ENTEL Weekly Threat Intelligence Brief del 11 al 19 de septiembre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ciberactores roban 53 millones de dólares en criptomonedas de CoinEx
• El ataque de phishing de Microsoft Teams impulsa el malware DarkGate
• El nuevo malware 'MetaStealer' apunta a sistemas macOS basados ​​en Intel
• La puerta trasera HTTPSnoop de ShroudedSnooper apunta a empresas de telecomunicaciones de Medio Oriente
• Los servidores ESXi del casino MGM supuestamente encriptados en un ataque de ransomware
• El ransomware BlackCat llega a Azure Storage con el cifrador Sphynx
• Caesars Entertainment confirma pago de rescate y robo de datos de clientes
• IFX Networks bajo ataque de Ransomware
• El error RCE 'ThemeBleed' de Windows 11 obtiene un exploit de prueba de concepto
• Google corrige otro error de día cero de Chrome explotado en ataques
• Mozilla parchea Firefox y Thunderbird contra ataques de día cero
• Patch Tuesday Microsoft de Septiembre, corrige 61 vulnerabilidades

Los servidores ESXi del casino MGM supuestamente encriptados en un ataque de ransomware

El grupo de ransomware BlackCat, también conocido como APLHV, está detrás de un ataque que interrumpió las operaciones de MGM Resorts. Según el grupo BlackCat, infiltraron la infraestructura de MGM y cifraron más de 100 hipervisores ESXi después de que la compañía apagó su infraestructura interna. Afirman haber exfiltrado datos y mantienen acceso a parte de la infraestructura de MGM, amenazando con nuevos ataques a menos que se pague un rescate.

Se sugiere que los atacantes de ALPHV utilizaron ingeniería social para violar MGM Resorts. Scattered Spider, un grupo conocido por usar tácticas de ingeniería social, está siendo rastreado en relación con este ataque. También se ha informado que Scattered Spider violó la red de Caesars Entertainment y exigió un rescate de $30 millones de dólares.

BlackCat alega que MGM Resorts no ha mostrado intención de negociar el rescate y ha desconectado servidores Okta Sync en respuesta al incidente. Los atacantes afirman que continuaron teniendo acceso a la red a pesar de esta acción y que implementaron el ransomware después de un intento fallido de contacto.

El ransomware BlackCat llega a Azure Storage con el cifrador Sphynx

El grupo de ransomware BlackCat (ALPHV) ha adoptado nuevas tácticas utilizando cuentas de Microsoft robadas y una variante recientemente descubierta del cifrador Sphynx para cifrar el almacenamiento en la nube de Azure de sus objetivos. Sophos X-Ops, los servicios de respuesta a incidentes, descubrieron esta actividad mientras investigaban una infracción reciente.

Los atacantes lograron acceso a una cuenta de Sophos Central utilizando una contraseña de un solo uso (OTP) robada y desactivaron las protecciones de seguridad antes de cifrar los sistemas del cliente de Sophos y el almacenamiento en la nube de Azure. Utilizaron una extensión llamada [.]zk09cvt en los archivos cifrados. En total, cifraron con éxito 39 cuentas de Azure Storage.

Para infiltrarse en el portal Azure de la víctima, los atacantes utilizaron una clave de Azure robada y la inyectaron en el binario del ransomware después de codificarla con Base64. Además, utilizaron herramientas de administración y monitoreo remoto (RMM) como AnyDesk, Splashtop y Atera durante la intrusión.

El FBI emitió una advertencia en abril pasado sobre las actividades de BlackCat, señalando que estuvieron detrás de más de 60 intrusiones exitosas en todo el mundo entre noviembre de 2021 y marzo de 2022.

Caesars Entertainment confirma pago de rescate y robo de datos de clientes

Caesars Entertainment, la cadena de casinos más grande de EE. UU., anunció que pagó un rescate de aproximadamente 15 millones de dólares a los atacantes para evitar la filtración en línea de datos de clientes robados en un reciente ciberataque. El ataque comprometió la base de datos de su programa de fidelización, que contenía números de licencia de conducir y números de seguro social de muchos clientes.

La compañía también señaló que, hasta el momento, no se ha encontrado evidencia de que los atacantes hayan adquirido contraseñas, información bancaria o de tarjetas de pago. Además, Caesars ha tomado medidas para asegurarse de que los datos robados sean eliminados por el actor no autorizado.

Aunque no se ha atribuido oficialmente el ataque a ningún grupo de ciberdelincuentes específico, un informe sugiere que fue obra de un grupo conocido como Scattered Spider, que tiene motivaciones financieras y ha estado activo desde al menos mayo de 2022.

