El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Rhysida ransomware detrás de los recientes ataques a servicios médicos
Tras la publicación de un boletín de seguridad del Departamento de Salud y Servicios Humanos (HHS) de EE. UU, CheckPoint, Cisco Talos y Trend Micro han publicado informes sobre Rhysida después de una ola de ataques a organizaciones de atención médica.
Normalmente los actores detrás de ransomwares afirman no apuntar intencionalmente a las organizaciones de atención médica e incluso facilitan claves de descifrado gratuitas si se realizan por error, sin embargo, Rhysida no parece seguir la misma política.
Recientemente se pudo observar en el sitio de fuga de datos de Rhysida a una organización de atención médica en Australia, a la cual le daban una semana para pagar un rescate antes de que se filtren los datos robados.
El boletín publicado por el Departamento de Salud y Servicios Humanos de EE. UU indica que si bien Rhysida todavía usa un elementary locker, la escala de sus actividades ha crecido a proporciones peligrosas y, recientemente, los actores de amenazas demostraron un enfoque en el área de la salud y sector público.
Sobre lo último, Prospect Medical Holdings, fue una de las víctimas de Rhysida, la cual experimenta una interrupción en todo el sistema que afecta a 17 hospitales y 166 clínicas en los Estados Unidos.
Knight ransomware distribuido en correos electrónicos falsos de quejas en Tripadvisor
Un investigador de Sophos, detectó una nueva campaña de spam que fingía ser una queja de la plataforma de búsqueda de hoteles TripAdvisor, pero en su lugar distribuía el ransomware Knight.
Si bien los correos electrónicos reales no se compartieron, Felix dijo que los correos electrónicos incluyen archivos adjuntos en formato ZIP llamados 'TripAdvisorComplaint[.]zip' que contiene un ejecutable llamado 'TripAdvisor Queja - Posible suspensión[.]exe' .
Una versión más reciente de esta campaña detectada y analizada por BleepingComputer ahora incluye un archivo adjunto HTML llamado 'TripAdvisor-Complaint-[random].PDF[.]htm' .
Cuando se abre el archivo HTML, utilizará la técnica de phishing Browser-in-the-Browser de Mr.D0x para abrir lo que parece ser una ventana del navegador a TripAdvisor.
Esta ventana falsa del navegador pretende ser una queja enviada a un restaurante y le pide al usuario que la revise. Sin embargo, al hacer clic en el botón "Leer queja" se descargará un archivo XLL de Excel llamado "TripAdvisor_Complaint-Possible-Suspension[.]xll" el cual finalmente despliega el ransomware Knight.
La junta de seguridad cibernética de EE. UU. analizará ataques de Microsoft Exchange en los correos electrónicos del gobierno
La Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional ha anunciado planes para realizar una revisión en profundidad de las prácticas de seguridad en la nube luego de los recientes ataques chinos a las cuentas de Microsoft Exchange utilizadas por las agencias gubernamentales de EE.UU.
A mediados de julio de 2023, Microsoft informó que un grupo de ciberactores chino rastreado como 'Storm-0558' hackeó las cuentas de correo electrónico de 25 organizaciones, incluidas agencias gubernamentales de EE.UU. y Europa occidental, utilizando tokens de autenticación falsificados de una clave de firma de consumidor de Microsoft robada.
Usando esta clave robada, los actores de amenazas chinos explotaron una vulnerabilidad de día cero en la función API GetAccessTokenForResource para Outlook Web Access en Exchange Online (OWA) para falsificar tokens de autorización.
Estos tokens permitieron a los actores de amenazas hacerse pasar por cuentas de Azure y acceder a cuentas de correo electrónico para numerosas agencias gubernamentales y organizaciones para monitorear y robar correo electrónico. Microsoft revocó la clave de firma robada y corrigió la falla de la API para evitar más abusos. Aún así, su investigación del incidente no pudo revelar exactamente cómo los ciberactores adquirieron la clave en primer lugar.
Charming Kitten APT tiene como objetivo a los disidentes iraníes en Alemania
La Oficina Federal para la Protección de la Constitución de Alemania (BfV) advierte que un presunto actor del estado-nación apuntó a organizaciones e individuos disidentes iraníes en el país. La agencia de inteligencia atribuye el ataque al grupo APT vinculado a Irán, Charming Kitten (también conocido como APT35, Phosphorus, Newscaster y Ajax Security Team).
