ENTEL Weekly Threat Intelligence Brief del 7 al 15 de agosto de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• La junta de seguridad cibernética de EE.UU. analizará ataques de Microsoft Exchange en los correos electrónicos del gobierno
• Charming Kitten APT tiene como objetivo a los disidentes iraníes en Alemania
• CISA: nueva puerta trasera de Whirlpool utilizada en hacks de Barracuda ESG
• El malware Gafgyt explota una falla de hace cinco años en el router EoL Zyxel
• Las actualizaciones de Microsoft Exchange fallan en los sistemas operativos que no están en inglés
• La clave codificada de Dell Compellent expone las credenciales de administrador de VMware vCenter
• PLC industriales en todo el mundo afectados por fallas de CODESYS V3 RCE
• Rhysida ransomware detrás de los recientes ataques a servicios médicos
• Knight ransomware distribuido en correos electrónicos falsos de quejas en Tripadvisor

Rhysida ransomware detrás de los recientes ataques a servicios médicos 

Tras la publicación de un boletín de seguridad del Departamento de Salud y Servicios Humanos (HHS) de EE. UU, CheckPoint, Cisco Talos y Trend Micro han publicado informes sobre Rhysida después de una ola de ataques a organizaciones de atención médica.

Normalmente los actores detrás de ransomwares afirman no apuntar intencionalmente a las organizaciones de atención médica e incluso facilitan  claves de descifrado gratuitas si se realizan por error, sin embargo, Rhysida no parece seguir la misma política.

Recientemente se pudo observar en el  sitio de fuga de datos de Rhysida a una organización de atención médica en Australia, a la cual le daban una semana para pagar un rescate antes de que se filtren los datos robados.

El boletín publicado por el Departamento de Salud y Servicios Humanos de EE. UU indica que si bien Rhysida todavía usa un elementary locker, la escala de sus actividades ha crecido a proporciones peligrosas y, recientemente, los actores de amenazas demostraron un enfoque en el área de la salud y sector público. 

Sobre lo último, Prospect Medical Holdings, fue una de las víctimas de Rhysida, la cual experimenta una interrupción en todo el sistema que afecta a 17 hospitales y 166 clínicas en los Estados Unidos. 

Knight ransomware distribuido en correos electrónicos falsos de quejas en Tripadvisor

Un investigador de Sophos, detectó una nueva campaña de spam que fingía ser una queja de la plataforma de búsqueda de hoteles TripAdvisor, pero en su lugar distribuía el ransomware Knight.

Si bien los correos electrónicos reales no se compartieron, Felix dijo que los correos electrónicos incluyen archivos adjuntos en formato ZIP llamados 'TripAdvisorComplaint[.]zip' que contiene un ejecutable llamado 'TripAdvisor Queja - Posible suspensión[.]exe' .

Una versión más reciente de esta campaña detectada y analizada por BleepingComputer ahora incluye un archivo adjunto HTML llamado 'TripAdvisor-Complaint-[random].PDF[.]htm' .

Cuando se abre el archivo HTML, utilizará  la técnica de phishing Browser-in-the-Browser de Mr.D0x  para abrir lo que parece ser una ventana del navegador a TripAdvisor.

Esta ventana falsa del navegador pretende ser una queja enviada a un restaurante y le pide al usuario que la revise. Sin embargo, al hacer clic en el botón "Leer queja" se descargará un archivo XLL de Excel llamado "TripAdvisor_Complaint-Possible-Suspension[.]xll" el cual finalmente despliega el ransomware Knight.

La junta de seguridad cibernética de EE. UU. analizará ataques de Microsoft Exchange en los correos electrónicos del gobierno

La Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional ha anunciado planes para realizar una revisión en profundidad de las prácticas de seguridad en la nube luego de los recientes ataques chinos a las cuentas de Microsoft Exchange utilizadas por las agencias gubernamentales de EE.UU.

A mediados de julio de 2023,  Microsoft informó  que un grupo de ciberactores chino rastreado como 'Storm-0558' hackeó las cuentas de correo electrónico de 25 organizaciones, incluidas agencias gubernamentales de EE.UU. y Europa occidental, utilizando tokens de autenticación falsificados de una clave de firma de consumidor de Microsoft robada.

