ENTEL Weekly Threat Intelligence Brief del 15 al 21 de enero de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ciberactores abusan de TeamViewer para afectar redes en nuevos ataques de ransomware
• Empresa taiwanesa de semiconductores afectada por un ataque de ransomware
• Ataque de ransomware Tietoevry provoca interrupciones en empresas y ciudades suecas
• Anonymous Sudán se atribuye el ataque a la central de Internet de Londres por los ataques en Yemen
• NoName apunta a múltiples sitios web en Lituania y lo culpa por ayudar a Ucrania
• El malware Inferno, disfrazado de Coinbase, extrajo 87 millones de dólares de 137.000 víctimas
• Resurgimiento del malware Azorult
• Cuentas de Payoneer en Argentina hackeadas en ataques de bypass 2FA
• Oracle critical Patch Update de enero 2024 corrige 389 fallas de seguridad
• Vulnerabilidad crítica afecta a VMware
• Aviso de seguridad para productos Citrix

Ciberactores abusan de TeamViewer para afectar redes en nuevos ataques de ransomware

Los actores de ransomware están utilizando TeamViewer para acceder inicialmente a los sistemas de las organizaciones y tratar de desplegar cifradores basados en el constructor de ransomware LockBit filtrado. 

Este método no es nuevo y se ha observado desde 2016. Los atacantes no explotan una vulnerabilidad en TeamViewer, sino que usan credenciales de usuario filtradas para acceder. 

En los casos recientes, se encontró que los atacantes intentaron desplegar el payload de ransomware usando un archivo de lote DOS (PP[.]bat) que ejecutaba un archivo DLL. Aunque los ataques fueron contenidos en un caso y bloqueados por antivirus en otro, se destaca la similitud con los cifradores LockBit creados con el constructor filtrado LockBit Black. TeamViewer enfatiza la importancia de mantener prácticas de seguridad sólidas para prevenir accesos no autorizados.

Empresa taiwanesa de semiconductores afectada por un ataque de ransomware

La empresa taiwanesa de semiconductores Foxsemicon ha sido víctima de un ataque de ransomware presuntamente perpetrado por el grupo LockBit. Los hackers amenazaron con publicar datos personales de clientes de Foxsemicon en su sitio de la darknet si no se paga el rescate. 

Aunque normalmente LockBit publica los nombres de las víctimas en su sitio web de extorsión, en este caso, defacearon la página web de la empresa. Tras el ataque, Foxsemicon recuperó rápidamente su sitio web y aseguró que el incidente no afectaría significativamente sus operaciones. 

No se ha revelado la cantidad de rescate demandada ni si se filtró información personal. El aumento de ciberataques en Taiwán se ha relacionado con las recientes elecciones presidenciales y las tensiones con China, aunque LockBit, que se cree está detrás del ataque, no tiene motivaciones políticas y probablemente fue impulsado por motivos financieros.

Ataque de ransomware Tietoevry provoca interrupciones en empresas y ciudades suecas

El ataque de ransomware a Tietoevry, un importante proveedor finlandés de servicios de TI y hosting en la nube, ha provocado interrupciones significativas en varias empresas y ciudades suecas. 

Este ataque, atribuido al grupo de ransomware Akira, afectó principalmente a un centro de datos en Suecia, lo que resultó en la afectación de los servicios de Tietoevry a ciertos clientes. La compañía ha respondido aislando la plataforma afectada y trabajando en la restauración de la infraestructura y servicios. 

Entre los afectados se encuentran la cadena de cines Filmstaden y la tienda de descuentos Rusta. Además, el ataque interrumpió el sistema de nómina y recursos humanos Primula, utilizado por el gobierno y universidades suecas.

Anonymous Sudán se atribuye el ataque a la central de Internet de Londres por los ataques en Yemen

El grupo hacktivista pro-Rusia Anonymous Sudán se ha atribuido un ataque cibernético contra el London Internet Exchange (LINX) a través de su canal de Telegram.  London Internet Exchange (LINX) es un punto de intercambio de Internet (IXP) gobernado mutuamente con sede en Londres, Reino Unido. Proporciona servicios de peering (conexión directa, intercambio de tráfico o emparejamiento) y representación de políticas públicas a operadores de redes dentro y fuera del Reino Unido.

