ENTEL Weekly Threat Intelligence Brief del 12 al 18 de febrero de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• AlphV reivindica el ataque a los oleoductos Trans-Northern Pipelines de Canadá
• Expertos de la ONU investigan 58 presuntos ciberataques norcoreanos valorados en unos 3.000 millones de dólares
• Aumentan los ataques de "quishing" de códigos QR contra ejecutivos que burlan la seguridad del correo electrónico
• Condenados dos hombres de Queens por piratear el sistema de taxis del aeropuerto JFK
• La IA aumenta la productividad de los ciberdelincuentes
• OpenAI cierra cuentas vinculadas a 5 grupos de hacking
• Más indicios del resurgimiento de Qakbot
• El troyano GoldPickaxe combina el robo de datos biométricos y las falsificaciones para estafar a los bancos
• Los hackers aprovechan el fallo SSRF de Ivanti para desplegar una nueva puerta trasera DSLog
• Microsoft: Nuevo fallo crítico de Exchange explotado como día cero
• Una vulnerabilidad de Atlassian, culpable de la brecha en GAO
• Un solo paquete defectuoso puede hacer caer un servidor DNS vulnerable gracias a DNSSEC
• La revelación de una vulnerabilidad de QNAP acaba en un completo desastre

AlphV reivindica el ataque a los oleoductos Trans-Northern Pipelines de Canadá

Trans-Northern Pipelines, un operador de oleoductos en Canadá, sufrió un ciberataque en noviembre por el grupo de ransomware AlphV, afectando sus sistemas internos pero sin interrumpir el flujo de combustible. A pesar del ataque, la empresa continuó operando sus ductos con seguridad y está investigando el incidente. AlphV, conocido por su rápida reaparición tras acciones policiales en diciembre, afirmó haber robado y filtrado 183 GB de datos de la empresa. Las conexiones entre este ciberataque y las amenazas de AlphV aún no están confirmadas, pero es común que estos grupos mantengan un diálogo con sus objetivos antes de filtrar información robada. Trans-Northern opera importantes ductos en Canadá y no se ha reportado una demanda de rescate relacionada con este incidente. La brecha fue contenida con ayuda externa, aunque afectó temporalmente la capacidad de respuesta del operador ante consultas regulatorias. Este evento subraya la continua vulnerabilidad de infraestructuras críticas a ciberataques.

Expertos de la ONU investigan 58 presuntos ciberataques norcoreanos valorados en unos 3.000 millones de dólares

Expertos de la ONU investigan 58 ciberataques norcoreanos desde 2017 a 2023, valorados en $3 mil millones, posiblemente para financiar armas de destrucción masiva. Estos ataques persisten a pesar de las crecientes tensiones regionales y las amenazas de Kim Jong Un. Corea del Norte continúa desarrollando su arsenal nuclear, con actividad en el complejo de Yongbyon y preparativos para una posible séptima prueba nuclear. Además, ha violado sanciones de la ONU mediante lanzamientos de misiles, importaciones ilegales y la colocación de un satélite militar en órbita. También se investigan posibles suministros de armas y el trabajo de nacionales norcoreanos en el extranjero, contraviniendo las sanciones.
 

Aumentan los ataques de "quishing" de códigos QR contra ejecutivos que burlan la seguridad del correo electrónico

En el último trimestre de 2023, los ataques de phishing mediante códigos QR, especialmente dirigidos a ejecutivos corporativos, aumentaron significativamente, siendo estos 42 veces más propensos a ser atacados que un empleado promedio. Estos ataques, conocidos como "quishing", logran eludir los filtros de spam y han afectado especialmente a usuarios de Microsoft 365 y DocuSign. Los ciberdelincuentes apuntan a obtener credenciales de usuarios privilegiados para causar daños mayores, utilizando los códigos QR en correos electrónicos y también en espacios físicos. A pesar de que la detección de estos ataques ha mejorado, reduciendo su frecuencia, la capacitación de los empleados sigue siendo crucial para contrarrestar esta amenaza persistente.

Condenados dos hombres de Queens por piratear el sistema de taxis del aeropuerto JFK

Daniel Abayev, cabecilla de un esquema para hackear el sistema de despacho de taxis en el Aeropuerto Internacional John F. Kennedy de Nueva York y cobrar a los conductores por adelantar en la fila de recogida, fue condenado a cuatro años de prisión en EE. UU. Su cómplice, Peter Leyman, recibió dos años de prisión. Utilizando diversas tácticas como malware y robo de tabletas, lograron alterar el sistema para favorecer a ciertos taxis desde noviembre de 2019 hasta noviembre de 2020, cobrando $10 por adelanto en la cola. Además de la prisión, ambos deben pagar más de $161,000 en decomisos y casi $3.5 millones en restitución.

