El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Pagos de ransomware alcanzaron un récord de 1.100 millones de dólares en 2023
En 2023, los pagos por ransomware escalaron a un récord de $1.1 mil millones, superando las cifras previas y marcando un aumento significativo respecto al año anterior. Este incremento se debe, en parte, a ataques más dirigidos y sofisticados hacia entidades críticas, así como a una notable campaña masiva que impactó a numerosas organizaciones.
Grupos destacados como ALPHV/Blackcat, Clop, Lockbit entre otros, fueron responsables de una parte considerable de esta actividad, empleando tácticas como el "big game hunting" que busca extorsionar grandes sumas de dinero a través del secuestro digital de información vital.
Estos eventos subrayan la creciente audacia y capacidad de adaptación de los actores de amenazas, quienes continúan evolucionando sus métodos para eludir las defensas de seguridad y maximizar sus ganancias ilícitas. Dado lo anterior es urgente fortalecer las estrategias de ciberseguridad y concienciar sobre la importancia de las prácticas de prevención y respuesta ante estos delitos cibernéticos.
Se cancelan funerales debido a un ataque de ransomware en ciudad austriaca
Recientemente, Korneuburg, una localidad austriaca, experimentó un paralizante ataque de ransomware. Este ciberataque cifró datos críticos del ayuntamiento, incluidos los sistemas de respaldo, obstaculizando significativamente las operaciones municipales y afectando servicios esenciales, como la emisión de certificados de defunción, lo que llevó a la cancelación de funerales.
El ataque reveló vulnerabilidades significativas en la infraestructura de TI del municipio, donde incluso los sistemas de respaldo no pudieron resistir el embate del ransomware. La decisión del municipio de no acceder a las demandas de rescate destaca una postura firme contra la extorsión cibernética, pero también subraya la necesidad de estrategias de recuperación más robustas. Este incidente no solo afectó las operaciones administrativas rutinarias, como la emisión de documentos oficiales, sino que también tuvo un impacto directo y profundamente personal en la vida de los residentes, especialmente aquellos que se vieron obligados a posponer los rituales de despedida de sus seres queridos.
El ataque de ransomware en Korneuburg sirve como un recordatorio sombrío de la creciente amenaza de la ciberdelincuencia en la era digital. Este incidente subraya la urgencia de adoptar prácticas de ciberseguridad más avanzadas y preparar planes de respuesta a incidentes para proteger las infraestructuras críticas y mantener la continuidad de los servicios esenciales.
Ciberactores de origen chino infectan red militar holandesa con malware
Un grupo de ciberactores chinos logró infiltrarse en la red del Ministerio de Defensa de los Países Bajos, utilizando malware avanzado. El ataque se caracterizó por el uso de una nueva cepa de malware, conocida como Coathanger, diseñada para comprometer dispositivos de seguridad de red específicos.
Este enfoque indica un alto grado de preparación y conocimiento específico del entorno de la red objetivo, sugiriendo una operación de espionaje bien planificada y dirigida. A pesar de la gravedad del ataque, el daño se mantuvo limitado gracias a la efectiva segmentación de la red del Ministerio, una práctica de seguridad que evitó una propagación más amplia del malware.
Este incidente es parte de una campaña más extensa de espionaje político y militar, reflejando las complejas dinámicas de poder y la importancia de la información en las relaciones internacionales. Resalta la necesidad de vigilancia constante, actualizaciones de seguridad proactivas y una cooperación internacional más estrecha para prevenir y responder a los ataques cibernéticos patrocinados por estados.
Actores patrocinados por el Estado chino comprometieron y mantuvieron un acceso persistente a la infraestructura crítica de EE. UU. durante cinco años
CISA junto con la NSA y el FBI, ha emitido una alerta crítica sobre la infiltración de infraestructuras esenciales en EE. UU. por actores cibernéticos respaldados por China. La advertencia se centra en la vulneración sistemática de sectores clave como Comunicaciones, Energía, Transporte, y Sistemas de Agua y Aguas Residuales.
Estos ataques no solo buscan recopilar inteligencia, sino también preparar el escenario para futuras ofensivas que podrían ser disruptivas o incluso destructivas. La naturaleza de estas incursiones sugiere una estrategia a largo plazo, con los actores comprometiendo dispositivos de red para mantener un acceso persistente a los sistemas afectados. Esta táctica permite una amplia gama de posibilidades para la explotación, desde la interrupción de servicios críticos hasta la obtención de información sensible que podría ser utilizada en operaciones de espionaje o acciones más agresivas.
CISA ha proporcionado una serie de recomendaciones detalladas para mitigar estos riesgos. Estas incluyen la adopción de un enfoque de defensa en profundidad, la actualización y el parcheo oportuno de sistemas, la implementación de medidas de detección de intrusiones y la capacitación de personal en prácticas de ciberseguridad. Estas acciones son cruciales para fortalecer la resiliencia de las infraestructuras críticas contra tales amenazas.
El nuevo malware RustDoor para macOS se hace pasar por la actualización de Visual Studio
Se ha descubierto un nuevo malware denominado RustDoor en macOS, que se camufla como una actualización de Visual Studio. Este software malicioso, vinculado a la banda de ransomware ALPHV/BlackCat, pone de manifiesto vulnerabilidades significativas en la seguridad de macOS, engañando a los usuarios para que concedan acceso no autorizado a sus sistemas.