Este ataque se presenta como respuesta al apoyo del Reino Unido a Israel y a los ataques aéreos en Yemen. A pesar de que el grupo ha amenazado con realizar más ataques cibernéticos importantes contra el Reino Unido, la autenticidad de estas afirmaciones aún no ha sido confirmada. Además, Anonymous Sudán es conocido por sus ataques DDoS a grupos anti-rusos y anti-musulmanes, y ha realizado ataques frecuentes recientemente. 

En noviembre de 2023, el mismo grupo también se atribuyó la responsabilidad de los ataques DDoS a ChatGPT y provocó interrupciones en el servicio. Anteriormente estuvieron involucrados en ataques cibernéticos a la suite ofimática insignia de Microsoft, incluidas aplicaciones populares como Outlook y OneDrive, así como a su plataforma de computación en la nube Azure en junio de 2023 .

NoName apunta a múltiples sitios web en Lituania y lo culpa por ayudar a Ucrania

Un grupo de ciberdelincuentes conocido como "NoName" ha lanzado un ciberataque contra varias organizaciones provenientes de Lituania, incluyendo Compensa Vienna Insurance Group, If Insurance, Lithuanian Roads Association, AD REM, INIT y Balticum. Estos ataques han resultado en la inaccesibilidad de varios sitios web importantes, presentando mensajes de error que sugieren problemas relacionados con la conectividad a internet y los tiempos de respuesta de los servidores.

Los actores de la amenaza han publicado mensajes que indican la severidad del ciberataque en los sitios web lituanos. Una característica inquietante de este ataque es que los ciberdelincuentes han publicado reclamos de haber enviado "misiles DDoS a sitios" y han condenado al embajador de Lituania, Valdemaras Sarapinas, por su apoyo a Ucrania en el conflicto en curso entre Rusia y Ucrania. Esto destaca los motivos geopolíticos detrás del ataque, vinculándolo al fuerte apoyo de Lituania a Ucrania.

Varios de los sitios web atacados mostraron mensajes de error como "tardó demasiado en responder", lo que podría ser el resultado de un ataque de denegación de servicio distribuido (DDoS). Los ataques DDoS abruman a los sitios web con tráfico excesivo, causando que los servidores tengan dificultades para manejar las solicitudes. Esto lleva a retrasos en el procesamiento de solicitudes legítimas de los usuarios, lo que resulta en tiempos de respuesta lentos o tiempos de espera excesivos del servidor.

Lituania ha sido un fuerte partidario de Ucrania en el conflicto, clasificándose primero en términos del volumen de apoyo en relación con su economía. Según el Instituto Alemán de Economía Mundial de Kiel, Lituania proporcionó apoyo a Ucrania equivalente al 1.8% de su PIB.

El malware Inferno, disfrazado de Coinbase, extrajo 87 millones de dólares de 137.000 víctimas

El malware Inferno, descrito en un informe reciente de Group-IB, ha causado estragos al hacerse pasar por la plataforma de intercambio de criptomonedas Coinbase. Este malware, activo entre noviembre de 2022 y noviembre de 2023, ha defraudado aproximadamente $87 millones de dólares y a más de 137.000 víctimas. Los operadores de Inferno establecieron más de 16.000 dominios maliciosos, lo que demuestra la escala y la complejidad de esta operación de ciberdelincuencia.

Inferno se especializó en estafas de criptomonedas a través de páginas de phishing altamente convincentes, que imitaban la interfaz de usuario de Coinbase. Las víctimas eran engañadas para conectar sus billeteras de criptomonedas a estos sitios falsos, lo que permitía a los atacantes drenar sus fondos. Los delincuentes usaron técnicas avanzadas para imitar los protocolos Web3 y engañar a los usuarios para que autorizaran transacciones fraudulentas.

