ENTEL Weekly Threat Intelligence Brief del 18 al 25 de diciembre de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• El gigante tecnológico indio HCL investiga un ataque de ransomware
• Fuerzas del orden interrumpen operaciones de Alphv
• Hospital de Kansas City transfiere pacientes y reprograma citas después de un ciberataque
• Nueva campaña de inyecciones web roba datos bancarios de 50.000 personas
• Ciberactores atacan a las empresas de defensa con el nuevo malware FalseFont
• Troyano bancario Chameleon de Android ahora puede eludir cualquier autenticación biométrica
• Hacktivistas ucranianos reivindican un ataque contra un popular proveedor ruso de CRM
• Irán sufre un importante ciberataque dirigido al suministro de combustible del país
• Google lanza parches para nuevo dia cero activamente explotado
• Ivanti lanza parches para 13 fallas críticas de Avalanche RCE

El gigante tecnológico indio HCL investiga un ataque de ransomware

La empresa india de tecnología de la información HCL Technologies informó el miércoles 20 de diciembre a los reguladores de un ataque de ransomware y dijo que está investigando el incidente.

En una presentación ante la Bolsa Nacional de Valores de la India, la compañía dijo que "se ha enterado de un incidente de ransomware en un entorno de nube aislado para uno de sus proyectos".

HCL Technologies, con sede en Noida, es una de las empresas de tecnología más grandes del mundo con más de 225.000 empleados repartidos en 52 países. La compañía reportó ingresos de 13 mil millones de dólares para el año 2023. Las acciones de HCL Technologies cayeron un 3,24% el miércoles pasado.

Aún no hay certezas de que ransomware afectó a la organización y se está a la espera que finalicen las investigaciones.

Fuerzas del orden interrumpen operaciones de Alphv

Durante el día 19 de diciembre de 2023, las fuerzas del orden de Estados Unidos han comunicado la interrupción contra el grupo de ransomware BlackCat, también conocido como ALPHV. En el comunicado emitido por el Departamento de justicia indican que el FBI creó un descifrador que ayudaría a aproximadamente 500 empresas a recuperar sus datos sin pagarle a los ciberactores.

El FBI obtuvo acceso a la infraestructura de Blackcat gracias a una fuente humana confidencial (CHS) para registrarse y convertirse en afiliado de la operación de ransomware ALPHV/BlackCat, donde estos supervisaron silenciosamente la operación de ransomware durante meses mientras extraían claves de descifrado, las cuales posteriormente permitieron al FBI ayudar a 500 víctimas a recuperar sus datos, ahorrando aproximadamente 68 millones de dólares en rescates.

Adicionalmente, el FBI se apoderó del sitio web después de obtener los pares de claves públicas y privadas para los servicios ocultos de Tor bajo los cuales operaba el sitio web, lo que les permitió tomar control sobre las URL, aunque esto no duraría demasiado ya que el grupo de ransomware lograría recuperar el dominio de su sitio dejando un comunicado donde mencionan que el FBI obtuvo acceso a uno de sus DC (Domain Controler) lo que permitió la interrupción de sus operaciones, también dejan un nuevo link onion al cual los ciberactores se moverían tras el cierre del sitio por el FBI.

Los ciberactores finalizaron su comunicado amenazando a más de 3.000 organizaciones afectadas mencionando que estas no recibirán nunca sus claves de descifrado y que además ya no harán “descuentos” en las demandas de rescate.

Hospital de Kansas City transfiere pacientes y reprograma citas después de un ciberataque

Un hospital cerca de Kansas City, Missouri, está luchando por brindar atención a los pacientes esta semana después de que un ciberataque limitó sus sistemas.

Durante el 20 de diciembre, Liberty Hospital dijo que todavía estaba lidiando con las interrupciones en sus sistemas informáticos que comenzaron el día anterior. Inicialmente, el centro tuvo que trasladar a algunos de sus pacientes a otros hospitales, pero las autoridades dijeron que la situación se había estabilizado.

En su comunicado del martes, el hospital explicó que ha tenido dificultades para documentar la atención al paciente mientras sus sistemas informáticos estaban inactivos. Si bien el hospital no respondió a las solicitudes de comentarios sobre si se trataba de un incidente de ransomware, KMBC informó que los funcionarios del hospital recibieron una nota de rescate,  aunque no se sabe que grupo de ransomware fue el atacante.

Irán sufre un importante ciberataque dirigido al suministro de combustible del país

Las gasolineras en todo Irán cerraron abruptamente el lunes como parte de un aparente ciberataque dirigido al sistema de suministro de combustible del país.

