El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
AlphV reivindica el ataque a los oleoductos Trans-Northern Pipelines de Canadá
Trans-Northern Pipelines, un operador de oleoductos en Canadá, sufrió un ciberataque en noviembre por el grupo de ransomware AlphV, afectando sus sistemas internos pero sin interrumpir el flujo de combustible. A pesar del ataque, la empresa continuó operando sus ductos con seguridad y está investigando el incidente. AlphV, conocido por su rápida reaparición tras acciones policiales en diciembre, afirmó haber robado y filtrado 183 GB de datos de la empresa. Las conexiones entre este ciberataque y las amenazas de AlphV aún no están confirmadas, pero es común que estos grupos mantengan un diálogo con sus objetivos antes de filtrar información robada. Trans-Northern opera importantes ductos en Canadá y no se ha reportado una demanda de rescate relacionada con este incidente. La brecha fue contenida con ayuda externa, aunque afectó temporalmente la capacidad de respuesta del operador ante consultas regulatorias. Este evento subraya la continua vulnerabilidad de infraestructuras críticas a ciberataques.
Expertos de la ONU investigan 58 presuntos ciberataques norcoreanos valorados en unos 3.000 millones de dólares
Expertos de la ONU investigan 58 ciberataques norcoreanos desde 2017 a 2023, valorados en $3 mil millones, posiblemente para financiar armas de destrucción masiva. Estos ataques persisten a pesar de las crecientes tensiones regionales y las amenazas de Kim Jong Un. Corea del Norte continúa desarrollando su arsenal nuclear, con actividad en el complejo de Yongbyon y preparativos para una posible séptima prueba nuclear. Además, ha violado sanciones de la ONU mediante lanzamientos de misiles, importaciones ilegales y la colocación de un satélite militar en órbita. También se investigan posibles suministros de armas y el trabajo de nacionales norcoreanos en el extranjero, contraviniendo las sanciones.
Aumentan los ataques de "quishing" de códigos QR contra ejecutivos que burlan la seguridad del correo electrónico
En el último trimestre de 2023, los ataques de phishing mediante códigos QR, especialmente dirigidos a ejecutivos corporativos, aumentaron significativamente, siendo estos 42 veces más propensos a ser atacados que un empleado promedio. Estos ataques, conocidos como "quishing", logran eludir los filtros de spam y han afectado especialmente a usuarios de Microsoft 365 y DocuSign. Los ciberdelincuentes apuntan a obtener credenciales de usuarios privilegiados para causar daños mayores, utilizando los códigos QR en correos electrónicos y también en espacios físicos. A pesar de que la detección de estos ataques ha mejorado, reduciendo su frecuencia, la capacitación de los empleados sigue siendo crucial para contrarrestar esta amenaza persistente.
Condenados dos hombres de Queens por piratear el sistema de taxis del aeropuerto JFK
Daniel Abayev, cabecilla de un esquema para hackear el sistema de despacho de taxis en el Aeropuerto Internacional John F. Kennedy de Nueva York y cobrar a los conductores por adelantar en la fila de recogida, fue condenado a cuatro años de prisión en EE. UU. Su cómplice, Peter Leyman, recibió dos años de prisión. Utilizando diversas tácticas como malware y robo de tabletas, lograron alterar el sistema para favorecer a ciertos taxis desde noviembre de 2019 hasta noviembre de 2020, cobrando $10 por adelanto en la cola. Además de la prisión, ambos deben pagar más de $161,000 en decomisos y casi $3.5 millones en restitución.
La IA aumenta la productividad de los ciberdelincuentes
La tecnología de IA, aunque ofrece la posibilidad de automatizar procesos para resultados beneficiosos, conlleva riesgos significativos para la protección de datos, la ciberseguridad y otras preocupaciones éticas. El crecimiento de los ecosistemas digitales amplía la superficie de ataque, exacerbado por la disponibilidad de herramientas de IA generativa criminalmente utilizadas, aumentando la necesidad de verificación de identidad remota segura. Los ciberdelincuentes utilizan herramientas avanzadas de IA, como intercambios de rostros convincentes y emuladores, creando nuevos vectores de amenazas. En 2023, explotaron brechas en sistemas utilizando emuladores para ocultar cámaras virtuales, dificultando su detección y aumentando el fraude de identidad. La utilización de emuladores y la manipulación de metadatos para ataques de inyección digital crecieron un 353% de H1 a H2 2023. Los ataques están evolucionando rápidamente, presentando amenazas significativas, especialmente a plataformas móviles.