Este ataque no solo resultó en pérdidas financieras significativas para las víctimas sino que también subraya la vulnerabilidad de los usuarios de criptomonedas frente a estafas sofisticadas. El malware Inferno forma parte de un fenómeno más amplio de servicios de drainer-as-a-service (DaaS), donde los delincuentes ofrecen sus herramientas a otros ciberdelincuentes a cambio de un porcentaje de las ganancias.

Con el cierre de servicios similares como Monkey Drainer en marzo de 2023, Inferno ganó notoriedad en el espacio de las criptomonedas. El informe sugiere que, dada la eficacia de estos ataques, es probable que surjan nuevos “drainer” y aumenten los ataques que imitan protocolos Web3. El año 2024 podría marcar un aumento en la prevalencia de este tipo de ciberdelitos.
 

Resurgimiento del malware Azorult

Azorult, un malware identificado por primera vez en 2016, ha resurgido en la web oscura, mostrando un enfoque renovado y sofisticado. Funcionando tanto como ladrón de información como descargador de amenazas adicionales, este malware ha sido una amenaza persistente y formidable en el robo de datos sensibles, como historiales de navegación, credenciales de inicio de sesión y detalles de criptomonedas.

CRIL recientemente descubrió múltiples archivos PDF que llevan a un payload final de Azorult. Este informe revela las técnicas, características, cadena de infección y métodos evasivos utilizados por los ladrones de información. El vector de ataque inicial involucra un archivo zip que contiene un archivo de acceso directo malicioso disfrazado de documento PDF.

La campaña de Azorult sigue una meticulosa cadena de infección en múltiples etapas, orquestada con precisión para evitar la detección. El archivo de acceso directo malicioso, al ejecutarse, descarga y ejecuta un archivo batch a través del programador de tareas. Las etapas subsiguientes incluyen la descarga de un cargador adicional de un servidor remoto, la inyección de shellcode en la memoria y, finalmente, la ejecución del malware Azorult. Significativamente, todas las etapas ocurren dentro de la memoria del sistema, sin dejar rastros en el disco y evadiendo efectivamente la detección.

Los scripts de PowerShell involucrados en la campaña descargan cargadores auxiliares, identifican dinámicamente campos específicos dentro de los ensamblajes y ejecutan un cargador responsable de obtener datos de configuración de un servidor de comando y control. La complejidad de la campaña radica en su capacidad para adaptarse dinámicamente, lo que hace que su análisis y detección sean desafiantes.

El ejecutable del cargador, conocido como "helper[.]exe", realiza varias comprobaciones para asegurarse de que opera en un entorno legítimo. Los controles de código de idioma y las verificaciones de entorno virtual contribuyen a las capacidades de evasión del cargador. El payload final, un ejecutable de Azorult [.]Net de 32 bits, muestra una variedad de actividades maliciosas. Estas incluyen la generación de claves criptográficas, la realización de controles del sistema y el ataque a carteras de criptomonedas, navegadores y diversas aplicaciones. Azorult va más allá del robo de datos al efectuar capturas de pantalla del sistema, creando un perfil completo del sistema comprometido.

El resurgimiento del malware Azorult en esta compleja campaña destaca la amenaza continua que representa para la ciberseguridad. Con su capacidad para adaptarse, emplear técnicas de ofuscación y ejecutarse completamente dentro de la memoria del sistema, Azorult sigue siendo un adversario formidable.
 

Cuentas de Payoneer en Argentina hackeadas en ataques de bypass 2FA

Numerosos usuarios de Payoneer en Argentina despertaron descubriendo que sus cuentas, protegidas con autenticación de dos factores (2FA), habían sido hackeadas y sus fondos robados. Este incidente ha generado una considerable alarma, ya que Payoneer es una plataforma de servicios financieros que proporciona transferencia de dinero en línea y servicios de pago digital, muy popular en Argentina por permitir a las personas ganar en divisas extranjeras, eludiendo las regulaciones bancarias locales.

El ataque comenzó el fin de semana del 13 de enero de 2023, cuando muchos usuarios de Payoneer en Argentina, cuyas cuentas estaban protegidas por 2FA, informaron haber perdido el acceso a sus cuentas o haber encontrado sus billeteras vacías. Las pérdidas reportadas varían entre $5,000 y $60,000 dólares. Los usuarios afectados recibieron SMS solicitando la aprobación de un restablecimiento de contraseña en Payoneer, que no autorizaron. Muchos indicaron que no hicieron clic en los enlaces URL y algunos ni siquiera vieron los SMS hasta después de que se completara el robo.

