El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
BlackCat ransomware presenta una queja ante la SEC contra su víctima por no informar ataque
ALPHV/BlackCat ha llevado la extorsión a un nuevo nivel al presentar una denuncia ante la Comisión de Bolsa y Valores de EE. UU. contra una de sus presuntas víctimas por no cumplir con la regla de los cuatro días para revelar un ciberataque.
El actor de amenazas incluyó a la compañía de software MeridianLink en su sitio con la amenaza de que filtrarían datos supuestamente robados a menos que se pagara un rescate en 24 horas. MeridianLink es una empresa que cotiza en bolsa que ofrece soluciones digitales para organizaciones financieras como bancos, cooperativas de crédito y prestamistas hipotecarios.
La supuesta falta de respuesta de la empresa probablemente llevó a los piratas informáticos a ejercer más presión enviando una queja a la Comisión de Bolsa y Valores de EE. UU. (SEC) porque MeridianLink no reveló un incidente de ciberseguridad que afectó "los datos de los clientes y la información operativa".
Para demostrar la veracidad de esto los ciberactores publicaron capturas de la denuncia realizada y la respuesta de esta misma.
LockBit ransomware explota Citrix Bleed en ataques
Se visualiza que los ataques de ransomware Lockbit utilizan exploits disponibles públicamente para la vulnerabilidad Citrix Bleed (CVE-2023-4966) para afectar los sistemas de grandes organizaciones, robar datos y cifrar archivos. Aunque Citrix puso a disposición un parche para CVE-2023-4966, miles de puntos finales expuestos a internet todavía ejecutan dispositivos vulnerables.
Investigadores creen que los recientes ataques a organizaciones como el Banco Industrial y Comercial de China ( ICBC ), DP World , Allen & Overy y Boeing fueron a través de la falla Citrix Bleed, esto ya que el Wall Street Journal confirmó que el ataque al ICBC fue por esta vulnerabilidad.
Citrix Bleed se reveló el 10 de octubre como un problema de seguridad crítico que afecta a Citrix NetScaler ADC y Gateway, permitiendo el acceso a información confidencial del dispositivo.
Para más información sobre esta vulnerabilidad, visitar: Citrix notifica 2 nuevos avisos de seguridad que afectan a sus productos
El ciberataque de DP World paraliza miles de contenedores en los puertos
Un ciberataque a la empresa de logística internacional DP World Australia ha afectado gravemente el movimiento regular de contenedores en varios grandes puertos australianos.
DP World tiene unos ingresos anuales de más de 10 mil millones de dólares y se especializa en logística de carga, operaciones de terminales portuarias, servicios marítimos y zonas francas, responsable de operar 82 terminales marítimas y terrestres en 40 países. Maneja alrededor de 70 millones de contenedores transportados anualmente por 70.000 buques, lo que corresponde aproximadamente al 10% del tráfico mundial de contenedores.
Según un comunicado de la empresa, un ciberataque el viernes 10 de noviembre interrumpió las operaciones de transporte terrestre en sus puertos.
Se calcula que unos 30.000 contenedores marítimos de diversa importancia y valor permanecieron inmóviles y abarrotaron los espacios de almacenamiento disponibles. Por el momento, las operaciones se están restableciendo paulatinamente.
Los daños estimados ascienden a millones de dólares, ya que muchos de los contenedores varados almacenan productos urgentes, como plasma sanguíneo, carne wagyu y langostas.
El comunicado de prensa también menciona la posibilidad de acceso y exfiltración de datos. Sin embargo, una investigación interna aún está en curso y no lo ha confirmado.
Dinamarca sufre el mayor ciberataque jamás registrado
Según un nuevo informe, ciberactores informáticos potencialmente vinculados a la Dirección Principal de Inteligencia del GRU ruso llevaron a cabo una serie de ataques cibernéticos altamente coordinados contra la infraestructura crítica danesa causando el mayor incidente cibernético registrado en el país.
SektorCERT, un centro de ciberseguridad sin fines de lucro para sectores críticos en Dinamarca, informó que los atacantes obtuvieron acceso a los sistemas de 22 empresas que supervisan varios componentes de la infraestructura energética danesa en mayo, donde los actores de amenazas explotaron las vulnerabilidades de día cero en los firewalls Zyxel, que muchos operadores daneses de infraestructura crítica utilizan para proteger sus redes.
Las vulnerabilidades del firewall, reportadas inicialmente en abril y rastreadas como CVE-2023-28771, permiten a los atacantes obtener acceso remoto a sistemas de control industrial sin autenticación. SektorCERT describió el ciberataque como "notable" por su meticulosa planificación y coordinación, diciendo que los actores de la amenaza demostraron una capacidad para identificar empresas con dispositivos vulnerables y orquestar una campaña simultánea contra las empresas objetivo.
