ENTEL Weekly Threat Intelligence Brief del 05 al 11 de febrero de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Pagos de ransomware alcanzaron un récord de 1.100 millones de dólares en 2023
• Se cancelan funerales debido a un ataque de ransomware en ciudad austriaca
• El nuevo malware RustDoor para macOS se hace pasar por la actualización de Visual Studio
• Nuevo malware 'Coyote' comienza búsqueda de credenciales de 61 aplicaciones bancarias
• Ciberactores de origen chino infectan red militar holandesa con malware
• Actores patrocinados por el Estado chino comprometieron y mantuvieron un acceso persistente a la infraestructura crítica de EE. UU. durante cinco años
• Nuevas vulnerabilidades Críticas de Fortinet activamente explotadas
• Vulnerabilidades presentes en Cisco Expressway
• Productos de VMware afectados por vulnerabilidades
• Nuevo zero-day de Ivanti SSRF ahora está bajo explotación masiva

Pagos de ransomware alcanzaron un récord de 1.100 millones de dólares en 2023

En 2023, los pagos por ransomware escalaron a un récord de $1.1 mil millones, superando las cifras previas y marcando un aumento significativo respecto al año anterior. Este incremento se debe, en parte, a ataques más dirigidos y sofisticados hacia entidades críticas, así como a una notable campaña masiva que impactó a numerosas organizaciones.

Grupos destacados como ALPHV/Blackcat, Clop, Lockbit entre otros, fueron responsables de una parte considerable de esta actividad, empleando tácticas como el "big game hunting" que busca extorsionar grandes sumas de dinero a través del secuestro digital de información vital.

Estos eventos subrayan la creciente audacia y capacidad de adaptación de los actores de amenazas, quienes continúan evolucionando sus métodos para eludir las defensas de seguridad y maximizar sus ganancias ilícitas. Dado lo anterior es urgente fortalecer las estrategias de ciberseguridad y concienciar sobre la importancia de las prácticas de prevención y respuesta ante estos delitos cibernéticos.

Se cancelan funerales debido a un ataque de ransomware en ciudad austriaca

Recientemente, Korneuburg, una localidad austriaca, experimentó un paralizante ataque de ransomware. Este ciberataque cifró datos críticos del ayuntamiento, incluidos los sistemas de respaldo, obstaculizando significativamente las operaciones municipales y afectando servicios esenciales, como la emisión de certificados de defunción, lo que llevó a la cancelación de funerales.

El ataque reveló vulnerabilidades significativas en la infraestructura de TI del municipio, donde incluso los sistemas de respaldo no pudieron resistir el embate del ransomware. La decisión del municipio de no acceder a las demandas de rescate destaca una postura firme contra la extorsión cibernética, pero también subraya la necesidad de estrategias de recuperación más robustas. Este incidente no solo afectó las operaciones administrativas rutinarias, como la emisión de documentos oficiales, sino que también tuvo un impacto directo y profundamente personal en la vida de los residentes, especialmente aquellos que se vieron obligados a posponer los rituales de despedida de sus seres queridos.

El ataque de ransomware en Korneuburg sirve como un recordatorio sombrío de la creciente amenaza de la ciberdelincuencia en la era digital. Este incidente subraya la urgencia de adoptar prácticas de ciberseguridad más avanzadas y preparar planes de respuesta a incidentes para proteger las infraestructuras críticas y mantener la continuidad de los servicios esenciales.

Ciberactores de origen chino infectan red militar holandesa con malware

Un grupo de ciberactores chinos logró infiltrarse en la red del Ministerio de Defensa de los Países Bajos, utilizando malware avanzado. El ataque se caracterizó por el uso de una nueva cepa de malware, conocida como Coathanger, diseñada para comprometer dispositivos de seguridad de red específicos. 

Este enfoque indica un alto grado de preparación y conocimiento específico del entorno de la red objetivo, sugiriendo una operación de espionaje bien planificada y dirigida. A pesar de la gravedad del ataque, el daño se mantuvo limitado gracias a la efectiva segmentación de la red del Ministerio, una práctica de seguridad que evitó una propagación más amplia del malware. 

Este incidente es parte de una campaña más extensa de espionaje político y militar, reflejando las complejas dinámicas de poder y la importancia de la información en las relaciones internacionales.  Resalta la necesidad de vigilancia constante, actualizaciones de seguridad proactivas y una cooperación internacional más estrecha para prevenir y responder a los ataques cibernéticos patrocinados por estados.

