ENTEL Weekly Threat Intelligence Brief del 19 de febrero al 25 de febrero de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Cactus Ransomware amenaza al gigante de la automatización Schneider Electric, con filtrar información confidencial  
• Ataque de Ransomware golpea a desarrollador de software Alemán PSI Software SE  
• El Ransomware Knight pone en venta su código fuente versión 3.0, en foro clandestino  
• El Departamento de Estado de EE.UU. ofrece millonarias recompensas por información sobre LockBit  
• LockBit vuelve, la banda de Ransomware relanzó sus operaciones después de una intervención policial contra sus servidores
• Alerta de ciberespionaje, Corea del Norte dirige ataques masivos contra sectores de defensa  
• Charming Kitten y la nueva puerta trasera BASICSTAR propone nuevos desafíos para la ciberseguridad global
• Descubren el gusano SSH-Snake, una nueva amenaza para servidores Linux  
• Ciberactores están utilizando Google Cloud Run para distribuir troyanos bancarios
• Vulnerabilidad CVE-2024-25600 amenaza sitios web de WordPress con tema Brick Builder  
• La vulnerabilidad CVE-2024-21410 afecta a 97.000 servidores Microsoft Exchange  
• VMware insta a eliminar el complemento obsoleto de autenticación (EAP), para mitigar vulnerabilidades críticas  
• Descubren cinco vulnerabilidades críticas que permiten la ejecución de código arbitrario en Joomla  

Cactus Ransomware amenaza al gigante de la automatización Schneider Electric, con filtrar información confidencial

El grupo de ransomware Cactus afirma haber robado 1.5 TB de datos de Schneider Electric, incluyendo pasaportes y documentos de confidencialidad. El acceso se obtuvo el 17 de enero y ahora amenazan con filtrar los datos robados si no se paga un rescate. Schneider Electric es una empresa multinacional que ofrece servicios de consultoría sobre cumplimiento normativo y energía renovable a empresas como PepsiCo y Walmart. Los datos robados podrían incluir información confidencial sobre sistemas de automatización industrial y cumplimiento normativo. Cactus ransomware utiliza tácticas de doble extorsión y ha afectado a más de 100 empresas desde su aparición en marzo de 2023. Schneider Electric anteriormente fue víctima de ataques de ransomware Clop.

Ataque de Ransomware golpea a desarrollador de software Alemán PSI Software SE  

PSI Software SE, un desarrollador de software alemán para procesos de producción y logística, confirma un ataque de ransomware que afectó su infraestructura. La empresa cuenta con más de 2.000 empleados y se especializa en soluciones para proveedores de energía, incluyendo sistemas de control y gestión operativa. El ciberataque, detectado el 15 de febrero, obligó a desconectar varios sistemas, incluido el correo electrónico, como medida de mitigación. Aunque el vector de intrusión aún no se ha determinado, no hay evidencia de acceso a sistemas de clientes. PSI Software ha informado a las autoridades y está siendo asistida por expertos en seguridad desde el 16 de febrero.

El Ransomware Knight pone en venta su código fuente versión 3.0, en foro clandestino

Un representante de la operación de ransomware Knight ha anunciado la venta del supuesto código fuente de la tercera versión en un foro de la deep web. El ransomware, lanzado como una versión renovada de la operación Cyclops, ha ganado popularidad por su cifrado más rápido y una versión "ligera" para afiliados de nivel inferior. La oferta específica que el código solo se venderá a un único comprador para preservar su valor como herramienta privada. La transacción se realizará a través de un garante de transacciones en el foro RAMP o XSS. Aunque el motivo detrás de la venta no está claro, el grupo Knight parece estar inactivo desde diciembre de 2023, lo que sugiere que podrían estar buscando cerrar negocios y vender sus activos.

El Departamento de Estado de EE.UU. ofrece millonarias recompensas por información sobre LockBit  

El Departamento de Estado de EE.UU. ofrece recompensas de hasta $15 millones de dólares por información sobre la banda de ransomware LockBit. Se ofrecen $10 millones por información sobre el liderazgo y $5 millones adicionales por la detención de afiliados. LockBit ha afectado a más de 2.000 víctimas y recaudó más de $120 millones de dólares en rescates. Las recompensas se otorgan a través del Programa de Recompensas contra el Crimen Organizado Transnacional y las sugerencias pueden hacerse de forma anónima a través del servidor Tor SecureDrop del Departamento de Estado. La infraestructura de LockBit fue confiscada tan solo hace unos días atrás en una operación policial global llamada Operación Cronos. 