OpenAI cierra cuentas vinculadas a 5 grupos de hacking
OpenAI ha cancelado cuentas en sus servicios utilizadas por actores de amenazas vinculados a China, Rusia, Irán y Corea del Norte. Esta acción se tomó en colaboración con Microsoft, que publicó un informe detallando cómo grupos de hacking afiliados a estados están experimentando con modelos de lenguaje grande (LLMs) para posibles ciberataques. Aunque no se han identificado ataques significativos con LLMs, hay preocupaciones de que hackers vinculados a estados busquen utilizar la IA para mejorar técnicas de ataque. Se observó a actores de amenazas de China utilizando LLMs para reconocimiento y mejora de comandos operativos, mientras que un grupo ruso investigaba tecnologías de satélite y radar. Grupos vinculados a Corea del Norte e Irán también exploraron LLMs para ingeniería social y desarrollo de código. Microsoft publicó principios para prevenir el abuso de sus modelos de IA por hackers respaldados por estados.
Más indicios del resurgimiento de Qakbot
Meses después de que una operación de la ley estadounidense desmantelara el notorio botnet Qakbot, investigadores de seguridad indican señales de su resurgimiento. Alguien con acceso al código fuente de Qakbot está experimentando con nuevas versiones y realizando cambios incrementales, según Sophos. Los analistas de malware detectaron nuevas muestras de Qakbot en diciembre, coincidiendo con una campaña de bajo volumen observada por Microsoft Threat Intelligence que apuntaba a la industria hotelera. Aunque en agosto, durante la operación "Duck Hunt", se eliminó el malware de más de 700,000 puntos finales infectados, Qakbot, que inicialmente era un troyano bancario en 2008, se había convertido en un proveedor de acceso inicial para otros cibercriminales. A pesar de los esfuerzos, parece que Qakbot está evolucionando, añadiendo nuevas capacidades como mejor cifrado y verificaciones para detectar máquinas virtuales. Este resurgimiento no es inusual; otros troyanos importantes como TrickBot y Emotet han regresado después de desmantelamientos de infraestructura.
El troyano GoldPickaxe combina el robo de datos biométricos y las falsificaciones para estafar a los bancos
Investigadores de seguridad han alertado sobre un nuevo y sofisticado troyano, GoldPickaxe, diseñado para robar datos biométricos faciales y utilizarlos para producir deepfakes de las víctimas que pueden eludir los inicios de sesión bancarios. Desarrollado por un actor de ciberdelincuencia chino apodado "GoldFactory", el malware apunta principalmente a víctimas en Tailandia y Vietnam y está disponible para Android e iOS. La infección comienza cuando los actores de amenazas, haciéndose pasar por funcionarios gubernamentales, engañan a las víctimas para que descarguen una aplicación cargada con el troyano, disfrazada de aplicación de "pensión digital" u otros servicios gubernamentales. Una vez activado, el troyano solicita documentos de identidad del usuario, intercepta mensajes SMS y redirige el tráfico a través del dispositivo infectado, además de inducir a la víctima a grabar un video que luego se usa para crear un video deepfake. Este ataque permite a los cibercriminales eludir los controles de reconocimiento facial de los bancos e ingresar a cuentas bancarias. GoldFactory ha desarrollado y distribuido variantes de malware adaptadas a diferentes regiones desde mediados de 2023, demostrando un alto nivel de sofisticación y madurez operativa.
Los hackers aprovechan el fallo SSRF de Ivanti para desplegar una nueva puerta trasera DSLog
Los hackers están explotando una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Ivanti Connect Secure, Policy Secure y ZTA gateways, usando el CVE-2024-21893 para desplegar el nuevo backdoor DSLog en dispositivos vulnerables. La falla afecta al componente SAML, permitiendo a los atacantes acceder a recursos restringidos en versiones específicas de Ivanti. Ivanti ha publicado actualizaciones para corregir el problema. Orange Cyberdefense reportó la explotación exitosa de esta vulnerabilidad para instalar DSLog, que permite la ejecución remota de comandos en servidores Ivanti comprometidos. Orange descubrió el backdoor después de analizar un dispositivo comprometido que no había aplicado el parche correspondiente.
