ENTEL Weekly Threat Intelligence Brief del 23 al 29 de octubre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Una empresa energética estadounidense explica cómo el ransomware Akira accedió a sus sistemas
• Ransomware LockBit afirma haber robado datos de Boeing
• Estafadores utilizan el sistema de pago en tiempo real de la India para desviar dinero a China
• QNAP desmantela el servidor responsable de ataques de fuerza bruta generalizados
• Token Oauth o “Inicie sesión con…” Una función permite a millones de usuarios hacerse con todas sus cuentas en Internet
• Quasar RAT utiliza DLL Sideloading para pasar desapercibido
• De Copacabana a Barcelona: La amenaza del malware bancario brasileño
• Los hackers atacan una y otra vez el software de transferencia segura de archivos (SFTP)
• El número de dispositivos Cisco IOS XE vulnerados desciende de 50.000 a cientos debido a la acción de los atacantes para evitar ser detectados.
• Citrix insta a los clientes de NetScaler ADC y Gateway a parchear a la brevedad.
• VMware advierte a los administradores de un exploit público del fallo vRealize RCE
• Un ataque DDoS que bate récords con 100 millones de RPS aprovecha el fallo HTTP 2 Rapid Reset
• F5 emite una advertencia por una vulnerabilidad en BIG-IP que permite la ejecución remota de código

Una empresa energética estadounidense explica cómo el ransomware Akira pirateó sus sistemas

La empresa estadounidense de servicios energéticos, BHI Energy, reveló cómo el ransomware Akira violó su red y robó datos en un ataque. BHI Energy, parte de Westinghouse Electric Company, ofrece servicios especializados en ingeniería y soluciones de personal. El 30 de mayo de 2023, el grupo Akira accedió a la red de BHI usando credenciales VPN robadas de un contratista externo. Tras una semana de reconocimiento, entre el 20 y 29 de junio, los atacantes robaron 767k en archivos (690 GB), incluyendo la base de datos de BHI. El 29 de junio, cifraron archivos con el ransomware Akira. Aunque BHI restauró sus sistemas usando copias de seguridad, los datos personales de los empleados fueron comprometidos. Hasta el momento, Akira no ha publicado los datos robados. BHI ha reforzado su seguridad y ofrece protección contra robo de identidad por dos años a través de Experian.

La banda de Ransomware LockBit afirma haber robado datos de Boeing

 Boeing, uno de los principales fabricantes aeroespaciales y contratistas de defensa del mundo, ha sido supuestamente comprometido por el grupo de ransomware Lockbit. El grupo afirma haber robado una gran cantidad de datos sensibles de Boeing y amenaza con publicarlos si no son contactados antes del 02 de noviembre de 2023. Aunque no han publicado muestras de los datos, han advertido que lo harán si Boeing no cumple con el plazo. El experto en ciberseguridad, Brett Callow, mencionó que LockBit ha listado empresas en el pasado cuando en realidad era un proveedor el comprometido. Aunque el rescate no ha sido revelado, se estima que podría ser elevado. En octubre, Lockbit demandó 80 millones de dólares a CDW, pero la oferta fue de solo 1 millón.

Estafadores utilizan el sistema de pago en tiempo real de la India para desviar dinero y enviarlo a China

Estafadores chinos utilizan falsas aplicaciones de préstamos y el sistema de pagos móviles en tiempo real de la India, Unified Payments Interface (UPI), para estafar a las víctimas, según CloudSEK. Estos estafadores ofrecen préstamos rápidos a cambio de una tarifa, pidiendo a las víctimas detalles personales y bancarios. Una vez pagada la tarifa, el préstamo no se materializa y la tarifa se blanquea hacia China. Se descubrieron 55 de estas aplicaciones y, en casi dos meses, los estafadores blanquearon aproximadamente $44,000 Dólares a través de una de ellas, comprometiendo más de 30,000 tarjetas Aadhar. 

QNAP desmantela el servidor responsable de ataques de fuerza bruta generalizados

QNAP, fabricante taiwanés de dispositivos de almacenamiento conectados a la red (NAS), desactivó un servidor malicioso utilizado en ataques de fuerza bruta contra dispositivos NAS expuestos en Internet con contraseñas débiles. El 14 de octubre detectaron los ataques y, con la ayuda de Digital Ocean, neutralizaron el servidor de control en dos días. QNAP bloqueó cientos de IPs y tomó medidas adicionales para proteger sus dispositivos. La empresa insta a sus clientes a reforzar la seguridad de sus dispositivos, ofreciendo instrucciones detalladas en su guía de seguridad. Stanley Huang, líder de QNAP PSIRT, destacó la rápida respuesta de la empresa. QNAP alerta regularmente sobre ataques a sus dispositivos NAS, que a menudo culminan en ataques de ransomware. Los cibercriminales suelen atacar dispositivos NAS debido a la información valiosa que almacenan. Synology, otro fabricante de NAS, también advirtió sobre ataques similares en agosto de 2021.

