El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Una empresa energética estadounidense explica cómo el ransomware Akira pirateó sus sistemas
La empresa estadounidense de servicios energéticos, BHI Energy, reveló cómo el ransomware Akira violó su red y robó datos en un ataque. BHI Energy, parte de Westinghouse Electric Company, ofrece servicios especializados en ingeniería y soluciones de personal. El 30 de mayo de 2023, el grupo Akira accedió a la red de BHI usando credenciales VPN robadas de un contratista externo. Tras una semana de reconocimiento, entre el 20 y 29 de junio, los atacantes robaron 767k en archivos (690 GB), incluyendo la base de datos de BHI. El 29 de junio, cifraron archivos con el ransomware Akira. Aunque BHI restauró sus sistemas usando copias de seguridad, los datos personales de los empleados fueron comprometidos. Hasta el momento, Akira no ha publicado los datos robados. BHI ha reforzado su seguridad y ofrece protección contra robo de identidad por dos años a través de Experian.
La banda de Ransomware LockBit afirma haber robado datos de Boeing
Boeing, uno de los principales fabricantes aeroespaciales y contratistas de defensa del mundo, ha sido supuestamente comprometido por el grupo de ransomware Lockbit. El grupo afirma haber robado una gran cantidad de datos sensibles de Boeing y amenaza con publicarlos si no son contactados antes del 02 de noviembre de 2023. Aunque no han publicado muestras de los datos, han advertido que lo harán si Boeing no cumple con el plazo. El experto en ciberseguridad, Brett Callow, mencionó que LockBit ha listado empresas en el pasado cuando en realidad era un proveedor el comprometido. Aunque el rescate no ha sido revelado, se estima que podría ser elevado. En octubre, Lockbit demandó 80 millones de dólares a CDW, pero la oferta fue de solo 1 millón.
Estafadores utilizan el sistema de pago en tiempo real de la India para desviar dinero y enviarlo a China
Estafadores chinos utilizan falsas aplicaciones de préstamos y el sistema de pagos móviles en tiempo real de la India, Unified Payments Interface (UPI), para estafar a las víctimas, según CloudSEK. Estos estafadores ofrecen préstamos rápidos a cambio de una tarifa, pidiendo a las víctimas detalles personales y bancarios. Una vez pagada la tarifa, el préstamo no se materializa y la tarifa se blanquea hacia China. Se descubrieron 55 de estas aplicaciones y, en casi dos meses, los estafadores blanquearon aproximadamente $44,000 Dólares a través de una de ellas, comprometiendo más de 30,000 tarjetas Aadhar.
QNAP desmantela el servidor responsable de ataques de fuerza bruta generalizados
QNAP, fabricante taiwanés de dispositivos de almacenamiento conectados a la red (NAS), desactivó un servidor malicioso utilizado en ataques de fuerza bruta contra dispositivos NAS expuestos en Internet con contraseñas débiles. El 14 de octubre detectaron los ataques y, con la ayuda de Digital Ocean, neutralizaron el servidor de control en dos días. QNAP bloqueó cientos de IPs y tomó medidas adicionales para proteger sus dispositivos. La empresa insta a sus clientes a reforzar la seguridad de sus dispositivos, ofreciendo instrucciones detalladas en su guía de seguridad. Stanley Huang, líder de QNAP PSIRT, destacó la rápida respuesta de la empresa. QNAP alerta regularmente sobre ataques a sus dispositivos NAS, que a menudo culminan en ataques de ransomware. Los cibercriminales suelen atacar dispositivos NAS debido a la información valiosa que almacenan. Synology, otro fabricante de NAS, también advirtió sobre ataques similares en agosto de 2021.
Token Oauth o “Inicie sesión con…” Una función permite a millones de usuarios hacerse con todas sus cuentas en Internet
Usuarios de Grammarly, Vidio y el gigante de comercio electrónico indonesio Bukalapak están en riesgo de fraude financiero y robo de credenciales debido a problemas con OAuth. Investigadores de Salt Labs encontraron fallos críticos en la implementación del estándar Open Authorization (OAuth) en estos servicios, lo que podría permitir a los atacantes tomar control de millones de cuentas. OAuth es un estándar que permite la autenticación entre plataformas, como "Iniciar sesión con Facebook". A pesar de que OAuth es seguro, los desarrolladores a menudo crean problemas durante su implementación. Los investigadores descubrieron anteriormente fallos similares en Booking.com y Expo (un marco de código abierto para desarrollar aplicaciones móviles nativas para iOS, Android y otras plataformas web utilizando un único código base). El problema más reciente, denominado "Pass The Token", permite a un atacante usar un token de un sitio para ingresar a otro. Los problemas han sido resueltos en los sitios mencionados, pero se cree que muchos otros podrían estar comprometidos. Es esencial que los desarrolladores comprendan y aseguren correctamente OAuth desde el inicio.
