ENTEL Weekly Threat Intelligence Brief del 13 al 19 de noviembre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• BlackCat ransomware presenta una queja ante la SEC contra su víctima por no informar ataque
• LockBit ransomware explota Citrix Bleed en ataques
• El ciberataque de DP World paraliza miles de contenedores en los puertos
• Dinamarca sufre el mayor ciberataque jamás registrado
• Ciberactores rusos utilizan la función Ngrok y el exploit WinRAR para atacar embajadas
• Se revelan las técnicas distintivas de los grupos asiáticos de APT
• Botnet OrackeIV una amenaza DDoS a través de una mala configuración de la API de Docker
• Desmantelan botnet IPStorm con 23.000 proxies para tráfico malicioso
• Error del complemento WP Fastest Cache expone 600.000 sitios de WordPress a ataques
• Patch Day SAP – Noviembre 2023
• Patch Tuesday Microsoft de noviembre, corrige 58 vulnerabilidades
• Fortinet publica nuevas vulnerabilidades en sus productos
• Vulnerabilidad afecta a VMware Cloud Director

BlackCat ransomware presenta una queja ante la SEC contra su víctima por no informar ataque

ALPHV/BlackCat ha llevado la extorsión a un nuevo nivel al presentar una denuncia ante la Comisión de Bolsa y Valores de EE. UU. contra una de sus presuntas víctimas por no cumplir con la regla de los cuatro días para revelar un ciberataque.

El actor de amenazas incluyó a la compañía de software MeridianLink en su sitio con la amenaza de que filtrarían datos supuestamente robados a menos que se pagara un rescate en 24 horas. MeridianLink es una empresa que cotiza en bolsa que ofrece soluciones digitales para organizaciones financieras como bancos, cooperativas de crédito y prestamistas hipotecarios.

La supuesta falta de respuesta de la empresa probablemente llevó a los piratas informáticos a ejercer más presión enviando una queja a la Comisión de Bolsa y Valores de EE. UU. (SEC) porque MeridianLink no reveló un incidente de ciberseguridad que afectó "los datos de los clientes y la información operativa".

Para demostrar la veracidad de esto los ciberactores publicaron capturas de la denuncia realizada y la respuesta de esta misma.

LockBit ransomware explota Citrix Bleed en ataques

Se visualiza que los ataques de ransomware Lockbit utilizan exploits disponibles públicamente para la vulnerabilidad Citrix Bleed (CVE-2023-4966) para afectar los sistemas de grandes organizaciones, robar datos y cifrar archivos. Aunque Citrix puso a disposición un parche para CVE-2023-4966, miles de puntos finales expuestos a internet todavía ejecutan dispositivos vulnerables.

Investigadores creen que los recientes ataques a organizaciones como el Banco Industrial y Comercial de China ( ICBC ),  DP World , Allen & Overy  y Boeing fueron a través de la falla Citrix Bleed, esto ya que el Wall Street Journal confirmó que el ataque al ICBC fue por esta vulnerabilidad.

Citrix Bleed se  reveló el 10 de octubre  como un problema de seguridad crítico que afecta a Citrix NetScaler ADC y Gateway, permitiendo el acceso a información confidencial del dispositivo.

Para más información sobre esta vulnerabilidad, visitar: Citrix notifica 2 nuevos avisos de seguridad que afectan a sus productos

El ciberataque de DP World paraliza miles de contenedores en los puertos

Un ciberataque a la empresa de logística internacional DP World Australia ha afectado gravemente el movimiento regular de contenedores en varios grandes puertos australianos.

DP World tiene unos ingresos anuales de más de 10 mil millones de dólares y se especializa en logística de carga, operaciones de terminales portuarias, servicios marítimos y zonas francas, responsable de operar 82 terminales marítimas y terrestres en 40 países. Maneja alrededor de 70 millones de contenedores transportados anualmente por 70.000 buques, lo que corresponde aproximadamente al 10% del tráfico mundial de contenedores.

Según un comunicado de la empresa, un ciberataque el viernes 10 de noviembre interrumpió las operaciones de transporte terrestre en sus puertos.

Se calcula que unos 30.000 contenedores marítimos  de diversa importancia y valor permanecieron inmóviles y abarrotaron los espacios de almacenamiento disponibles. Por el momento, las operaciones se están restableciendo paulatinamente.

Los daños estimados ascienden a millones de dólares, ya que muchos de los contenedores varados almacenan productos urgentes, como plasma sanguíneo, carne wagyu y langostas.

El comunicado de prensa también menciona la posibilidad de acceso y exfiltración de datos. Sin embargo, una investigación interna aún está en curso y no lo ha confirmado.

Dinamarca sufre el mayor ciberataque jamás registrado

Según un nuevo informe, ciberactores informáticos potencialmente vinculados a la Dirección Principal de Inteligencia del GRU ruso llevaron a cabo una serie de ataques cibernéticos altamente coordinados contra la infraestructura crítica danesa causando el mayor incidente cibernético registrado en el país.