Actores patrocinados por el Estado chino comprometieron y mantuvieron un acceso persistente a la infraestructura crítica de EE. UU. durante cinco años

CISA junto con la NSA y el FBI, ha emitido una alerta crítica sobre la infiltración de infraestructuras esenciales en EE. UU. por actores cibernéticos respaldados por China. La advertencia se centra en la vulneración sistemática de sectores clave como Comunicaciones, Energía, Transporte, y Sistemas de Agua y Aguas Residuales. 

Estos ataques no solo buscan recopilar inteligencia, sino también preparar el escenario para futuras ofensivas que podrían ser disruptivas o incluso destructivas. La naturaleza de estas incursiones sugiere una estrategia a largo plazo, con los actores comprometiendo dispositivos de red para mantener un acceso persistente a los sistemas afectados. Esta táctica permite una amplia gama de posibilidades para la explotación, desde la interrupción de servicios críticos hasta la obtención de información sensible que podría ser utilizada en operaciones de espionaje o acciones más agresivas. 

CISA ha proporcionado una serie de recomendaciones detalladas para mitigar estos riesgos. Estas incluyen la adopción de un enfoque de defensa en profundidad, la actualización y el parcheo oportuno de sistemas, la implementación de medidas de detección de intrusiones y la capacitación de personal en prácticas de ciberseguridad. Estas acciones son cruciales para fortalecer la resiliencia de las infraestructuras críticas contra tales amenazas.

El nuevo malware RustDoor para macOS se hace pasar por la actualización de Visual Studio

Se ha descubierto un nuevo malware denominado RustDoor en macOS, que se camufla como una actualización de Visual Studio. Este software malicioso, vinculado a la banda de ransomware ALPHV/BlackCat, pone de manifiesto vulnerabilidades significativas en la seguridad de macOS, engañando a los usuarios para que concedan acceso no autorizado a sus sistemas.

RustDoor se presenta a los usuarios bajo la apariencia de un actualizador legítimo de Visual Studio for Mac, aprovechando la confianza en las actualizaciones de software para infiltrarse en los sistemas. Una vez instalado, el malware establece un backdoor, permitiendo a los atacantes un control remoto sobre el dispositivo infectado, lo que potencialmente puede llevar a la exfiltración de datos sensibles, espionaje y la instalación de software dañino adicional. 

La sofisticación de RustDoor reside en su capacidad para eludir las medidas de seguridad convencionales, utilizando técnicas avanzadas de persistencia y ocultación para evitar su detección.

El surgimiento de RustDoor en macOS reitera la continua evolución de las amenazas de ciberseguridad y la necesidad de mantenerse al día con las prácticas de seguridad digital. Este caso enfatiza la importancia de verificar la autenticidad de las actualizaciones de software y de adoptar un enfoque proactivo para proteger los sistemas y datos personales.

Nuevo malware 'Coyote' comienza búsqueda de credenciales de 61 aplicaciones bancarias

Se ha descubierto Coyote, un nuevo troyano bancario que utiliza técnicas sofisticadas y lenguajes de programación poco comunes para atacar principalmente a usuarios de instituciones financieras en Brasil. Hasta ahora, en sus ataques, Coyote se comporta como cualquier otro troyano bancario moderno: cuando se activa una aplicación compatible en una máquina infectada, el malware hace ping a un servidor de comando y control (C2) controlado por el atacante y muestra una superposición de phishing adecuada en la computadora de la víctima. pantalla para capturar la información de inicio de sesión de un usuario. Sin embargo, Coyote se destaca más por cómo combate posibles detecciones.

Coyote, al destacar por su complejidad y por el abuso del instalador Squirrel, demuestra un nivel avanzado de amenaza y la adaptabilidad de los ciberdelincuentes a las herramientas de desarrollo modernas. Puede que por ahora sea una amenaza para los consumidores centrada en Brasil, pero como se mencionó, hay razones claras para que las organizaciones de LATAM estén conscientes de Coyote.