Microsoft: Nuevo fallo crítico de Exchange explotado como día cero
Microsoft advirtió sobre una vulnerabilidad crítica en Exchange Server, identificada como CVE-2024-21410, explotada antes de su corrección en el Patch Tuesday de este mes. Esta falla permite a actores de amenazas no autenticados escalar privilegios mediante ataques de retransmisión NTLM en versiones vulnerables de Exchange Server. Un atacante puede forzar a un dispositivo de red a autenticarse en un servidor de retransmisión NTLM controlado por ellos para suplantar dispositivos y elevar privilegios. La actualización Cumulative Update 14 (CU14) para Exchange Server 2019, lanzada en febrero de 2024, aborda esta vulnerabilidad al habilitar protecciones contra la retransmisión de credenciales NTLM, también conocidas como Protección Extendida para Autenticación (EPA), que se activará por defecto en todos los servidores Exchange tras instalar esta actualización. Microsoft también corrigió una vulnerabilidad crítica de ejecución de código remoto (RCE) en Outlook, etiquetada erróneamente como explotada antes de su corrección.
Una vulnerabilidad de Atlassian, culpable de la brecha en GAO
Aproximadamente 6,600 personas, principalmente empleados actuales y anteriores de la Oficina de Rendición de Cuentas del Gobierno (GAO por sus siglas en inglés), fueron afectadas por una brecha de datos resultante de una vulnerabilidad en una herramienta de colaboración laboral de Atlassian. El incidente, llevado a cabo a través de uno de sus contratistas, CGI Federal, comprometió datos de empleados entre 2007 y 2017 y algunas empresas asociadas con GAO. Tras la advertencia de explotación activa de la vulnerabilidad por parte de agencias como CISA, FBI y MS-ISAC, CGI Federal tomó acciones de remediación y continúa colaborando con autoridades para mitigar el impacto. GAO planea ofrecer servicios de monitoreo de identidad a los afectados y está investigando el origen de la brecha, relacionada con sus sistemas de gestión financiera.
Un solo paquete defectuoso puede hacer caer un servidor DNS vulnerable gracias a DNSSEC
Un paquete único puede agotar la capacidad de procesamiento de un servidor DNS vulnerable explotando una falla de diseño de más de 20 años en la especificación de DNSSEC, desactivando efectivamente la máquina. Esto podría facilitar la caída de un DNS resolver que valida DNSSEC y aún no ha sido parcheado, afectando a todos los clientes que dependen de ese servicio. Investigadores asociados con el Centro Nacional Alemán de Investigación para la Ciberseguridad Aplicada descubrieron esta falla, calificada como el peor ataque contra DNS jamás descubierto. La vulnerabilidad, denominada KeyTrap y asignada CVE-2023-50387, permite a los actores de amenazas ejecutar comandos en servidores DNS comprometidos de manera remota. Los parches para mitigar KeyTrap ya han sido lanzados por los proveedores relevantes, y no se requiere acción por parte de los usuarios en este momento.
La revelación de una vulnerabilidad de QNAP acaba en un completo desastre
QNAP ha revelado y solucionado dos nuevas vulnerabilidades, incluyendo un zero-day descubierto en noviembre. La empresa taiwanesa y los investigadores de Unit 42 de Palo Alto Networks discrepan sobre la gravedad del problema; QNAP lo califica con una severidad media de 5.8, mientras que Unit 42 lo considera crítico. El BSI alemán emitió una alerta de emergencia por el potencial "gran daño". CVE-2023-50358, un fallo de inyección de comandos en el componente quick.cgi del firmware QTS de QNAP, podría permitir la ejecución remota de código. QNAP también corrigió otra vulnerabilidad de inyección de comandos, CVE-2023-47218, reportada por Rapid7. Los parches ya están disponibles para diversas versiones del firmware, y se recomienda actualizar a la última versión disponible para mitigar los riesgos.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 19 de febrero al 25 de febrero de 2024:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
Qakbot | . |
hash | 73472cfc52f2732b933e385ef80... |
hash | f4bb0089dcf3629b1570fda839e... |
hash | fda2abd24764809fb36d4d2ee7a... |
hash | cc5fa220f92319e0e063e4e19c5... |
hash | 35ec4858f5f4f7c9c7cd27b9c48... |
hash | a4d2138624f8eebbbd665597b1b... |
hash | a06db85f05d21a67a3ae251a122... |
GoldPickaxe | . |
domain | ks8cb[.]cc |
domain | ms2ve[.]cc |
domain | zu7kt[.]cc |
domain | t8bc[.]xyz |
domain | bv8k[.]xyz |
domain | hzc5[.]xyz |
domain | bweri6[.]cc |
domain | blsdk5[.]cc |
domain | nnzf1[.]cc |
domain | app[.]js6kk[.]xyz |
domain | app[.]re6s[.]xyz |
domain | app[.]bc2k[.]xyz |