SektorCERT, un centro de ciberseguridad sin fines de lucro para sectores críticos en Dinamarca, informó que los atacantes obtuvieron acceso a los sistemas de 22 empresas que supervisan varios componentes de la infraestructura energética danesa en mayo, donde los actores de amenazas explotaron las vulnerabilidades de día cero en los firewalls Zyxel, que muchos operadores daneses de infraestructura crítica utilizan para proteger sus redes.

Las vulnerabilidades del firewall, reportadas inicialmente en abril y rastreadas como CVE-2023-28771, permiten a los atacantes obtener acceso remoto a sistemas de control industrial sin autenticación. SektorCERT describió el ciberataque como "notable" por su meticulosa planificación y coordinación, diciendo que los actores de la amenaza demostraron una capacidad para identificar empresas con dispositivos vulnerables y orquestar una campaña simultánea contra las empresas objetivo.

Varias de las empresas atacadas evitaron causar un impacto significativo en el sistema energético danés al desconectarse de las redes eléctricas locales o nacionales y entrar en funcionamiento en modo isla, lo que aisló sus sistemas y evitó la posible propagación del ataque a todo el sistema energético danés.

Ciberactores rusos utilizan la función Ngrok y el exploit WinRAR para atacar embajadas

Además de Sandworm y APT28 (conocido como Fancy Bear), otro grupo de hackers ruso patrocinado por el estado, está aprovechando la vulnerabilidad CVE-2023-38831 en WinRAR para ataques cibernéticos. APT29 tiene diferentes nombres (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) y se ha dirigido a entidades diplomáticas con un señuelo de venta de automóviles BMW.

La falla de seguridad CVE-2023-38831 afecta a las versiones de WinRAR anteriores a la 6.23 y permite crear archivos .RAR y .ZIP que pueden ejecutarse en segundo plano con código preparado por el atacante con fines maliciosos. La vulnerabilidad ha sido  explotada como día cero desde abril de 2023 por actores de amenazas que apuntan al sector de comercio de acciones y criptomonedas.

En un informe de esta semana, el Consejo de Defensa y Seguridad Nacional de Ucrania (NDSC) dice que APT29 ha estado utilizando un archivo ZIP malicioso que ejecuta un script en segundo plano para mostrar un señuelo PDF y descargar código PowerShell que descarga y ejecuta una carga útil.

El archivo malicioso se llama “DIPLOMATIC-CAR-FOR-SALE-BMW[.]pdf” y se dirigió a varios países del continente europeo, incluidos Azerbaiyán, Grecia, Rumania e Italia.

El NDSC ucraniano dice que la campaña observada de APT29 se destaca porque combina técnicas antiguas y nuevas, como el uso de la vulnerabilidad WinRAR para entregar cargas útiles y servicios Ngrok para ocultar la comunicación con el C2.
 

Se revelan las técnicas distintivas de los grupos asiáticos de APT

El equipo de Kaspersky Cyber ​​Threat Intelligence ha revelado información crucial sobre las tácticas, técnicas y procedimientos (TTP) empleados por los grupos asiáticos de amenazas persistentes avanzadas (APT).

El informe documenta los TTP utilizados por los grupos APT en varias etapas del proceso de ciberataque y ofrece recomendaciones esenciales para combatir estas amenazas.

Uno de los hallazgos clave de la investigación es que las APT asiáticas no muestran sesgos regionales en la selección de objetivos, lo que indica su capacidad para emplear tácticas consistentes en todo el mundo. 

Estos atacantes son expertos en combinar técnicas, en particular “Crear o modificar proceso del sistema: servicio técnico de Windows T1543.003” y “Flujo de ejecución de secuestro: carga lateral de DLL T1574.002”, lo que les permite escalar privilegios y evadir la detección.

El objetivo principal de estos grupos asiáticos de APT es el ciberespionaje, con un fuerte énfasis en recopilar información confidencial y canalizarla hacia servicios legítimos en la nube o entes externos. Sin embargo, el informe también destaca casos raros en los que estos grupos se desvían de este patrón, como por ejemplo empleando ransomware en sus ataques.

Las industrias a las que se dirigen con mayor frecuencia estos grupos de APT incluyen los sectores gubernamental, industrial, sanitario, de TI, agrícola y energético. Kaspersky dijo que el análisis de los TTP empleados por estos atacantes ha llevado a la creación de reglas SIGMA específicas.

Para más información sobre este reporte visitar este enlace.

Botnet OrackeIV una amenaza DDoS a través de una mala configuración de la API de Docker

Investigadores de seguridad han identificado una nueva amenaza dirigida a instancias expuestas públicamente de la API Docker Engine. 

En esta campaña, los atacantes aprovechan las configuraciones erróneas para implementar un contenedor Docker malicioso con malware Python compilado como un ejecutable ELF. La herramienta maliciosa, que funciona como un agente bot de denegación de servicio distribuido (DDoS).

La novedosa campaña descubierta por los expertos en seguridad involucra a atacantes que inician el acceso con una solicitud HTTP POST a la API de Docker, lo que lleva a la recuperación de un contenedor Docker malicioso de Dockerhub. 

Luego el atacante utiliza un usuario de Docker Hub para alojar un contenedor específico diseñado para parecer inofensivo como una imagen de MySQL para Docker.