Quasar RAT utiliza DLL Sideloading para pasar desapercibido
El Quasar RAT, también conocido como CinaRAT o Yggdrasil, ha sido identificado utilizando un nuevo archivo de Microsoft para introducir sigilosamente cargas maliciosas en sistemas Windows. En 2022, se observó que el malware QBot empleaba el archivo ‘calc[.]exe’ de Microsoft para este propósito. En 2023, los actores detrás de Quasar RAT adoptaron un método similar, usando archivos de Microsoft, ctfmon[.] exe y calc[.] exe. El ataque utiliza un archivo de imagen ISO que contiene tres archivos, incluyendo una versión maliciosa de MsCtfMonitor[.] dll. Una vez ejecutado, el RAT de Quasar utiliza una técnica que dificulta su detección. Aunque la técnica de DLL sideloading no es nueva, su uso está en aumento. Recientemente, el grupo Grayling y el actor chino ToddyCat han empleado esta táctica. Las organizaciones deben estar alerta a enlaces, correos electrónicos o adjuntos sospechosos y se recomienda implementar soluciones de seguridad avanzadas para detectar y bloquear actividades sospechosas.
De Copacabana a Barcelona: La amenaza transcontinental del malware bancario brasileño
Los investigadores de Proofpoint han observado actividad maliciosa dirigida principalmente a usuarios en Brasil y países cercanos. Sin embargo, recientemente se han detectado ataques inusuales dirigidos a España por actores maliciosos que tradicionalmente apuntaban a hablantes de portugués y español en Brasil, México y América. El panorama cibernético brasileño ha evolucionado, y con la adopción masiva de la banca en línea, se ha ampliado el potencial de víctimas. El malware bancario brasileño, originado de un ancestro común escrito en Delphi, ha derivado en variantes como Javali y Grandoreiro. Este último, que solía enfocarse en Brasil y México, ahora también apunta a bancos en España. Los actores de amenazas TA2725, conocidos desde marzo de 2022, son relevantes en estos ataques y suelen utilizar malware bancario brasileño. En resumen, dado el rápido desarrollo de malware en América Latina, es probable que aumenten los ataques a objetivos fuera de la región que comparten un idioma común, representando una amenaza creciente a nivel global.
Los hackers atacan una y otra vez el software de transferencia segura de archivos
Los hackers, utilizando patrones de vulnerabilidad ya conocidos, han explotado en repetidas ocasiones softwares de transferencia de archivos. Clop, una operación de ransomware, ha sido particularmente activa, lanzando campañas significativas y causando filtraciones masivas de datos, como el reciente ataque a MOVEit, que expuso datos de 66 millones de individuos. Las vulnerabilidades en herramientas de transferencia de archivos siguen apareciendo, y empresas como Citrix y Progress Software han tenido que implementar parches de emergencia. Las firmas de seguridad, como Assetnote y Rapid7, están trabajando activamente para identificar estas vulnerabilidades antes de que sean explotadas. Es esencial que los usuarios de estos softwares sigan buenas prácticas de ciberseguridad para protegerse contra futuros ataques.
El número de dispositivos Cisco IOS XE pirateados desciende de 50.000 a cientos
Hackers explotaron dos vulnerabilidades zero-day en más de 50,000 dispositivos Cisco IOS XE para instalar un backdoor malicioso. Aunque este backdoor, un implante LUA, no tiene persistencia (es decir, se elimina después de un reinicio del dispositivo), permite a los actores de amenazas ejecutar comandos con el nivel de privilegio más alto. A pesar de la noticia inicial, organizaciones de ciberseguridad notaron una drástica reducción en los dispositivos detectados con el implante, de aproximadamente 60,000 a solo 100-1,200. Se cree que los atacantes están actualizando el backdoor para ocultarlo de los escaneos. Otra teoría sugiere que un hacker con buenas intenciones podría estar reiniciando dispositivos de forma automática para eliminar el implante. Sin embargo, una nueva investigación revela que los atacantes están usando una versión actualizada del backdoor que requiere una cabecera de "Autorización" para responder, lo que anteriormente evitó su detección.