La IA aumenta la productividad de los ciberdelincuentes

La tecnología de IA, aunque ofrece la posibilidad de automatizar procesos para resultados beneficiosos, conlleva riesgos significativos para la protección de datos, la ciberseguridad y otras preocupaciones éticas. El crecimiento de los ecosistemas digitales amplía la superficie de ataque, exacerbado por la disponibilidad de herramientas de IA generativa criminalmente utilizadas, aumentando la necesidad de verificación de identidad remota segura. Los ciberdelincuentes utilizan herramientas avanzadas de IA, como intercambios de rostros convincentes y emuladores, creando nuevos vectores de amenazas. En 2023, explotaron brechas en sistemas utilizando emuladores para ocultar cámaras virtuales, dificultando su detección y aumentando el fraude de identidad. La utilización de emuladores y la manipulación de metadatos para ataques de inyección digital crecieron un 353% de H1 a H2 2023. Los ataques están evolucionando rápidamente, presentando amenazas significativas, especialmente a plataformas móviles.
 

OpenAI cierra cuentas vinculadas a 5 grupos de hacking

OpenAI ha cancelado cuentas en sus servicios utilizadas por actores de amenazas vinculados a China, Rusia, Irán y Corea del Norte. Esta acción se tomó en colaboración con Microsoft, que publicó un informe detallando cómo grupos de hacking afiliados a estados están experimentando con modelos de lenguaje grande (LLMs) para posibles ciberataques. Aunque no se han identificado ataques significativos con LLMs, hay preocupaciones de que hackers vinculados a estados busquen utilizar la IA para mejorar técnicas de ataque. Se observó a actores de amenazas de China utilizando LLMs para reconocimiento y mejora de comandos operativos, mientras que un grupo ruso investigaba tecnologías de satélite y radar. Grupos vinculados a Corea del Norte e Irán también exploraron LLMs para ingeniería social y desarrollo de código. Microsoft publicó principios para prevenir el abuso de sus modelos de IA por hackers respaldados por estados.

Más indicios del resurgimiento de Qakbot

Meses después de que una operación de la ley estadounidense desmantelara el notorio botnet Qakbot, investigadores de seguridad indican señales de su resurgimiento. Alguien con acceso al código fuente de Qakbot está experimentando con nuevas versiones y realizando cambios incrementales, según Sophos. Los analistas de malware detectaron nuevas muestras de Qakbot en diciembre, coincidiendo con una campaña de bajo volumen observada por Microsoft Threat Intelligence que apuntaba a la industria hotelera. Aunque en agosto, durante la operación "Duck Hunt", se eliminó el malware de más de 700,000 puntos finales infectados, Qakbot, que inicialmente era un troyano bancario en 2008, se había convertido en un proveedor de acceso inicial para otros cibercriminales. A pesar de los esfuerzos, parece que Qakbot está evolucionando, añadiendo nuevas capacidades como mejor cifrado y verificaciones para detectar máquinas virtuales. Este resurgimiento no es inusual; otros troyanos importantes como TrickBot y Emotet han regresado después de desmantelamientos de infraestructura.

 

El troyano GoldPickaxe combina el robo de datos biométricos y las falsificaciones para estafar a los bancos

Investigadores de seguridad han alertado sobre un nuevo y sofisticado troyano, GoldPickaxe, diseñado para robar datos biométricos faciales y utilizarlos para producir deepfakes de las víctimas que pueden eludir los inicios de sesión bancarios. Desarrollado por un actor de ciberdelincuencia chino apodado "GoldFactory", el malware apunta principalmente a víctimas en Tailandia y Vietnam y está disponible para Android e iOS. La infección comienza cuando los actores de amenazas, haciéndose pasar por funcionarios gubernamentales, engañan a las víctimas para que descarguen una aplicación cargada con el troyano, disfrazada de aplicación de "pensión digital" u otros servicios gubernamentales. Una vez activado, el troyano solicita documentos de identidad del usuario, intercepta mensajes SMS y redirige el tráfico a través del dispositivo infectado, además de inducir a la víctima a grabar un video que luego se usa para crear un video deepfake. Este ataque permite a los cibercriminales eludir los controles de reconocimiento facial de los bancos e ingresar a cuentas bancarias. GoldFactory ha desarrollado y distribuido variantes de malware adaptadas a diferentes regiones desde mediados de 2023, demostrando un alto nivel de sofisticación y madurez operativa.

 

Los hackers aprovechan el fallo SSRF de Ivanti para desplegar una nueva puerta trasera DSLog

Los hackers están explotando una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Ivanti Connect Secure, Policy Secure y ZTA gateways, usando el CVE-2024-21893 para desplegar el nuevo backdoor DSLog en dispositivos vulnerables. La falla afecta al componente SAML, permitiendo a los atacantes acceder a recursos restringidos en versiones específicas de Ivanti. Ivanti ha publicado actualizaciones para corregir el problema. Orange Cyberdefense reportó la explotación exitosa de esta vulnerabilidad para instalar DSLog, que permite la ejecución remota de comandos en servidores Ivanti comprometidos. Orange descubrió el backdoor después de analizar un dispositivo comprometido que no había aplicado el parche correspondiente.