“En 2022, varios proveedores de servicios de seguridad de TI informaron sobre el grupo APT1 Charming Kitten2, que se dice que está involucrado en la investigación de figuras de la oposición iraní y exiliados iraníes.3 Los ataques cibernéticos estaban dirigidos principalmente a organizaciones e individuos disidentes, como abogados, periodistas o activistas de derechos humanos, dentro y fuera de Irán”. dice la alerta publicada por la BfV.
Los ciberespías utilizaron las redes sociales para recopilar información sobre los objetivos y como vector de ataques de ingeniería social. Los actores maliciosos patrocinados por el estado utilizaron datos personales falsos para ponerse en contacto con las víctimas y establecer una relación que les permitiera comprometer a sus objetivos.
CISA: nueva puerta trasera de Whirlpool utilizada en hacks de Barracuda ESG
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. descubrió que el malware de puerta trasera llamado 'Whirlpool' se usa en ataques a dispositivos Barracuda Email Security Gateway (ESG) comprometidos.
En mayo de este año, Barracuda reveló que un presunto grupo de ciberactores a favor de China (UNC4841) habían hackeado los dispositivos ESG (Email Security Gateway) en ataques de robo de datos utilizando la vulnerabilidad de día cero CVE-2023-2868. Esta es una vulnerabilidad de inyección de comando remoto de gravedad crítica (CVSS v3: 9.8) que afecta a las versiones de Barracuda ESG 5.1.3.001 a 9.2.0.006.
El boletín de CISA detalla lo siguiente : “CISA obtuvo cuatro muestras de malware, incluidas las puertas traseras SEASPY y WHIRLPOOL. El dispositivo se vio comprometido por actores de amenazas que explotaron CVE-2023-2868.
SEASPY es una puerta trasera persistente y pasiva que se hace pasar por un servicio legítimo de Barracuda "BarracudaMailService" que permite a los actores de amenazas ejecutar comandos arbitrarios en el dispositivo ESG.
WHIRLPOOL es una puerta trasera que establece un shell inverso de seguridad de la capa de transporte (TLS) para el servidor de comando y control (C2).”
El malware Gafgyt explota una falla de hace cinco años en el router EoL Zyxel
Fortinet ha emitido una alerta advirtiendo que el malware de botnet Gafgyt está intentando activamente explotar una vulnerabilidad en el router Zyxel P660HN-T1A al final de su vida útil en miles de ataques diarios.
El malware apunta a CVE-2017-18368, una vulnerabilidad de inyección de comandos no autenticada de gravedad crítica (CVSS v3: 9.8) en la función de reenvío de registro del sistema remoto del dispositivo, que Zyxel parchó en 2017.
En respuesta al brote de explotación, Zyxel actualizó su aviso de seguridad, recordando a los clientes que CVE-2017-18363 sólo afecta a los dispositivos que ejecutan versiones de firmware 7.3.15.0 v001/3.40(ULM.0)b31 o anteriores.
Los routers P660HN-T1A que ejecutan la última versión de firmware disponible en 2017 para remediar la falla, la versión 3.40 (BYF.11), no se ven afectados por estos ataques.
Sin embargo, el proveedor destaca que el dispositivo ha llegado al final de su vida útil y ya no es compatible, por lo que sería prudente cambiar a un modelo más nuevo.
Las actualizaciones de Microsoft Exchange fallan en los sistemas operativos que no están en inglés
El 8 de agosto, Microsoft lanzó nuevas actualizaciones de seguridad de Exchange Server dentro de su Path Tuesday, sin embargo, después de que los administradores de Microsoft Exchange comenzaron a instalar las nuevas actualizaciones en servidores que no están en inglés, descubrieron que los servicios de Exchange Windows ya no se iniciaban.
Microsoft ha confirmado que hay un problema de localización en el instalador SU de agosto de 2023 de Exchange Server y está investigando el problema. Mientras tanto, puede seguir los pasos que se enumeran en la sección "Solución alternativa".
La falla se produce cuando se instalan las actualizaciones de seguridad de Microsoft Exchange Server 2019 o 2016 en sistemas operativos que no están en inglés, provocando que el instalador se detenga y revierta los cambios, dejando los servicios de Exchange Server Windows en un estado deshabilitado.