Usando esta clave robada, los actores de amenazas chinos explotaron una vulnerabilidad de día cero en la función API GetAccessTokenForResource para Outlook Web Access en Exchange Online (OWA) para falsificar tokens de autorización.

Estos tokens permitieron a los actores de amenazas hacerse pasar por cuentas de Azure y acceder a cuentas de correo electrónico para numerosas agencias gubernamentales y organizaciones para monitorear y robar correo electrónico. Microsoft revocó la clave de firma robada y corrigió la falla de la API para evitar más abusos. Aún así, su investigación del incidente no pudo revelar  exactamente cómo los ciberactores adquirieron la clave en primer lugar.

Charming Kitten APT tiene como objetivo a los disidentes iraníes en Alemania

La Oficina Federal para la Protección de la Constitución de Alemania (BfV) advierte que un presunto actor del estado-nación apuntó a organizaciones e individuos disidentes iraníes en el país. La agencia de inteligencia atribuye el ataque al grupo APT vinculado a Irán, Charming Kitten (también conocido como  APT35,  Phosphorus,  Newscaster y  Ajax Security  Team).

“En 2022, varios proveedores de servicios de seguridad de TI informaron sobre el grupo APT1 Charming Kitten2, que se dice que está involucrado en la investigación de figuras de la oposición iraní y exiliados iraníes.3 Los ataques cibernéticos estaban dirigidos principalmente a organizaciones e individuos disidentes, como abogados, periodistas o activistas de derechos humanos, dentro y fuera de Irán”. dice la alerta publicada por la BfV. 

Los ciberespías utilizaron las redes sociales para recopilar información sobre los objetivos y como vector de ataques de ingeniería social. Los actores maliciosos patrocinados por el estado utilizaron datos personales falsos para ponerse en contacto con las víctimas y establecer una relación que les permitiera comprometer a sus objetivos.

CISA: nueva puerta trasera de Whirlpool utilizada en hacks de Barracuda ESG

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. descubrió que el malware de puerta trasera llamado 'Whirlpool' se usa en ataques a dispositivos Barracuda Email Security Gateway (ESG) comprometidos.

En mayo de este año, Barracuda reveló que un presunto grupo de ciberactores a favor de China (UNC4841) habían hackeado los dispositivos ESG (Email Security Gateway)  en ataques de robo de datos utilizando la vulnerabilidad de día cero CVE-2023-2868. Esta es una vulnerabilidad de inyección de comando remoto de gravedad crítica (CVSS v3: 9.8) que afecta a las versiones de Barracuda ESG 5.1.3.001 a 9.2.0.006.

El boletín de CISA detalla lo siguiente : “CISA obtuvo cuatro muestras de malware, incluidas las puertas traseras SEASPY y WHIRLPOOL. El dispositivo se vio comprometido por actores de amenazas que explotaron CVE-2023-2868.

SEASPY es una puerta trasera persistente y pasiva que se hace pasar por un servicio legítimo de Barracuda "BarracudaMailService" que permite a los actores de amenazas ejecutar comandos arbitrarios en el dispositivo ESG.

WHIRLPOOL es una puerta trasera que establece un shell inverso de seguridad de la capa de transporte (TLS) para el servidor de comando y control (C2).”

El malware Gafgyt explota una falla de hace cinco años en el router EoL Zyxel

Fortinet ha emitido una alerta advirtiendo que el malware de botnet Gafgyt está intentando activamente explotar una vulnerabilidad en el router Zyxel P660HN-T1A al final de su vida útil en miles de ataques diarios.

El malware apunta a CVE-2017-18368, una vulnerabilidad de inyección de comandos no autenticada de gravedad crítica (CVSS v3: 9.8) en la función de reenvío de registro del sistema remoto del dispositivo, que Zyxel parchó en 2017.

En respuesta al brote de explotación, Zyxel actualizó su aviso de seguridad, recordando a los clientes que CVE-2017-18363 sólo afecta a los dispositivos que ejecutan versiones de firmware 7.3.15.0 v001/3.40(ULM.0)b31 o anteriores.

Los routers P660HN-T1A que ejecutan la última versión de firmware disponible en 2017 para remediar la falla, la versión 3.40 (BYF.11), no se ven afectados por estos ataques.

Sin embargo, el proveedor destaca que el dispositivo ha llegado al final de su vida útil y ya no es compatible, por lo que sería prudente cambiar a un modelo más nuevo.

