legítimos. 

Los actores de amenaza aprovechan el hardware en su mayoría de grandes capacidades de procesamiento para instalar múltiples componentes troyanizados incluido un minero XMR, un cliente de minería SupremeBot y el infostealer Umbral de código abierto. Según lo observado en la investigación, los archivos de malware se encontraron junto con un archivo de instalación legítimo de super-mario-forever-v702e.

Vulnerabilidades activas de dispositivos IOT de varios proveedores explotadas por la botnet Mirai 

El malware ha sido identificado por investigadores de la Unidad 42 de Palo Alto Networks, dos campañas en curso que comenzaron el 14 de marzo y aumentaron en abril y junio del 2023. El objetivo de los actores de amenaza es  aprovechar varias vulnerabilidades de los dispositivos IoT para propagar una variante del malware de la red de bots Mirai. Las vulnerabilidades explotadas incluyen:

• CVE-2019-12725: Vulnerabilidad de ejecución de comandos remotos de Zeroshell
• CVE-2019-17621: Vulnerabilidad de inyección de comando remoto D-Link DIR-859
• CVE-2019-20500: Vulnerabilidad de ejecución remota de comandos de D-Link DWL-2600AP
• CVE-2021-25296: Vulnerabilidad de inyección de comando remoto de Nagios XI
• CVE-2021-46422: Vulnerabilidad de inyección de comando de enrutador Telesquare SDT-CW3B1
• CVE-2022-27002: Vulnerabilidad de inyección de comando remoto Arris TR3300
• CVE-2022-29303: Vulnerabilidad de inyección de comandos de SolarView Compact
• CVE-2022-30023: Vulnerabilidad de inyección de comando del enrutador Tenda HG9
• CVE-2022-30525: Vulnerabilidad de inyección de comando Zyxel
• CVE-2022-31499: Vulnerabilidad de inyección de comando Nortek Linear eMerge
• CVE-2022-37061: Vulnerabilidad de inyección de comando de sistema operativo no autenticado FLIR AX8
• CVE-2022-40005: Vulnerabilidad de inyección de comando Intelbras WiFiber 120 AC inMesh
• CVE-2022-45699: Vulnerabilidad de ejecución de comando remoto ECU-R de APsystems
• CVE-2023-1389: Vulnerabilidad de inyección de comando del enrutador TP-Link Archer
• CVE-2023-25280: D-link DIR820LA1_FW105B03 Vulnerabilidad de inyección de comando
• CVE-2023-27240: Vulnerabilidad de inyección de comando Tenda AX3
• CCTV/DVR: Ejecución remota de código CCTV/DVR
• EnGenius EnShare: Vulnerabilidad de ejecución remota de código EnGenius EnShare
• MV Power DVR: Vulnerabilidad de ejecución de comandos no autenticados de MVPower DVR Shell
• Netgear DGN1000: Vulnerabilidad de ejecución remota de código Netgear DGN1000
• NVR de Vacron: Vulnerabilidad de ejecución remota de código de NVR de Vacron
• WiMAX de MediaTek: Ejecución remota de código MediaTek WiMAX

Apple lanza parche de seguridad para vulnerabilidades de Zero Day activamente explotadas

El miércoles 21 de junio Apple lanza varias actualizaciones un aviso de seguridad que contempla 2 vulnerabilidades para varios de sus productos afectados, entre los que se encuentran:

• iOS
• iPadOS
• MacOS
• WatchOS 

Las vulnerabilidades están rastreadas con los siguientes CVEs:

• CVE-2023-32434 : Una vulnerabilidad de desbordamiento de enteros en el Kernel que podría ser explotada por una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel.
• CVE-2023-32435 : Una vulnerabilidad de corrupción de memoria en WebKit que podría conducir a la ejecución de código arbitrario al procesar contenido web especialmente diseñado.

La explotación de las vulnerabilidades fue descubierta por los investigadores de la firma de seguridad Kaspersky tras el análisis de un  implante de spyware utilizado en la campaña de ataque cero clic dirigida a dispositivos iOS a través de iMessages que contenía un archivo adjunto integrado con un exploit para la vulnerabilidad de ejecución remota de código (RCE) del kernel. 