La violación de datos afecta solo a los miembros del programa de fidelización de Caesars, y la empresa notificará a todas las personas afectadas en las próximas semanas. La compañía afirmó que el ataque no ha afectado sus operaciones de cara al cliente ni sus aplicaciones de juegos en línea/móviles ni sus propiedades físicas.

IFX Networks bajo ataque de Ransomware

IFX Networks es una empresa estadounidense con amplia experiencia en el mercado de las telecomunicaciones en América Latina, con presencia en más de 17 países de la región. Ofrece soluciones de internet dedicado, nube, seguridad, servicios profesionales y respaldo para aplicativos empresariales, tanto para el ámbito privado como para instituciones públicas.

Recientemente, la empresa sufrió un ciberataque de ransomware en Colombia, donde varias de sus máquinas virtuales fueron infectadas. Este ataque podría afectar a otras organizaciones, ya que IFX también es un Proveedor de Servicios Administrados (MSP) que brinda servicios de tecnología de la información a otras empresas. Esto podría desencadenar ataques a la cadena de suministro.

El gobierno de Colombia ha considerado este ataque como uno de los más grandes en la infraestructura del país, afectando a más de 50 entidades gubernamentales y servicios judiciales. Además, ha impactado los servicios de salud y justicia en Colombia, con fallas en sitios web del Ministerio de Salud y la Superintendencia Nacional de Salud, así como problemas en el sistema judicial.

En Chile, la situación se reflejó en la indisponibilidad del sitio web de ChileCompra y sus servicios asociados, lo que generó preocupación por las licitaciones y trámites afectados. Varias empresas nacionales que utilizaban los servicios de IFX también se vieron afectadas por la interrupción de acceso a aplicaciones y datos.

Ciberactores roban 53 millones de dólares en criptomonedas de CoinEx

La empresa de intercambio global de criptomonedas CoinEx, anunció que sufrió un ataque en el que actores informáticos robaron grandes cantidades de activos digitales utilizados para respaldar las operaciones de la plataforma. El incidente tuvo lugar el 12 de septiembre y involucró las criptomonedas Ethereum ($ETH), Tron ($TRON) y Polygon ($MATIC).

Aunque CoinEx no ha proporcionado detalles completos sobre las pérdidas, un informe de la firma de seguridad blockchain PeckShield estima que el ataque resultó en la pérdida de alrededor de $53 millones en criptomonedas, incluyendo $19 millones en $ETH, $11 millones en $TRON, $6.4 millones en Smart Chain Coin ($BSC), $6 millones en Bitcoin (BTC) y aproximadamente $295,000 en $MATIC. CoinEx asegura que los activos de los usuarios no se han visto afectados y que compensará completamente a cualquier parte que haya sufrido pérdidas.

La plataforma ha suspendido temporalmente los servicios de depósito y retiro para proteger los activos de los usuarios y planea reanudarlos una vez que se hayan eliminado todos los riesgos. CoinEx está colaborando con otros intercambios para rastrear las direcciones de billetera relacionadas con el ataque y dificultar la transferencia de los fondos robados.

Aunque no se ha atribuido oficialmente a ningún grupo de actores maliciosos, se ha mencionado que una de las direcciones de billetera involucradas en el hack estaba previamente relacionada con el grupo Lazarus, que se cree respaldado por el estado de Corea del Norte y ha estado involucrado en varios ataques criptográficos multimillonarios en los últimos meses.

El ataque de phishing de Microsoft Teams impulsa el malware DarkGate

En agosto de 2023, se detectó una nueva campaña de phishing que abusa de los mensajes de Microsoft Teams para distribuir el malware DarkGate Loader. Esta campaña comenzó cuando dos cuentas comprometidas de Office 365 enviaron mensajes de phishing desde Microsoft Teams a otras organizaciones, instando a los destinatarios a abrir un archivo adjunto llamado "Cambios en el calendario de vacaciones". Al hacerlo, se descargaba un archivo ZIP desde una URL de SharePoint que contenía un archivo LNK disfrazado de documento PDF.

El análisis de la campaña reveló que el archivo LNK ejecutaba un VBScript malicioso, desencadenando una cadena de infección que llevaba a la carga útil DarkGate Loader. Para evadir la detección, se utilizó Windows cURL para recuperar archivos ejecutables y de script maliciosos. Antes de ejecutarse, el script verificaba si estaba presente el software antivirus Sophos y, si no lo estaba, activaba el código malicioso.

DarkGate Loader es un malware versátil que admite actividades maliciosas como acceso remoto, minería de criptomonedas, shell inverso, registro de teclas y robo de información. Aunque ha circulado desde 2017, ha tenido un uso limitado hasta ahora.