El ataque inutilizó casi el 70% de las gasolineras de todo el país, según los informes, mientras los medios israelíes y la televisión estatal iraní atribuyeron las interrupciones a un ciberataque generalizado.

Un grupo llamado Gonjeshke Darande, también conocido como Predatory Sparrow, se atribuyó la responsabilidad de las interrupciones del servicio en línea y dijo en una serie de publicaciones en las redes sociales que el ciberataque "se llevó a cabo de manera controlada mientras se tomaban medidas para limitar el daño potencial a los servicios de emergencia".

El grupo dijo que "envió advertencias a los servicios de emergencia de todo el país antes de que comenzara la operación" y "se aseguró de que una parte de las gasolineras salieron ilesas por la misma razón".

No hay evidencia que conecte a Predatory Sparrow con ningún gobierno específico, aunque el gran interés del grupo en la infraestructura crítica iraní sugiere un actor con una relación antagónica con Irán.

Hacktivistas ucranianos se adjudican un ataque contra un popular proveedor ruso de CRM

Un grupo de ciberactores ucranianos con motivaciones políticas afirmó haber interrumpido las operaciones de Bitrix24, un proveedor ruso de servicios de gestión de relaciones con los clientes (CRM).

Bitrix24 no ha confirmado oficialmente el incidente, pero su sitio web indica que el miércoles sus servidores en Rusia, Bielorrusia y Kazajstán experimentaron "una falla temporal". La compañía atribuyó la interrupción a problemas de conectividad de la red y dijo que está trabajando para resolver el problema. El estado de disponibilidad del servidor aún no se ha actualizado.

Bitrix24 dice que opera 16 centros de datos en diferentes países, incluidos Alemania y Estados Unidos. Sus servicios parecían estar caídos el jueves sólo en ciertas regiones de Europa del Este. 

El ejército de TI de Ucrania dijo al medio Recorded Future News que afectó a los sistemas de Bitrix24 con un ataque de denegación de servicio distribuido (DDoS). Según los ciberactores, estaba dirigido principalmente a la infraestructura que respalda las operaciones de la empresa, incluidos los centros de datos y los servicios internos.

Bitrix24 es uno de los sistemas CRM más populares para las medianas y pequeñas empresas rusas. Ofrece servicios similares a marcas occidentales como HubSpot y Zoho. En su página de LinkedIn, la compañía afirma que también atiende a clientes de empresas Fortune 500, incluidas Xerox, Samsung, Volkswagen, KIA, Gazprom, Vogue y PC Magazine.

Troyano bancario Chameleon de Android ahora puede eludir cualquier autenticación biométrica

En enero de 2023, el troyano bancario Chameleon surgió como una amenaza importante y empleó varios métodos de distribución para infiltrarse en el ecosistema de Android, centrándose específicamente en los usuarios de Australia y Polonia. Acertadamente llamado " Chameleon ", este troyano muestra su adaptabilidad a través de múltiples comandos nuevos, incluido el análisis de los nombres de los paquetes de aplicaciones. Sus principales objetivos son las aplicaciones de banca móvil, y se distribuyen a través de páginas de phishing disfrazadas de aplicaciones legítimas.

Después de las versiones iniciales en proceso, ha surgido una nueva versión del troyano bancario Chameleon, que conserva características de su predecesor. La nueva variante ha ampliado su región de destino para incluir a usuarios de Android en el Reino Unido (Reino Unido) e Italia .   

Se destacan dos características nuevas en la variante Chameleon actualizada: la capacidad de omitir indicaciones biométricas y la capacidad de mostrar una página HTML para habilitar el servicio de accesibilidad en dispositivos que implementan la función "Configuración restringida" de Android 13.

Estas mejoras elevan la sofisticación y adaptabilidad de la nueva variante Chameleon, convirtiéndola en una amenaza más potente en el panorama en constante evolución de los troyanos bancarios móviles.

Nueva campaña de inyecciones web roba datos bancarios de 50.000 personas

Una nueva campaña de malware que surgió en marzo de 2023 utilizó inyecciones web de JavaScript para intentar robar los datos bancarios de más de 50.000 usuarios de 40 bancos en América del Norte, América del Sur, Europa y Japón.

El equipo de seguridad de IBM descubrió esta amenaza evasiva e informó que la campaña ha estado en preparación desde al menos diciembre de 2022, cuando se compraron los dominios maliciosos.

Los ataques se desarrollaron a través de scripts cargados desde el servidor del atacante, dirigidos a una estructura de página específica común en muchos bancos para interceptar credenciales de usuario y contraseñas de un solo uso (OTP). Al capturar la información anterior, los atacantes pueden iniciar sesión en la cuenta bancaria de la víctima, bloquearla cambiando la configuración de seguridad y realizar transacciones no autorizadas.