Varias de las empresas atacadas evitaron causar un impacto significativo en el sistema energético danés al desconectarse de las redes eléctricas locales o nacionales y entrar en funcionamiento en modo isla, lo que aisló sus sistemas y evitó la posible propagación del ataque a todo el sistema energético danés.
Ciberactores rusos utilizan la función Ngrok y el exploit WinRAR para atacar embajadas
Además de Sandworm y APT28 (conocido como Fancy Bear), otro grupo de hackers ruso patrocinado por el estado, está aprovechando la vulnerabilidad CVE-2023-38831 en WinRAR para ataques cibernéticos. APT29 tiene diferentes nombres (UNC3524,/NobleBaron/Dark Halo/NOBELIUM/Cozy Bear/CozyDuke, SolarStorm) y se ha dirigido a entidades diplomáticas con un señuelo de venta de automóviles BMW.
La falla de seguridad CVE-2023-38831 afecta a las versiones de WinRAR anteriores a la 6.23 y permite crear archivos .RAR y .ZIP que pueden ejecutarse en segundo plano con código preparado por el atacante con fines maliciosos. La vulnerabilidad ha sido explotada como día cero desde abril de 2023 por actores de amenazas que apuntan al sector de comercio de acciones y criptomonedas.
En un informe de esta semana, el Consejo de Defensa y Seguridad Nacional de Ucrania (NDSC) dice que APT29 ha estado utilizando un archivo ZIP malicioso que ejecuta un script en segundo plano para mostrar un señuelo PDF y descargar código PowerShell que descarga y ejecuta una carga útil.
El archivo malicioso se llama “DIPLOMATIC-CAR-FOR-SALE-BMW[.]pdf” y se dirigió a varios países del continente europeo, incluidos Azerbaiyán, Grecia, Rumania e Italia.
El NDSC ucraniano dice que la campaña observada de APT29 se destaca porque combina técnicas antiguas y nuevas, como el uso de la vulnerabilidad WinRAR para entregar cargas útiles y servicios Ngrok para ocultar la comunicación con el C2.
Se revelan las técnicas distintivas de los grupos asiáticos de APT
El equipo de Kaspersky Cyber Threat Intelligence ha revelado información crucial sobre las tácticas, técnicas y procedimientos (TTP) empleados por los grupos asiáticos de amenazas persistentes avanzadas (APT).
El informe documenta los TTP utilizados por los grupos APT en varias etapas del proceso de ciberataque y ofrece recomendaciones esenciales para combatir estas amenazas.
Uno de los hallazgos clave de la investigación es que las APT asiáticas no muestran sesgos regionales en la selección de objetivos, lo que indica su capacidad para emplear tácticas consistentes en todo el mundo.
Estos atacantes son expertos en combinar técnicas, en particular “Crear o modificar proceso del sistema: servicio técnico de Windows T1543.003” y “Flujo de ejecución de secuestro: carga lateral de DLL T1574.002”, lo que les permite escalar privilegios y evadir la detección.
El objetivo principal de estos grupos asiáticos de APT es el ciberespionaje, con un fuerte énfasis en recopilar información confidencial y canalizarla hacia servicios legítimos en la nube o entes externos. Sin embargo, el informe también destaca casos raros en los que estos grupos se desvían de este patrón, como por ejemplo empleando ransomware en sus ataques.
Las industrias a las que se dirigen con mayor frecuencia estos grupos de APT incluyen los sectores gubernamental, industrial, sanitario, de TI, agrícola y energético. Kaspersky dijo que el análisis de los TTP empleados por estos atacantes ha llevado a la creación de reglas SIGMA específicas.
Para más información sobre este reporte visitar este enlace.
Botnet OrackeIV una amenaza DDoS a través de una mala configuración de la API de Docker
Investigadores de seguridad han identificado una nueva amenaza dirigida a instancias expuestas públicamente de la API Docker Engine.
En esta campaña, los atacantes aprovechan las configuraciones erróneas para implementar un contenedor Docker malicioso con malware Python compilado como un ejecutable ELF. La herramienta maliciosa, que funciona como un agente bot de denegación de servicio distribuido (DDoS).
La novedosa campaña descubierta por los expertos en seguridad involucra a atacantes que inician el acceso con una solicitud HTTP POST a la API de Docker, lo que lleva a la recuperación de un contenedor Docker malicioso de Dockerhub.
Luego el atacante utiliza un usuario de Docker Hub para alojar un contenedor específico diseñado para parecer inofensivo como una imagen de MySQL para Docker.