Token Oauth o “Inicie sesión con…” Una función permite a millones de usuarios hacerse con todas sus cuentas en Internet

Usuarios de Grammarly, Vidio y el gigante de comercio electrónico indonesio Bukalapak están en riesgo de fraude financiero y robo de credenciales debido a problemas con OAuth. Investigadores de Salt Labs encontraron fallos críticos en la implementación del estándar Open Authorization (OAuth) en estos servicios, lo que podría permitir a los atacantes tomar control de millones de cuentas. OAuth es un estándar que permite la autenticación entre plataformas, como "Iniciar sesión con Facebook". A pesar de que OAuth es seguro, los desarrolladores a menudo crean problemas durante su implementación. Los investigadores descubrieron anteriormente fallos similares en Booking.com y Expo (un marco de código abierto para desarrollar aplicaciones móviles nativas para iOS, Android y otras plataformas web utilizando un único código base). El problema más reciente, denominado "Pass The Token", permite a un atacante usar un token de un sitio para ingresar a otro. Los problemas han sido resueltos en los sitios mencionados, pero se cree que muchos otros podrían estar comprometidos. Es esencial que los desarrolladores comprendan y aseguren correctamente OAuth desde el inicio.

Quasar RAT utiliza DLL Sideloading para pasar desapercibido

El Quasar RAT, también conocido como CinaRAT o Yggdrasil, ha sido identificado utilizando un nuevo archivo de Microsoft para introducir sigilosamente cargas maliciosas en sistemas Windows. En 2022, se observó que el malware QBot empleaba el archivo ‘calc[.]exe’ de Microsoft para este propósito. En 2023, los actores detrás de Quasar RAT adoptaron un método similar, usando archivos de Microsoft, ctfmon[.] exe y calc[.] exe. El ataque utiliza un archivo de imagen ISO que contiene tres archivos, incluyendo una versión maliciosa de MsCtfMonitor[.] dll. Una vez ejecutado, el RAT de Quasar utiliza una técnica que dificulta su detección. Aunque la técnica de DLL sideloading no es nueva, su uso está en aumento. Recientemente, el grupo Grayling y el actor chino ToddyCat han empleado esta táctica. Las organizaciones deben estar alerta a enlaces, correos electrónicos o adjuntos sospechosos y se recomienda implementar soluciones de seguridad avanzadas para detectar y bloquear actividades sospechosas.

De Copacabana a Barcelona: La amenaza transcontinental del malware bancario brasileño

Los investigadores de Proofpoint han observado actividad maliciosa dirigida principalmente a usuarios en Brasil y países cercanos. Sin embargo, recientemente se han detectado ataques inusuales dirigidos a España por actores maliciosos que tradicionalmente apuntaban a hablantes de portugués y español en Brasil, México y América. El panorama cibernético brasileño ha evolucionado, y con la adopción masiva de la banca en línea, se ha ampliado el potencial de víctimas. El malware bancario brasileño, originado de un ancestro común escrito en Delphi, ha derivado en variantes como Javali y Grandoreiro. Este último, que solía enfocarse en Brasil y México, ahora también apunta a bancos en España. Los actores de amenazas TA2725, conocidos desde marzo de 2022, son relevantes en estos ataques y suelen utilizar malware bancario brasileño. En resumen, dado el rápido desarrollo de malware en América Latina, es probable que aumenten los ataques a objetivos fuera de la región que comparten un idioma común, representando una amenaza creciente a nivel global.

Los hackers atacan una y otra vez el software de transferencia segura de archivos

Los hackers, utilizando patrones de vulnerabilidad ya conocidos, han explotado en repetidas ocasiones softwares de transferencia de archivos. Clop, una operación de ransomware, ha sido particularmente activa, lanzando campañas significativas y causando filtraciones masivas de datos, como el reciente ataque a MOVEit, que expuso datos de 66 millones de individuos. Las vulnerabilidades en herramientas de transferencia de archivos siguen apareciendo, y empresas como Citrix y Progress Software han tenido que implementar parches de emergencia. Las firmas de seguridad, como Assetnote y Rapid7, están trabajando activamente para identificar estas vulnerabilidades antes de que sean explotadas. Es esencial que los usuarios de estos softwares sigan buenas prácticas de ciberseguridad para protegerse contra futuros ataques.