El ataque comienza con la infección inicial de malware del dispositivo de la víctima. Una vez que la víctima visita los sitios maliciosos o comprometidos de los atacantes, el malware inyecta una nueva etiqueta de secuencia de comandos con un atributo de fuente ("src") que apunta a una secuencia de comandos alojada externamente.

El script malicioso ofuscado se carga en el navegador de la víctima para modificar el contenido de la página web, capturar las credenciales de inicio de sesión e interceptar códigos de acceso de un solo uso (OTP).

Los investigadores dicen que este paso adicional es inusual, ya que la mayoría del malware realiza inyecciones web directamente en la página web.

Este nuevo enfoque hace que los ataques sean más sigilosos, ya que es poco probable que las comprobaciones de análisis estático marquen el script de carga más simple como malicioso y al mismo tiempo permitan la entrega de contenido dinámico, lo que permite a los atacantes cambiar a nuevas cargas útiles de segunda etapa si es necesario.

También vale la pena señalar que el script malicioso se asemeja a redes de entrega de contenido (CDN) JavaScript legítimas, que utilizan dominios como cdnjs[.]com y unpkg[.]com, para evadir la detección.
 

Ciberactores atacan a las empresas de defensa con el nuevo malware FalseFont

Investigadores de Microsoft dicen que el grupo iraní de ciberespionaje APT33 está utilizando el malware de puerta trasera FalseFont descubierto recientemente para atacar a contratistas de defensa en todo el mundo. Se ha observado que el actor iraní Peach Sandstorm intenta entregar una puerta trasera recientemente desarrollada llamada FalseFont a personas que trabajan para organizaciones en el sector de Base Industrial de Defensa (DIB).

Este grupo, también conocido como Peach Sandstorm, HOLMIUM o Refined Kitten, ha estado activo desde al menos 2013. Sus objetivos abarcan una amplia gama de sectores industriales en los Estados Unidos, Arabia Saudita y Corea del Sur, incluidos el gobierno, la defensa, investigación, finanzas e ingeniería.

FalseFont, la puerta trasera personalizada implementada en la campaña presentada por Microsoft, proporciona a sus operadores acceso remoto a sistemas comprometidos, ejecución de archivos y transferencia de archivos a sus servidores de comando y control (C2).

Google lanza parches para nuevo dia cero activamente explotado

Google ha lanzado actualizaciones de emergencia para abordar una nueva vulnerabilidad de día cero, rastreada como CVE-2023-7024, en su navegador web Chrome. La falla se soluciona con el lanzamiento de la versión 120.0.6099.129 para Mac, Linux y 120.0.6099.129/130 para Windows, que se implementará en los próximos días/semanas.

La vulnerabilidad es un problema de heap buffer overflow en WebRTC. La falla fue reportada por Clément Lecigne y Vlad Stolyarov del Grupo de Análisis de Amenazas de Google el 19 de diciembre de 2023 y se solucionó en solo un día. También google informó que es consciente de que existe un exploit para CVE-2023-7024 pero no informan si esta ha sido explotada.
 

Ivanti lanza parches para 13 fallas críticas de Avalanche RCE

​Ivanti ha publicado actualizaciones de seguridad para corregir 13 vulnerabilidades de seguridad críticas en la solución de gestión de dispositivos móviles (MDM) empresarial Avalanche.

Avalanche permite a los administradores gestionar más de 100.000 dispositivos móviles desde una única ubicación central a través de Internet, implementar software y programar actualizaciones. Como informo Ivanti el miércoles 20 de diciembre, estas fallas de seguridad se deben a la pila WLAvalancheService o a las debilidades de heap buffer overflow informadas por los investigadores de seguridad de Tenable y la Iniciativa de Día Cero de Trend Micro. Los atacantes no autenticados pueden explotarlos en ataques de baja complejidad que no requieren la interacción del usuario para obtener la ejecución remota de código en sistemas sin parches.

Todas las vulnerabilidades de seguridad reveladas se abordaron en Avalanche v6.4.2.313 . Información adicional sobre cómo actualizar su instalación de Avalanche está disponible en el artículo de soporte de Ivanti .

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 26 de diciembre de 2023 al 2 de enero 2024:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Transportes y servicios automotrices
• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Educación

• Banca y Finanzas
• Retail y servicios de consumo

• Infraestructura tecnológica - Componentes
• Organizaciones sin fines de lucro
• Agricultura, ganadería, silvicultura y pesca - producción
• Infraestructura tecnológica

• Shipment y cadena de suministros
• Defensa y orden público
• Gobierno
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Entretenimiento, cultura y arte
• Petróleo
• Servicios básicos y sanitarios
   

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.