El ataque de phishing en Microsoft Teams se ha observado previamente en junio de 2023, pero Microsoft no ha abordado completamente este riesgo y en su lugar ha recomendado a los administradores aplicar configuraciones seguras y deshabilitar el acceso externo no necesario. A pesar de la creciente distribución de DarkGate, no se ha identificado una conexión directa entre esta campaña y el método simplificado de ataque de phishing de Microsoft Teams que surgió en julio de 2023.

Aunque DarkGate no es una amenaza generalizada en este momento, su creciente focalización y adopción de diversas vías de infección hacen que sea una amenaza emergente que requiere seguimiento constante.

El nuevo malware 'MetaStealer' apunta a sistemas macOS basados ​​en Intel

Se ha descubierto un nuevo malware llamado 'MetaStealer', diseñado para robar información confidencial de computadoras macOS basadas en Intel. A diferencia de su predecesor, 'META', MetaStealer utiliza el lenguaje de programación Go y es capaz de evadir las defensas de seguridad integradas de Apple, como XProtect. Se ha observado que los atacantes utilizan tácticas de ingeniería social para distribuir este malware entre usuarios empresariales.

El método de distribución involucra a los actores de amenazas que se hacen pasar por clientes de la empresa y envían archivos DMG (imágenes de disco) maliciosos a sus objetivos a través de correos electrónicos de phishing. Cuando los usuarios montan estos archivos DMG, contienen ejecutables disfrazados de archivos PDF para engañar a las víctimas para que los abran.

MetaStealer busca robar información confidencial, incluyendo contraseñas almacenadas, archivos y datos de aplicaciones. Luego intenta exfiltrar estos datos a través del puerto 3000 usando TCP. El malware también se enfoca en acceder al llavero de macOS, un sistema de administración de contraseñas que almacena credenciales para varios servicios y aplicaciones, lo que podría permitir a los atacantes obtener acceso a datos sensibles.

Es importante destacar que MetaStealer sólo se ejecuta en sistemas macOS basados en arquitectura Intel x86_64, lo que significa que no afecta a las computadoras Apple con procesadores Silicon (M1, M2) a menos que los usuarios utilicen Rosetta para ejecutar el malware. Sin embargo, existe la posibilidad de que los atacantes desarrollen una versión futura que sea compatible con procesadores Apple Silicon, por lo que sigue siendo una amenaza que requiere atención.

La puerta trasera HTTPSnoop de ShroudedSnooper apunta a empresas de telecomunicaciones de Medio Oriente

Un nuevo conjunto de intrusiones llamado ShroudedSnooper está dirigido a proveedores de servicios de telecomunicaciones en Medio Oriente. Utiliza una puerta trasera llamada HTTPSnoop que interactúa con dispositivos y controladores del kernel HTTP de Windows para escuchar solicitudes entrantes de URL HTTP(S) específicas y ejecutar su contenido en el punto final infectado. También utiliza un implante llamado PipeSnoop que acepta código shell arbitrario y lo ejecuta en el punto final infectado. Ambas cepas de malware se hacen pasar por componentes de la aplicación Cortex XDR de Palo Alto Networks para pasar desapercibidas.

Hasta la fecha, se han detectado tres muestras diferentes de HTTPSnoop que utilizan API de Windows para escuchar solicitudes entrantes y extraer código shell que se ejecutará en el host. HTTPSnoop parece dirigirse a servidores web expuestos a Internet, mientras que PipeSnoop probablemente se utiliza en entornos empresariales comprometidos.

Los ataques a proveedores de servicios de telecomunicaciones en Medio Oriente han sido recurrentes en los últimos años, con varios grupos de amenazas conocidos involucrados en estas actividades, como Lebanese Cedar, MuddyWater, BackdoorDiplomacy, WIP26 y Granite Typhoon.

El error RCE 'ThemeBleed' de Windows 11 obtiene un exploit de prueba de concepto

Se ha publicado una PoC de un código de explotación para la vulnerabilidad de Windows conocida como CVE-2023-38146 o ThemeBleed. Esta vulnerabilidad, calificada con una gravedad alta de 8.8, permite a atacantes remotos ejecutar código en sistemas afectados. El exploit fue publicado por Gabe Kirkpatrick, quien informó inicialmente la vulnerabilidad a Microsoft el 15 de mayo del 2023 y recibió una recompensa de 5,000 dólares por el hallazgo.