Las actualizaciones de Microsoft Exchange fallan en los sistemas operativos que no están en inglés

El 8 de agosto, Microsoft lanzó nuevas actualizaciones de seguridad de Exchange Server dentro de su Path Tuesday, sin embargo, después de que los administradores de Microsoft Exchange comenzaron a instalar las nuevas actualizaciones en servidores que no están en inglés, descubrieron que los servicios de Exchange Windows ya no se iniciaban.

Microsoft ha confirmado que hay un problema de localización en el instalador SU de agosto de 2023 de Exchange Server y está investigando el problema. Mientras tanto, puede seguir los pasos que se enumeran en la sección "Solución alternativa". 

La falla se produce cuando se instalan las actualizaciones de seguridad de Microsoft Exchange Server 2019 o 2016 en sistemas operativos que no están en inglés, provocando que el instalador se detenga y revierta los cambios, dejando los servicios de Exchange Server Windows en un estado deshabilitado.

La clave codificada de Dell Compellent expone las credenciales de administrador de VMware vCenter

Una falla de clave de cifrado codificada no corregida en Compellent Integration Tools para VMware (CITV) de Dell permite a los atacantes descifrar las credenciales de administrador de vCenter almacenadas y recuperar la contraseña de texto no cifrado.

La vulnerabilidad  identificada por el  CVE-2023-39250, es causada por una clave de cifrado AES estática, compartida en todas las instalaciones, que se utiliza para cifrar las credenciales de vCenter almacenadas en el archivo de configuración del programa.

Esta clave de cifrado AES se utiliza para cifrar el archivo de configuración de CITV que contiene la configuración del programa, incluidas las credenciales de administrador de vCenter ingresadas.

Como AES es un cifrado simétrico, utiliza la misma clave para cifrar y descifrar datos. Esto permite que un atacante que extraiga la clave y descifre fácilmente el archivo de configuración, recuperando la contraseña cifrada.

"Dell Technologies publicó instrucciones para una solución alternativa completa para abordar una vulnerabilidad en el producto Dell Storage Compellent Integration Tools para VMware. Los clientes deben revisar Dell Security Advisory DSA-2023-282 lo antes posible para obtener más detalles. La seguridad de nuestros productos es una de las principales prioridades y fundamental para proteger a nuestros clientes".

PLC industriales en todo el mundo afectados por fallas de CODESYS V3 RCE

Los investigadores de sistemas ciberfísicos de Microsoft identificaron recientemente múltiples vulnerabilidades de alta gravedad en el kit de desarrollo de software (SDK) CODESYS V3, un entorno de desarrollo de software ampliamente utilizado para programar y diseñar controladores lógicos programables (PLC). La explotación de las vulnerabilidades descubiertas, que afectan a todas las versiones de CODESYS V3 anteriores a la versión 3.5.19.0, podría poner la infraestructura de tecnología operativa (OT) en riesgo de ataques, como ejecución remota de código (RCE) y denegación de servicio (DoS).

CODESYS es compatible con aproximadamente 1.000 tipos de dispositivos diferentes de más de 500 fabricantes y varios millones de dispositivos que utilizan la solución para implementar el estándar industrial internacional IEC (Comisión Electrotécnica Internacional) 611131-3.

Microsoft examinó dos PLC de Schnieder Electric y WAGO que usan CODESYS V3 y descubrió 15 vulnerabilidades de alta gravedad (CVSS v3: 7.5 - 8.8).

Se recomienda a los administradores que actualicen a CODESYS V3 v3.5.19.0 lo antes posible, mientras que Microsoft también recomienda desconectar los PLC y otros dispositivos industriales críticos de Internet.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 16 al 20 de agosto de 2023:

Objetivos observados durante semana de análisis: 

DEFCON 1

• Servicios legales y profesionales
• Retail y servicios de consumo
• Educación
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Gobierno
• Organizaciones sin fines de lucro
• Shipment y cadena de suministros

DEFCON 2

• Industrias manufactureras, materiales y minería
• Servicios de salud, sociales y farmacia
• Infraestructura tecnológica - Componentes
• Transportes y servicios automotrices

DEFCON 3

• Defensa y orden público
• Banca y Finanzas
• Entretenimiento, cultura y arte

DEFCON 4

• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - producción
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.