OracleIV demuestra que los atacantes todavía tienen la intención de aprovechar implementaciones de API de Docker Engine mal configuradas como medio de acceso inicial para una variedad de campañas.
Desmantelan botnet IPStorm con 23.000 proxies para tráfico malicioso
El Departamento de Justicia de EE. UU. anunció hoy que la Oficina Federal de Investigaciones desmanteló la red y la infraestructura de un servicio proxy de botnet llamado IPStorm.
IPStorm permitió a los ciberdelincuentes ejecutar tráfico malicioso de forma anónima a través de dispositivos Windows, Linux, Mac y Android en todo el mundo.
El anuncio del Departamento de Justicia describe IPStorm como una botnet proxy que permite a ciberdelincuentes, estafadores y otros evadir bloqueos y permanecer en el anonimato canalizando su tráfico a través de miles de dispositivos comprometidos en los hogares u oficinas de las personas.
Además de convertirse, sin saberlo e involuntariamente, en facilitadores de delitos cibernéticos, las víctimas de IPStorm sufrieron las consecuencias de que actores maliciosos secuestraran el ancho de banda de su red y corrían el riesgo de recibir cargas útiles más peligrosas en cualquier momento.
Error del complemento WP Fastest Cache expone 600.000 sitios de WordPress a ataques
El complemento de WordPress WP Fastest Cache es vulnerable a una vulnerabilidad de inyección SQL que podría permitir a atacantes no autenticados leer el contenido de la base de datos del sitio.
El equipo WPScan de Automattic reveló los detalles de una vulnerabilidad de inyección SQL, rastreada como CVE-2023-6063 y con una puntuación de alta gravedad de 8,6, que afecta a todas las versiones del complemento anteriores a la 1.2.2.
WP Fastest Cache es un complemento de almacenamiento en caché que se utiliza para acelerar la carga de páginas, mejorar la experiencia de los visitantes y mejorar la clasificación del sitio en la búsqueda de Google. Según las estadísticas de WordPress.org, es utilizado por más de un millón de sitios .
Las estadísticas de descarga de WordPress.org muestran que más de 600.000 sitios web todavía ejecutan una versión vulnerable del complemento y están expuestos a posibles ataques.
Patch Day SAP – Noviembre 2023
En el martes de parches SAP de noviembre 2023, se publicaron 3 nuevos avisos de seguridad para los productos SAP, los que contemplan 3 vulnerabilidades: 1 de severidad Hot News y 2 de severidad Media.
Esta publicación contempla 3 actualizaciones que ya fueron abordadas anteriormente, las que corresponden a: CVE-2023-40309, CVE-2023-42477, Note# 2494184.
Para mayor información visitar: Patch Day SAP – Noviembre 2023
Patch Tuesday Microsoft de noviembre, corrige 58 vulnerabilidades
En su actualización programada para el martes de parches de noviembre de 2023, Microsoft informó 58 correcciones de seguridad. Entre ellas hay 5 Zero Day de las cuales 3 han sido explotadas activamente.
Del total de vulnerabilidades, 3 fueron catalogadas de severidad Crítica y 55 son catalogadas como Importantes. Adicionalmente existen 20 vulnerabilidades de Microsoft Edge (Chromium-based) que no están consideradas en este conteo.
Las vulnerabilidades se pueden clasificar de la siguiente forma:
Para mayor información visitar: Patch Tuesday Microsoft de noviembre, corrige 58 vulnerabilidades.
Fortinet publica nuevas vulnerabilidades en sus productos
Fortinet ha publicado 20 nuevos avisos de seguridad que contemplan 21 vulnerabilidades de las cuales 2 son de severidad Crítica, 8 de severidad Alta, 10 de severidad Media y 1 de severidad Baja, estas vulnerabilidades afectan a los siguientes productos:
Para mayor información visitar: Fortinet publica nuevas vulnerabilidades en sus productos
Vulnerabilidad afecta a VMware Cloud Director
VMware ha publicado 1 nuevo aviso de seguridad que contempla 1 vulnerabilidad de severidad Crítica, la cual afecta al VCD Appliance.
Para mayor información visitar: Vulnerabilidad afecta a VMware Cloud Director
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 20 al 26 de noviembre de 2023:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
APT29 | - |
hash | f78ee3005ca9f0e78a9dd136fc6... |
hash | 5d6bfb8fd1102273ef489060219... |
hash | eec902a61886198a8e48ac862fa... |
url | http://d287-206-123-149-139... |
dominio | d287-206-123-149-139[.]ngro... |
OracleIV | - |
hash | 5a76c55342173cbce7d1638caf2... |
hash | 20a0864cb7dac55c184bd86e45a... |
hash | 776c6ef3e9e74719948bdc15067... |
IP | 46.166.185.231 |