RustDoor se presenta a los usuarios bajo la apariencia de un actualizador legítimo de Visual Studio for Mac, aprovechando la confianza en las actualizaciones de software para infiltrarse en los sistemas. Una vez instalado, el malware establece un backdoor, permitiendo a los atacantes un control remoto sobre el dispositivo infectado, lo que potencialmente puede llevar a la exfiltración de datos sensibles, espionaje y la instalación de software dañino adicional.
La sofisticación de RustDoor reside en su capacidad para eludir las medidas de seguridad convencionales, utilizando técnicas avanzadas de persistencia y ocultación para evitar su detección.
El surgimiento de RustDoor en macOS reitera la continua evolución de las amenazas de ciberseguridad y la necesidad de mantenerse al día con las prácticas de seguridad digital. Este caso enfatiza la importancia de verificar la autenticidad de las actualizaciones de software y de adoptar un enfoque proactivo para proteger los sistemas y datos personales.
Nuevo malware 'Coyote' comienza búsqueda de credenciales de 61 aplicaciones bancarias
Se ha descubierto Coyote, un nuevo troyano bancario que utiliza técnicas sofisticadas y lenguajes de programación poco comunes para atacar principalmente a usuarios de instituciones financieras en Brasil. Hasta ahora, en sus ataques, Coyote se comporta como cualquier otro troyano bancario moderno: cuando se activa una aplicación compatible en una máquina infectada, el malware hace ping a un servidor de comando y control (C2) controlado por el atacante y muestra una superposición de phishing adecuada en la computadora de la víctima. pantalla para capturar la información de inicio de sesión de un usuario. Sin embargo, Coyote se destaca más por cómo combate posibles detecciones.
Coyote, al destacar por su complejidad y por el abuso del instalador Squirrel, demuestra un nivel avanzado de amenaza y la adaptabilidad de los ciberdelincuentes a las herramientas de desarrollo modernas. Puede que por ahora sea una amenaza para los consumidores centrada en Brasil, pero como se mencionó, hay razones claras para que las organizaciones de LATAM estén conscientes de Coyote.
Nuevas vulnerabilidades Críticas de Fortinet activamente explotadas
Fortinet ha publicado 7 avisos de seguridad que contempla 7 vulnerabilidades. De estas, 2 son clasificadas como severidad Crítica, 1 de severidad Alta y 4 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos:
Entre estas se destacan las dos vulnerabilidades críticas de RCE CVE-2024-23113 y CVE-2024-21762 las cuales afectan a diferentes versiones de FortiOS, adicionalmente CISA ha confirmado la explotación de la vulnerabilidad CVE-2024-21762 agregandola a su catálogo de vulnerabilidades explotadas conocidas.
Se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Vulnerabilidades presentes en Cisco Expressway
Cisco ha publicado 1 aviso de seguridad que contempla 3 vulnerabilidades. De estas, 2 son clasificadas como severidad Crítica y 1 de severidad Alta. Dichas vulnerabilidades afectan a Cisco Expressway.
Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1846/
Productos de VMware afectados por vulnerabilidades
VMware ha publicado 1 aviso de seguridad que contempla 5 vulnerabilidades. De estas, 1 es clasificada como severidad Alta y 4 de severidad Media. Dichas vulnerabilidades afectan a Aria Operations for Networks.
Para más información visitar:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1845/
Nuevo zero-day de Ivanti SSRF ahora está bajo explotación masiva
Una vulnerabilidad de server-side request forgery (SSRF) de Ivanti Connect Secure e Ivanti Policy Secure rastreada como CVE-2024-21893 se encuentra actualmente bajo explotación masiva por parte de múltiples atacantes.
Ivanti advirtió por primera vez sobre la falla en los componentes SAML de la puerta de enlace el 31 de enero de 2024, otorgándole un estado de día cero para explotación activa limitada, lo que afectó a una pequeña cantidad de clientes. La explotación de CVE-2024-21893 permitió a los atacantes eludir la autenticación y acceder a recursos restringidos en dispositivos vulnerables (versiones 9.x y 22.x).
El servicio de monitoreo de amenazas Shadowserver ahora está viendo cómo múltiples atacantes aprovechan el error SSRF, con 170 direcciones IP distintas intentando explotar la falla. El volumen de explotación de esta vulnerabilidad en particular es mucho mayor que el de otras fallas de Ivanti corregidas o mitigadas recientemente, lo que indica un claro cambio en el enfoque de los atacantes.
Debido a la situación con la explotación activa de múltiples vulnerabilidades críticas de día cero, la falta de mitigaciones efectivas y la falta de actualizaciones de seguridad para algunas de las versiones de productos afectadas, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha ordenado a las agencias federales que desconecten todas Dispositivos VPN Ivanti Connect Secure y Policy Secure.
Sólo los dispositivos que hayan sido restablecidos de fábrica y actualizados a la última versión de firmware deben volver a conectarse a la red. Sin embargo, las versiones anteriores que siguen afectadas todavía no tienen parche.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 12 al 18 de febrero de 2024:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
***Volt Typhoon*** | - |
hash | edc0c63065e88ec96197c8d7a40... |
hash | 99b80c5ac352081a64129772ed5... |
***Coyote*** | - |
hash | 0486efea8c3587d8d97edf7f740... |
hash | 110b616bc12c29b070b0dc60c19... |
hash | 1bed3755276abd9b54db13882fc... |
hash | 1d59bc782e532780da0364b14a1... |
hash | eb615c093e9b52ed409f4267648... |
dominio | atendesolucao[.]com |
dominio | servicoasso[.]com |
dominio | dowfinanceiro[.]com |
dominio | centralsolucao[.]com |
dominio | traktinves[.]com |
dominio | diadaacaodegraca[.]com |
dominio | segurancasys[.]com |