La clave codificada de Dell Compellent expone las credenciales de administrador de VMware vCenter
Una falla de clave de cifrado codificada no corregida en Compellent Integration Tools para VMware (CITV) de Dell permite a los atacantes descifrar las credenciales de administrador de vCenter almacenadas y recuperar la contraseña de texto no cifrado.
La vulnerabilidad identificada por el CVE-2023-39250, es causada por una clave de cifrado AES estática, compartida en todas las instalaciones, que se utiliza para cifrar las credenciales de vCenter almacenadas en el archivo de configuración del programa.
Esta clave de cifrado AES se utiliza para cifrar el archivo de configuración de CITV que contiene la configuración del programa, incluidas las credenciales de administrador de vCenter ingresadas.
Como AES es un cifrado simétrico, utiliza la misma clave para cifrar y descifrar datos. Esto permite que un atacante que extraiga la clave y descifre fácilmente el archivo de configuración, recuperando la contraseña cifrada.
"Dell Technologies publicó instrucciones para una solución alternativa completa para abordar una vulnerabilidad en el producto Dell Storage Compellent Integration Tools para VMware. Los clientes deben revisar Dell Security Advisory DSA-2023-282 lo antes posible para obtener más detalles. La seguridad de nuestros productos es una de las principales prioridades y fundamental para proteger a nuestros clientes".
PLC industriales en todo el mundo afectados por fallas de CODESYS V3 RCE
Los investigadores de sistemas ciberfísicos de Microsoft identificaron recientemente múltiples vulnerabilidades de alta gravedad en el kit de desarrollo de software (SDK) CODESYS V3, un entorno de desarrollo de software ampliamente utilizado para programar y diseñar controladores lógicos programables (PLC). La explotación de las vulnerabilidades descubiertas, que afectan a todas las versiones de CODESYS V3 anteriores a la versión 3.5.19.0, podría poner la infraestructura de tecnología operativa (OT) en riesgo de ataques, como ejecución remota de código (RCE) y denegación de servicio (DoS).
CODESYS es compatible con aproximadamente 1.000 tipos de dispositivos diferentes de más de 500 fabricantes y varios millones de dispositivos que utilizan la solución para implementar el estándar industrial internacional IEC (Comisión Electrotécnica Internacional) 611131-3.
Microsoft examinó dos PLC de Schnieder Electric y WAGO que usan CODESYS V3 y descubrió 15 vulnerabilidades de alta gravedad (CVSS v3: 7.5 - 8.8).
|
|
Se recomienda a los administradores que actualicen a CODESYS V3 v3.5.19.0 lo antes posible, mientras que Microsoft también recomienda desconectar los PLC y otros dispositivos industriales críticos de Internet.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 16 al 20 de agosto de 2023:
Objetivos observados durante semana de análisis:
|
|
DEFCON 1
DEFCON 2
DEFCON 3
DEFCON 4
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
Ransomware Rhysida | . |
hash | d5c2f87033a5baeeb1b5b681f2c... |
hash | 6903b00a15eff9b494947896f22... |
hash | 3bc0340007f3a9831cb35766f2e... |
hash | 2a3942d213548573af8cb07c135... |
hash | 250e81eeb4df4649ccb13e271ae... |
url | hxxps://ipapi[.]com/json/ |
Whirlpool | . |
hash | 29a41174eb9a39e0ad712ed5063... |
hash | 3f26a13f023ad0dcd7f2aa4e777... |
hash | 83ca636253fd1eb898b24485583... |
Charmin Kitten | . |
hash | 0c202ac1cbac56eb4ea3623fc93... |
ip | 65.21.137[.]137 |
ip | 65.21.137[.]139 |
ip | 65.21.137[.]141 |
ip | 85.10.193[.]10 |
ip | 88.80.148[.]161 |
ip | 88.80.148[.]162 |
ip | 88.80.148[.]188 |
ip | 88.80.148[.]189 |
ip | 144.76.115[.]26 |
ip | 144.76.115[.]28 |
ip | 144.76.115[.]29 |
ip | 144.76.115[.]59 |
ip | 168.119.47[.]242 |
dominio | beape[.]live |
dominio | bnt2[.]live |
dominio | check-reload-page[.]live |
dominio | france24[.]live |
dominio | load-online-app[.]live |
dominio | msn-services[.]center |
dominio | nc5[.]live |
dominio | nco2[.]live |
dominio | panel-review-check[.]live |
dominio | view-direct-panel[.]live |