Citrix insta a los clientes de NetScaler ADC y Gateway a parchear
Citrix instó a sus clientes a actualizar a las últimas versiones de NetScaler ADC y NetScaler Gateway después de descubrir incidentes que sugerían secuestro de sesiones y ataques dirigidos contra una vulnerabilidad crítica. Aunque Citrix lanzó parches para la vulnerabilidad CVE-2023-4966 el 10 de octubre y afirmó no tener conocimiento de explotaciones, la empresa Mandiant informó que los actores de amenazas podían eludir el parche si ya habían explotado previamente la vulnerabilidad. Mandiant recomendó a las organizaciones terminar todas las sesiones, ya que las sesiones autenticadas podrían persistir incluso después de aplicar el parche. La Agencia de Ciberseguridad e Infraestructura de Seguridad añadió NetScaler ADC y NetScaler Gateway a su catálogo de vulnerabilidades explotadas conocidas. En julio, hackers ya habían atacado NetScaler ADC y NetScaler Gateway, y Mandiant había investigado casos de ataques exitosos en sistemas parcheados.
VMware advierte a los administradores de un exploit público del fallo vRealize RCE
El lunes, VMware advirtió a sus clientes sobre la disponibilidad de un código de prueba de concepto (PoC) para una vulnerabilidad de omisión de autenticación en vRealize Log Insight. Identificada como CVE-2023-34051, permite a los atacantes ejecutar código remotamente con permisos de root bajo ciertas condiciones. Horizon3, quien descubrió el fallo, publicó un análisis técnico detallado y un exploit PoC. Además, indicaron que para que la explotación sea exitosa, un atacante debe tener la misma dirección IP que un nodo maestro/trabajador. Esta vulnerabilidad es una evasión para una cadena de fallos críticos que VMware parcheó anteriormente.
Un ataque DDoS que bate récords con 100 millones de RPS aprovecha el fallo HTTP/2 Rapid Reset
Cloudflare informó que mitigó miles de ataques DDoS que explotaron una vulnerabilidad reciente llamada HTTP 2 Rapid Reset. Estos ataques aumentaron el tráfico de ataques DDoS en un 65% en el tercer trimestre en comparación con el trimestre anterior. HTTP 2 Rapid Reset fue revelado recientemente y ha sido utilizado para atacar proveedores como AWS, Cloudflare y Google Cloud. Fastly también contrarrestó un ataque similar. Según Cloudflare, los botnets que explotan HTTP 2 pueden generar ataques mucho más potentes. Las principales industrias afectadas incluyen juegos, IT, criptomonedas, software y telecomunicaciones, y los principales países afectados son EE.UU., China, Brasil, Alemania e Indonesia.
F5 emite una advertencia: Una vulnerabilidad en BIG-IP permite la ejecución remota de código
F5 ha notificado a sus clientes acerca de una vulnerabilidad crítica en BIG-IP que podría permitir la ejecución remota de código sin autenticación. El problema, identificado como CVE-2023-46747, tiene una puntuación CVSS de 9.8 sobre 10. Afecta específicamente a varias versiones de BIG-IP, para las cuales F5 ha proporcionado correcciones. La empresa también ha ofrecido soluciones temporales, incluido el bloqueo del acceso a la utilidad de configuración. Michael Weber y Thomas Hendrickson de Praetorian descubrieron y reportaron la vulnerabilidad. En su informe técnico, describen este problema como un bypass de autenticación que puede comprometer totalmente el sistema F5, y está relacionado con el CVE-2022-26377. Recomiendan restringir el acceso a la interfaz de usuario de administración del tráfico desde Internet. Es la tercera vulnerabilidad de este tipo descubierta en TMUI tras las CVE-2020-5902 y CVE-2022-1388.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 30 de octubre al 05 de noviembre de 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
Quasar RAT | . |
hash | 4958c30b3bf3288ff5ed3e8356a... |
hash | 0479ca2ab203a75a4c9664063e6... |
ip | 85[.]215[.]194[.]162 |
ip | 45[.]77[.]3[.]60 |
ip | 107[.]148[.]238[.]82 |
ip | 211[.]62[.]168[.]220 |
ip | 191[.]82[.]223[.]103 |
ip | 100[.]80[.]114[.]4 |
ip | 120[.]25[.]239[.]25 |
ip | 135[.]181[.]235[.]186 |
ip | 156[.]206[.]138[.]228 |
ip | 182[.]92[.]222[.]213 |
ip | 188[.]134[.]71[.]71 |
ip | 197[.]61[.]171[.]237 |
ip | 37[.]216[.]22[.]195 |
ip | 45[.]76[.]251[.]189 |
LockBit | . |
hash | f9757c47a99730dd430924f69a2... |
hash | 38507e716dc162f2c249712adbe... |
hash | 2c7e0ce7343edf97cf8ce2a5cff... |
hash | d740afad34c89aee8e23ab976f1... |
hash | 0a9e072035636445720d313ff44... |
hash | 04270e4fd725a173e54ac6da4d0... |
hash | 78ed9e3fccbb58faa0277b2b084... |
hash | 6a45411af0e7be80b901fb29ce8... |