Nuevas vulnerabilidades Críticas de Fortinet activamente explotadas

Fortinet ha publicado 7 avisos de seguridad que contempla 7 vulnerabilidades. De estas, 2 son clasificadas como severidad Crítica, 1 de severidad Alta y 4 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos:

• FortiOS
• FortiClientEMS
• FortiManager
• FortiAnalyzer-BigData
• FortiAnalyzer
• FortiNAC
• FortiProxy

Entre estas se destacan las dos vulnerabilidades críticas de RCE CVE-2024-23113 y CVE-2024-21762 las cuales afectan a diferentes versiones de FortiOS, adicionalmente CISA ha confirmado la explotación de la vulnerabilidad CVE-2024-21762 agregandola a su catálogo de vulnerabilidades explotadas conocidas.

Se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

Vulnerabilidades presentes en Cisco Expressway

Cisco ha publicado 1 aviso de seguridad que contempla 3 vulnerabilidades. De estas, 2 son clasificadas como severidad Crítica y 1 de severidad Alta. Dichas vulnerabilidades afectan a Cisco Expressway.

• CVE-2024-20252, CVE-2024-20254 [CVSSv3.0: 9.6]
  Vulnerabilidades de falsificación de solicitudes entre sitios de la serie Cisco Expressway
  Dos vulnerabilidades en la API de los dispositivos Cisco Expressway Series, podrían permitir que un atacante remoto no autenticado realice ataques CSRF en un sistema afectado.
• CVE-2024-20255 [CVSSv3.0: 8.2]
  Vulnerabilidad de falsificación de solicitudes entre sitios de la serie Cisco Expressway
  Una vulnerabilidad en la API de la serie Cisco Expressway podría permitir que un atacante remoto no autenticado lleve a cabo un ataque CSRF en un sistema afectado.

Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1846/ 

Productos de VMware afectados por vulnerabilidades

VMware ha publicado 1 aviso de seguridad que contempla 5 vulnerabilidades. De estas, 1 es clasificada como severidad Alta y 4 de severidad Media. Dichas vulnerabilidades afectan a Aria Operations for Networks.

• CVE-2024-22237  [CVSSv3.0: 7.8]
  Vulnerabilidad de escalada de privilegios local
  Un usuario de consola con acceso a Aria Operations for Networks puede aprovechar esta vulnerabilidad para escalar privilegios y obtener acceso como root al  sistema.

Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1845/

Nuevo zero-day de Ivanti SSRF ahora está bajo explotación masiva

Una vulnerabilidad de server-side request forgery (SSRF) de Ivanti Connect Secure e Ivanti Policy Secure rastreada como CVE-2024-21893 se encuentra actualmente bajo explotación masiva por parte de múltiples atacantes.

Ivanti advirtió por primera vez sobre la falla en los componentes SAML de la puerta de enlace el 31 de enero de 2024, otorgándole un estado de día cero para explotación activa limitada, lo que afectó a una pequeña cantidad de clientes. La explotación de CVE-2024-21893 permitió a los atacantes eludir la autenticación y acceder a recursos restringidos en dispositivos vulnerables (versiones 9.x y 22.x).

El servicio de monitoreo de amenazas Shadowserver ahora está viendo cómo múltiples atacantes aprovechan el error SSRF, con 170 direcciones IP distintas intentando explotar la falla. El volumen de explotación de esta vulnerabilidad en particular es mucho mayor que el de otras fallas de Ivanti corregidas o mitigadas recientemente, lo que indica un claro cambio en el enfoque de los atacantes.

Debido a la situación con la explotación activa de múltiples vulnerabilidades críticas de día cero, la falta de mitigaciones efectivas y la falta de actualizaciones de seguridad para algunas de las versiones de productos afectadas, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha ordenado a las agencias federales que desconecten todas Dispositivos VPN Ivanti Connect Secure y Policy Secure.

Sólo los dispositivos que hayan sido restablecidos de fábrica y actualizados a la última versión de firmware deben volver a conectarse a la red. Sin embargo, las versiones anteriores que siguen afectadas todavía no tienen parche.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 12 al 18 de febrero de 2024:

Objetivos observados durante semana de análisis: 

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Educación
   

• Infraestructura tecnológica - Componentes
• Turismo, hoteles y restaurantes
   

• Retail y servicios de consumo
• Servicios de salud, sociales y farmacia
• Shipment y cadena de suministros
• Petróleo
• Servicios básicos y sanitarios
   

• Servicios legales y profesionales
• Entretenimiento, cultura y arte
• Defensa y orden público
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Agricultura, ganadería, silvicultura y pesca - consumo
   

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.