Microsoft: Nuevo fallo crítico de Exchange explotado como día cero

Microsoft advirtió sobre una vulnerabilidad crítica en Exchange Server, identificada como CVE-2024-21410, explotada antes de su corrección en el Patch Tuesday de este mes. Esta falla permite a actores de amenazas no autenticados escalar privilegios mediante ataques de retransmisión NTLM en versiones vulnerables de Exchange Server. Un atacante puede forzar a un dispositivo de red a autenticarse en un servidor de retransmisión NTLM controlado por ellos para suplantar dispositivos y elevar privilegios. La actualización Cumulative Update 14 (CU14) para Exchange Server 2019, lanzada en febrero de 2024, aborda esta vulnerabilidad al habilitar protecciones contra la retransmisión de credenciales NTLM, también conocidas como Protección Extendida para Autenticación (EPA), que se activará por defecto en todos los servidores Exchange tras instalar esta actualización. Microsoft también corrigió una vulnerabilidad crítica de ejecución de código remoto (RCE) en Outlook, etiquetada erróneamente como explotada antes de su corrección.

Una vulnerabilidad de Atlassian, culpable de la brecha en GAO

Aproximadamente 6,600 personas, principalmente empleados actuales y anteriores de la Oficina de Rendición de Cuentas del Gobierno (GAO por sus siglas en inglés), fueron afectadas por una brecha de datos resultante de una vulnerabilidad en una herramienta de colaboración laboral de Atlassian. El incidente, llevado a cabo a través de uno de sus contratistas, CGI Federal, comprometió datos de empleados entre 2007 y 2017 y algunas empresas asociadas con GAO. Tras la advertencia de explotación activa de la vulnerabilidad por parte de agencias como CISA, FBI y MS-ISAC, CGI Federal tomó acciones de remediación y continúa colaborando con autoridades para mitigar el impacto. GAO planea ofrecer servicios de monitoreo de identidad a los afectados y está investigando el origen de la brecha, relacionada con sus sistemas de gestión financiera.

Un solo paquete defectuoso puede hacer caer un servidor DNS vulnerable gracias a DNSSEC

Un paquete único puede agotar la capacidad de procesamiento de un servidor DNS vulnerable explotando una falla de diseño de más de 20 años en la especificación de DNSSEC, desactivando efectivamente la máquina. Esto podría facilitar la caída de un DNS resolver que valida DNSSEC y aún no ha sido parcheado, afectando a todos los clientes que dependen de ese servicio. Investigadores asociados con el Centro Nacional Alemán de Investigación para la Ciberseguridad Aplicada descubrieron esta falla, calificada como el peor ataque contra DNS jamás descubierto. La vulnerabilidad, denominada KeyTrap y asignada CVE-2023-50387, permite a los actores de amenazas ejecutar comandos en servidores DNS comprometidos de manera remota. Los parches para mitigar KeyTrap ya han sido lanzados por los proveedores relevantes, y no se requiere acción por parte de los usuarios en este momento.

 

La revelación de una vulnerabilidad de QNAP acaba en un completo desastre

QNAP ha revelado y solucionado dos nuevas vulnerabilidades, incluyendo un zero-day descubierto en noviembre. La empresa taiwanesa y los investigadores de Unit 42 de Palo Alto Networks discrepan sobre la gravedad del problema; QNAP lo califica con una severidad media de 5.8, mientras que Unit 42 lo considera crítico. El BSI alemán emitió una alerta de emergencia por el potencial "gran daño". CVE-2023-50358, un fallo de inyección de comandos en el componente quick.cgi del firmware QTS de QNAP, podría permitir la ejecución remota de código. QNAP también corrigió otra vulnerabilidad de inyección de comandos, CVE-2023-47218, reportada por Rapid7. Los parches ya están disponibles para diversas versiones del firmware, y se recomienda actualizar a la última versión disponible para mitigar los riesgos.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 19 de febrero al 25 de febrero de 2024:

Objetivos observados durante semana de análisis:

• Servicios legales y profesionales
• Defensa y orden público
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Banca y Finanzas
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Agricultura, ganadería, silvicultura y pesca - consumo

• Sin registros para este periodo

• Servicios legales y profesionales
• Defensa y orden público
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes
• Transportes y servicios automotrices.

• Industrias manufactureras, materiales y minería
• Banca y Finanzas
• Servicios de salud, sociales y farmacia
• Construcción e inmobiliaria
• Servicios empresariales y comercio

• Retail y servicios de consumo
• Educación
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.