OracleIV demuestra que los atacantes todavía tienen la intención de aprovechar implementaciones de API de Docker Engine mal configuradas como medio de acceso inicial para una variedad de campañas.

Desmantelan botnet IPStorm con 23.000 proxies para tráfico malicioso

El Departamento de Justicia de EE. UU. anunció hoy que la Oficina Federal de Investigaciones desmanteló la red y la infraestructura de un servicio proxy de botnet llamado IPStorm.

IPStorm permitió a los ciberdelincuentes ejecutar tráfico malicioso de forma anónima a través de dispositivos Windows, Linux, Mac y Android en todo el mundo.

El anuncio del Departamento de Justicia describe IPStorm como una botnet proxy que permite a ciberdelincuentes, estafadores y otros evadir bloqueos y permanecer en el anonimato canalizando su tráfico a través de miles de dispositivos comprometidos en los hogares u oficinas de las personas.

Además de convertirse, sin saberlo e involuntariamente, en facilitadores de delitos cibernéticos, las víctimas de IPStorm sufrieron las consecuencias de que actores maliciosos secuestraran el ancho de banda de su red y corrían el riesgo de recibir cargas útiles más peligrosas en cualquier momento.

Error del complemento WP Fastest Cache expone 600.000 sitios de WordPress a ataques

El complemento de WordPress WP Fastest Cache es vulnerable a una vulnerabilidad de inyección SQL que podría permitir a atacantes no autenticados leer el contenido de la base de datos del sitio.

El equipo WPScan de Automattic  reveló los detalles de una vulnerabilidad de inyección SQL, rastreada como CVE-2023-6063 y con una puntuación de alta gravedad de 8,6, que afecta a todas las versiones del complemento anteriores a la 1.2.2.

WP Fastest Cache es un complemento de almacenamiento en caché que se utiliza para acelerar la carga de páginas, mejorar la experiencia de los visitantes y mejorar la clasificación del sitio en la búsqueda de Google. Según las estadísticas de WordPress.org, es utilizado por más de un millón de sitios .

Las estadísticas de descarga de WordPress.org muestran que más de 600.000 sitios web todavía ejecutan una versión vulnerable del complemento y están expuestos a posibles ataques.

Patch Day SAP – Noviembre 2023

En el martes de parches SAP de noviembre 2023, se publicaron 3 nuevos avisos de seguridad para los productos SAP, los que contemplan 3 vulnerabilidades: 1 de severidad Hot News y 2 de severidad Media.

Esta publicación contempla 3 actualizaciones que ya fueron abordadas anteriormente, las que corresponden a: CVE-2023-40309, CVE-2023-42477, Note# 2494184.

Para mayor información visitar: Patch Day SAP – Noviembre 2023

 

Patch Tuesday Microsoft de noviembre, corrige 58 vulnerabilidades

En su actualización programada para el martes de parches de noviembre de 2023, Microsoft informó 58 correcciones de seguridad. Entre ellas hay 5 Zero Day de las cuales 3 han sido explotadas activamente.

Del total de vulnerabilidades, 3 fueron catalogadas de severidad Crítica y 55 son catalogadas como Importantes. Adicionalmente existen 20 vulnerabilidades de Microsoft Edge (Chromium-based) que no están consideradas en este conteo. 

Las vulnerabilidades se pueden clasificar de la siguiente forma:

• 15 Vulnerabilidades de ejecución remota de código
• 16 Vulnerabilidades elevación de privilegios
• 6 Vulnerabilidades de divulgación de información
• 10 Vulnerabilidad de suplantación de identidad
• 6 Vulnerabilidades de anulación de funciones de seguridad
• 5 Vulnerabilidades de denegación de servicio

Para mayor información visitar: Patch Tuesday Microsoft de noviembre, corrige 58 vulnerabilidades.

Fortinet publica nuevas vulnerabilidades en sus productos

Fortinet ha publicado 20 nuevos avisos de seguridad que contemplan 21 vulnerabilidades de las cuales 2 son de severidad Crítica, 8 de severidad Alta, 10 de severidad Media y 1 de severidad Baja,  estas vulnerabilidades afectan a los siguientes productos:

• FortiSIEM
• FortiADC
• FortiClient
• FortiMail
• Entre otros

Para mayor información visitar: Fortinet publica nuevas vulnerabilidades en sus productos
 

Vulnerabilidad afecta a VMware Cloud Director

VMware ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad de severidad Crítica, la cual afecta al VCD Appliance.

Para mayor información visitar: Vulnerabilidad afecta a VMware Cloud Director

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 20 al 26 de noviembre de 2023:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales
• Infraestructura tecnológica
• Banca y Finanzas
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Educación
• Servicios de salud, sociales y farmacia

• Retail y servicios de consumo
• Entretenimiento, cultura y arte
• Organizaciones sin fines de lucro

• Defensa y orden público
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Gobierno

• Construcción e inmobiliaria
• Agricultura, ganadería, silvicultura y pesca - producción
• Petróleo
• Servicios básicos y sanitarios
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.