La vulnerabilidad se relaciona con archivos [.]THEME maliciosos que pueden ser abiertos por un usuario objetivo. Cuando se utiliza un número de versión "999" en un archivo [.]MSSTYLES, se crea una condición de carrera que permite a un atacante reemplazar una DLL verificada por una DLL maliciosa, lo que les permite ejecutar código en la máquina objetivo. Kirkpatrick demostró esta vulnerabilidad creando un exploit de prueba de concepto que abre la Calculadora de Windows al iniciar un archivo theme. 

Microsoft abordó CVE-2023-38146 en su ciclo de parches de septiembre de 2023, eliminando la funcionalidad de la "versión 999". Sin embargo, la condición de carrera subyacente todavía persiste y no se abordó la falta de advertencias de "marca de la web" para los archivos de paquetes temáticos.

Se recomienda a los usuarios de Windows que apliquen el paquete de actualizaciones de seguridad de septiembre de 2023 de Microsoft lo antes posible, ya que aborda esta vulnerabilidad y otras amenazas, incluyendo dos vulnerabilidades de día cero en explotación activa y 57 problemas de seguridad en varias aplicaciones y componentes del sistema.

Google corrige otro error de día cero de Chrome explotado en ataques

Google ha lanzado una actualización de seguridad de emergencia para abordar la cuarta vulnerabilidad de día cero en Chrome que ha sido explotada en ataques desde principios de año. La vulnerabilidad, conocida como CVE-2023-4863, es una debilidad de desbordamiento de búfer en la biblioteca de códigos WebP (libwebp) y puede llevar desde fallas hasta la ejecución de código arbitrario.

Google ha recomendado a los usuarios de Chrome que actualicen a la versión 116.0.5845.187 (Mac y Linux) y 116.0.5845.187/.188 (Windows) tan pronto como sea posible para solucionar esta vulnerabilidad. La actualización se está implementando para los usuarios de los canales estable y extendido y llegará a toda la base de usuarios en los próximos días o semanas.

Aunque se sabe que esta vulnerabilidad ha sido explotada en la naturaleza, Google no ha compartido detalles adicionales sobre los ataques. La compañía podría mantener restringido el acceso a los detalles técnicos hasta que la mayoría de los usuarios se actualicen para evitar que otros actores de amenazas creen sus propios exploits.

Mozilla también ha parcheado la misma vulnerabilidad (CVE-2023-4863) en su navegador web Firefox, ya que afecta a productos que utilizan la biblioteca libwebp.

Mozilla parchea Firefox y Thunderbird contra ataques de día cero

Mozilla ha lanzado actualizaciones de seguridad de emergencia para su navegador web Firefox y su cliente de correo electrónico Thunderbird con el fin de abordar una vulnerabilidad de día cero crítica registrada como CVE-2023-4863. Esta vulnerabilidad está relacionada con un desbordamiento de búfer en la biblioteca de códigos WebP (libwebp), y su impacto va desde fallas hasta la ejecución de código arbitrario. Mozilla ha confirmado que esta vulnerabilidad está siendo explotada activamente.

Mozilla ha solucionado este problema en Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 y Thunderbird 115.2.2. Aunque no se han proporcionado detalles específicos sobre cómo se está explotando esta vulnerabilidad. Por lo tanto, se recomienda encarecidamente a los usuarios que actualicen sus versiones de Firefox y Thunderbird para proteger sus sistemas contra posibles ataques.

Es importante destacar que esta misma vulnerabilidad (CVE-2023-4863) también afecta a otros productos de software que utilizan la misma versión de la biblioteca de códigos WebP. Google Chrome, por ejemplo, también ha sido parcheado contra esta falla. Se espera que las actualizaciones de seguridad de Chrome lleguen a todos los usuarios en los próximos días o semanas.

Patch Tuesday Microsoft de Septiembre, corrige 61 vulnerabilidades

En su actualización programada para el martes de parches de septiembre 2023, Microsoft informó 61 correcciones de seguridad. Entre ellas 2 Zero day. 

Del total de vulnerabilidades, 2 fueron catalogadas de severidad crítica, 58 son catalogadas como importantes y 1 como moderada. Adicionalmente existen 5 vulnerabilidades de Microsoft Edge (Chromium-based) que no están consideradas en este conteo. 

Las vulnerabilidades se pueden clasificar de la siguiente forma:

• 24 Ejecución remota de código
• 17 Elevación de privilegios
• 9 Divulgación de información
• 5 Suplantación de identidad
• 3 Anulación de funciones de seguridad
• 3 Denegación de servicio

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 20 al 24 de septiembre de 2023:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

DEFCON 1

•  Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria

DEFCON 2

• Organizaciones sin fines de lucro

DEFCON 3

• Gobierno
• Defensa y orden público
• Turismo, hoteles y restaurantes

DEFCON 4

• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.