Se ha planteado la sospecha de que una reciente filtración de datos de Movistar pueda estar detrás de los ataques a las cuentas, aunque esta filtración no expuso las direcciones de correo electrónico necesarias para restablecer las contraseñas en Payoneer. Otra teoría sugiere que el proveedor de SMS utilizado para entregar los códigos OTP fue vulnerado, permitiendo a los actores de amenazas acceder a los códigos enviados por Payoneer.

Payoneer ha culpado a los usuarios, alegando que hicieron clic en enlaces de SMS de phishing y luego ingresaron sus datos de inicio de sesión en páginas de phishing. Sin embargo, muchos afectados por los hackeos afirman que no hicieron clic en enlaces de phishing, acusando a Payoneer de intentar desviar la responsabilidad y no reconocer un posible error o vulnerabilidad dentro de la plataforma.

El mecanismo exacto del ataque sigue sin estar claro, con varias hipótesis en juego. La debilidad significativa en el sistema de Payoneer es su dependencia de la 2FA basada en SMS, exacerbada por el proceso de recuperación de contraseña de la plataforma, que solo requiere un código SMS. Hasta que se aclare la situación sobre quién es responsable y qué sucedió exactamente, se aconseja a los usuarios de Payoneer en Argentina que retiren los fondos de sus cuentas o desactiven la 2FA basada en SMS y restablezcan la contraseña de su cuenta.

Oracle critical Patch Update de enero 2024 corrige 389 fallas de seguridad

En el aviso de actualización de parches críticos de Enero 2024 se reportaron 389 correcciones para fallas de seguridad, de las cuales hay 37 se clasifican de severidad Crítica, 192 de severidad Alta, 141 de severidad Media y finalmente 19 de severidad Baja.

Nota de Oracle:

Oracle sigue recibiendo periódicamente informes de intentos de explotar vulnerabilidades de forma malintencionada para estos, Oracle ya ha publicado parches de seguridad. En algunos casos, se informó que los atacantes tuvieron éxito porque los clientes objetivo no aplicaron los parches de seguridad disponibles. Por lo tanto, Oracle recomienda encarecidamente que los clientes permanezcan en las versiones con soporte activo y apliquen los parches de seguridad Critical Patch Update a la brevedad.

Las vulnerabilidades de seguridad mostradas en esta actualización de parche crítico y los productos afectados que en ella se describen, se encuentran enumerados y descritos en la documentación del mes de enero 2024 de avisos de actualización de parches críticos que anexamos en el siguiente Link.

Vulnerabilidad crítica afecta a VMware

VMware ha publicado 1 aviso de seguridad que contempla una vulnerabilidad de severidad Crítica, la cual afecta a :

• VMware Aria Automation (anteriormente vRealize Automation)
• VMware Cloud Foundation (Aria Automation)

Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1827/

Aviso de seguridad para productos Citrix

Citrix ha publicado 3 avisos de seguridad que contemplan 4 vulnerabilidades, las cuales se clasifican en 1 de severidad Alta y 3 de severidad Media, las cuales afectan a productos como:

• NetScaler ADC
• NetScaler Gateway
• Citrix Virtual Apps and Desktops
• Citrix StoreFront

Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1826/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 22 al 28 de enero de 2024:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Infraestructura tecnológica - Componentes
• Educación

• Transportes y servicios automotrices.
• Servicios de salud, sociales y farmacia
• Servicios básicos y sanitarios

• Entretenimiento, cultura y arte
• Defensa y orden público
• Shipment y cadena de suministros
• Gobierno
• Organizaciones sin fines de lucro
• Turismo, hoteles y restaurantes

• Servicios empresariales y comercio
• Agricultura, ganadería, silvicultura y pesca - producción
• Petróleo
• Agricultura, ganadería, silvicultura y pesca - consumo
   

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.