El número de dispositivos Cisco IOS XE pirateados desciende de 50.000 a cientos

Hackers explotaron dos vulnerabilidades zero-day en más de 50,000 dispositivos Cisco IOS XE para instalar un backdoor malicioso. Aunque este backdoor, un implante LUA, no tiene persistencia (es decir, se elimina después de un reinicio del dispositivo), permite a los actores de amenazas ejecutar comandos con el nivel de privilegio más alto. A pesar de la noticia inicial, organizaciones de ciberseguridad notaron una drástica reducción en los dispositivos detectados con el implante, de aproximadamente 60,000 a solo 100-1,200. Se cree que los atacantes están actualizando el backdoor para ocultarlo de los escaneos. Otra teoría sugiere que un hacker con buenas intenciones podría estar reiniciando dispositivos de forma automática para eliminar el implante. Sin embargo, una nueva investigación revela que los atacantes están usando una versión actualizada del backdoor que requiere una cabecera de "Autorización" para responder, lo que anteriormente evitó su detección.

Citrix insta a los clientes de NetScaler ADC y Gateway a parchear

Citrix instó a sus clientes a actualizar a las últimas versiones de NetScaler ADC y NetScaler Gateway después de descubrir incidentes que sugerían secuestro de sesiones y ataques dirigidos contra una vulnerabilidad crítica. Aunque Citrix lanzó parches para la vulnerabilidad CVE-2023-4966 el 10 de octubre y afirmó no tener conocimiento de explotaciones, la empresa Mandiant informó que los actores de amenazas podían eludir el parche si ya habían explotado previamente la vulnerabilidad. Mandiant recomendó a las organizaciones terminar todas las sesiones, ya que las sesiones autenticadas podrían persistir incluso después de aplicar el parche. La Agencia de Ciberseguridad e Infraestructura de Seguridad añadió NetScaler ADC y NetScaler Gateway a su catálogo de vulnerabilidades explotadas conocidas. En julio, hackers ya habían atacado NetScaler ADC y NetScaler Gateway, y Mandiant había investigado casos de ataques exitosos en sistemas parcheados.

VMware advierte a los administradores de un exploit público del fallo vRealize RCE

El lunes, VMware advirtió a sus clientes sobre la disponibilidad de un código de prueba de concepto (PoC) para una vulnerabilidad de omisión de autenticación en vRealize Log Insight. Identificada como CVE-2023-34051, permite a los atacantes ejecutar código remotamente con permisos de root bajo ciertas condiciones. Horizon3, quien descubrió el fallo, publicó un análisis técnico detallado y un exploit PoC. Además, indicaron que para que la explotación sea exitosa, un atacante debe tener la misma dirección IP que un nodo maestro/trabajador. Esta vulnerabilidad es una evasión para una cadena de fallos críticos que VMware parcheó anteriormente.

Un ataque DDoS que bate récords con 100 millones de RPS aprovecha el fallo HTTP/2 Rapid Reset

Cloudflare informó que mitigó miles de ataques DDoS que explotaron una vulnerabilidad reciente llamada HTTP 2 Rapid Reset. Estos ataques aumentaron el tráfico de ataques DDoS en un 65% en el tercer trimestre en comparación con el trimestre anterior. HTTP 2 Rapid Reset fue revelado recientemente y ha sido utilizado para atacar proveedores como AWS, Cloudflare y Google Cloud. Fastly también contrarrestó un ataque similar. Según Cloudflare, los botnets que explotan HTTP 2 pueden generar ataques mucho más potentes. Las principales industrias afectadas incluyen juegos, IT, criptomonedas, software y telecomunicaciones, y los principales países afectados son EE.UU., China, Brasil, Alemania e Indonesia.

F5 emite una advertencia: Una vulnerabilidad en BIG-IP permite la ejecución remota de código

F5 ha notificado a sus clientes acerca de una vulnerabilidad crítica en BIG-IP que podría permitir la ejecución remota de código sin autenticación. El problema, identificado como CVE-2023-46747, tiene una puntuación CVSS de 9.8 sobre 10. Afecta específicamente a varias versiones de BIG-IP, para las cuales F5 ha proporcionado correcciones. La empresa también ha ofrecido soluciones temporales, incluido el bloqueo del acceso a la utilidad de configuración. Michael Weber y Thomas Hendrickson de Praetorian descubrieron y reportaron la vulnerabilidad. En su informe técnico, describen este problema como un bypass de autenticación que puede comprometer totalmente el sistema F5, y está relacionado con el CVE-2022-26377. Recomiendan restringir el acceso a la interfaz de usuario de administración del tráfico desde Internet. Es la tercera vulnerabilidad de este tipo descubierta en TMUI tras las CVE-2020-5902 y CVE-2022-1388.
 

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 30 de octubre al 05 de noviembre de 2023:

Objetivos observados durante semana de análisis: 

• Servicios legales y profesionales
• Defensa y orden público
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Banca y Finanzas
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - consumo

• Servicios empresariales y comercio

• Retail y servicios de consumo
• Entretenimiento, cultura y arte

• Servicios legales y profesionales
• Defensa y orden público
• Industrias manufactureras, materiales y minería
• Educación
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes

• Banca y Finanzas
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.