Para más información de la actualizaciones de seguridad visita la web oficial de Apple en el siguiente enlace:

• https://support.apple.com/en-us/HT201222 

Varios Repositorios de Github podrían estar expuestos a un ataque de RepoJacking

El RepoJacking o también conocido como: secuestro de repositorio de dependencias, es un tipo de ataque de cadena de suministro, que permite a los atacantes apoderarse de las dependencias de los proyectos de GitHub o de un proyecto completo para ejecutar código malicioso en quien los use. 

Un ejemplo de la técnica se implementa cuando el creador del repositorio  opta por cambiar el nombre de usuario, lo que podría permitir que un actor de amenazas reclame el nombre de usuario anterior y publique un repositorio falso con el mismo nombre en un intento de engañar a los usuarios para que los descarguen.

La explotación de ésta vulnerabilidad de alta gravedad en GitHub podría permitir a los actores de amenaza establecer dos escenarios,  según la firma de seguridad Aquasec.

Una descarga automatizada de un repositorio vulnerable de RepoJacking es cuando el usuario no descarga voluntariamente o a sabiendas ningún recurso de otro repositorio de GitHub. Un ejemplo de eso es cuando otro proyecto está usando un componente que está almacenado en un repositorio de GitHub vulnerable a RepoJacking. Puede ser descargando un recurso o un módulo (por ejemplo, go, swift).

Mientras que una descarga manual desde un repositorio vulnerable de RepoJacking es cuando el usuario inserta activamente el enlace al repositorio de RepoJackable. Un ejemplo de esto es cuando aparece un enlace en una guía de instalación oficial. Puede estar en el repositorio vulnerable README[.]md o en el sitio web de la organización. Otro ejemplo de eso es cuando aparece un enlace en algún lugar de Internet. Por ejemplo, Stack Overflow, Reddit, un blog, etc. 

A continuación se muestran 3 ejemplos de la vida real de repositorios vulnerables:

• Ejecución de código a través de scripts de instalación (automatizado)
• Ejecución de código mediante Léame/instrucciones de compilación (manual)
• Ejecución de código a través de versiones del repositorio (manual)

Fortinet publica avisos de seguridad para fallas en FortiNAC

Fortinet ha publicado 2 nuevos avisos de seguridad, entre ellos se contemplan 2 vulnerabilidades clasificadas en 1 Crítica y 1 Media. Estas fallas de seguridad afectan a diversas versiones de FortiNAC. Para mas información respecto a esta vulnerabilidad, revise el siguiente boletín: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1634/ 

Nuevos avisos de seguridad y lanzamiento de Exploit en Cisco AnyConnect

Cisco ha publicado 2 nuevos avisos de seguridad que contemplan 4 vulnerabilidades, todas estas clasificadas como de severidad Media. Estas fallas afectan a productos como:

• Cisco AnyConnect
• Cisco AsyncOS
• Entre otros
   

Además, se notifica la existencia de un código de explotación de prueba de concepto (PoC) para la vulnerabilidad CVE-2023-20178 que abordamos en un boletín de este mismo mes, el cual afecta a Cisco AnyConnect  y otorga privilegios de SYSTEM. Si desea ampliar la información, consulte el siguiente boletin:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1632/ 

VMware publica nuevas vulnerabilidades importantes que afectan a sus productos

VMware ha publicado 1 nuevo aviso de seguridad que contempla 5 vulnerabilidades, de las cuales 4 son de severidad Alta y 1 de severidad Media. Estas fallas afectan a los siguientes productos:

• VMware vCenter Server (vCenter Server)
• VMware Cloud Foundation (Cloud Foundation)

Para mas informacion respecto a esta noticia, puede revisar el siguiente enlace:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1633/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 26 de junio al 2 de julio del 2023:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Infraestructura tecnológica - Componentes
• Educación

• Construcción e inmobiliaria
• Servicios legales y profesionales
• Banca y Finanzas
• Infraestructura tecnológica
• Servicios empresariales y comercio
•  

• Servicios básicos y sanitarios
• Transportes y servicios automotrices.
• Retail y servicios de consumo

• Industrias manufactureras, materiales y minería
• Agricultura, ganadería, silvicultura y pesca - producción
• Defensa y orden público
• Entretenimiento, cultura y arte
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos, entre otras medidas adicionales:
  • No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.