Cabe destacar que los desarrolladores de LockBit estaban trabajando en una nueva versión del ransomware, denominada LockBit-NG-Dev, que posiblemente sería LockBit 4.0, antes de que la infraestructura del grupo fuera derribada por las fuerzas del orden. Trend Micro, en colaboración con la Agencia Nacional contra el Crimen del Reino Unido, analizó una muestra de esta nueva versión. A diferencia de las versiones anteriores, LockBit-NG-Dev está escrita en .NET y parece estar en sus etapas finales de desarrollo. El malware ofrece varias funciones, como cifrado de archivos con tres modos diferentes, exclusión personalizada de archivos y directorios, y un mecanismo de autoeliminación.

LockBit vuelve, la banda de Ransomware relanzó sus operaciones después de una intervención policial contra sus servidores 

LockBit, ha relanzado sus operaciones en una nueva infraestructura luego de que las fuerzas del orden derribaran sus servidores. En un mensaje, la banda admitió negligencia en permitir la violación y anunció planes futuros. LockBit reanudó los ataques y trasladó su sitio de filtración de datos a una nueva dirección .onion, enumerando cinco víctimas. Después de que las autoridades derribaron su infraestructura, LockBit regresó y detalló cómo administrarán el negocio en el futuro, incluyendo actualizaciones de seguridad y descentralización de los paneles de afiliados. La banda especula sobre el motivo de la incursión policial, citando un ataque anterior al condado de Fulton y sugiere que centrará sus ataques en el sector gubernamental para poner a prueba la capacidad de respuesta del FBI. LockBit busca restaurar su credibilidad después del golpe sufrido, pero la confianza de los afiliados podría verse afectada.

Alerta de ciberespionaje, Corea del Norte dirige ataques masivos contra sectores de defensa  

La agencia federal de inteligencia de Alemania (BfV) y el Servicio de Inteligencia Nacional (NIS) de Corea del Sur alertan sobre una operación de ciberespionaje norcoreana dirigida al sector de defensa global. Los ataques buscan robar información de tecnología militar avanzada para modernizar las armas y desarrollar nuevas capacidades militares. El aviso destaca dos casos de ataques norcoreanos, uno de ellos perpetrado por el grupo Lazarus. El primer caso involucra un ataque a la cadena de suministro, donde el intruso comprometió a un proveedor de servicios de TI para infiltrarse en un centro de investigación. El segundo caso describe la "Operación Dream Job" de Lazarus, que utiliza tácticas de ingeniería social para infectar sistemas. 

Charming Kitten y la nueva puerta trasera BASICSTAR propone nuevos desafíos para la ciberseguridad global  

Charming Kitten, también conocido como APT35, es un grupo de actores de amenazas iraníes vinculado a actividades de ciberespionaje dirigidas a expertos en política del Medio Oriente. Recientemente han sido asociados con una nueva puerta trasera llamada BASICSTAR, desplegada a través de portales de seminarios web falsos. Charming Kitten tiene un historial de llevar a cabo campañas de ingeniería social sofisticadas y desplegar varios tipos de malware, incluidos MischiefTut y MediaPl, para recopilar información sensible. Se cree que el grupo, afiliado al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), ha demostrado resistencia al adaptar sus tácticas y usar múltiples técnicas de phishing, incluida la suplantación de organizaciones legítimas y el uso de cuentas de correo electrónico comprometidas. Continúan representando una amenaza significativa para la ciberseguridad, demostrando esfuerzos continuos para comprometer objetivos y evadir la detección.

Descubren el gusano SSH-Snake, una nueva amenaza para servidores Linux  

Un nuevo gusano llamado SSH-Snake, ha sido descubierto por el equipo de investigación de amenazas de Sysdig, diseñado para buscar claves privadas en servidores Redis en hosts Linux. A diferencia de los gusanos SSH tradicionales, SSH-Snake evita los patrones típicos asociados con ataques programados, lo que le permite moverse lateralmente de manera más sigilosa y eficiente. La herramienta busca claves privadas en varios lugares y las utiliza para propagarse a nuevos sistemas, lo que facilita el descubrimiento de credenciales y la conexión a otros hosts a través de SSH. SSH-Snake https://github.com/MegaManSec/SSH-Snake es altamente personalizable y puede modificarse para adaptarse a necesidades operativas específicas, lo que lo hace más versátil y efectivo en comparación con los gusanos SSH tradicionales. Los investigadores han identificado un servidor de comando y control utilizado por los operadores de SSH-Snake para almacenar datos recopilados, lo que sugiere que se ha utilizado de manera ofensiva contra aproximadamente 100 víctimas.

Ciberactores están utilizando Google Cloud Run para distribuir troyanos bancarios  

Los investigadores de seguridad han alertado sobre la creciente amenaza de ciertos ciberactores que utilizan Google Cloud Run para distribuir troyanos bancarios como Astaroth, Mekotio y Ousaban. Este servicio de Google, diseñado para desplegar aplicaciones sin la necesidad de administrar infraestructura, se ha convertido en un objetivo atractivo para los ciberdelincuentes debido a su rentabilidad y capacidad para evadir los filtros de seguridad. Los ataques comienzan con correos electrónicos de phishing en español o italiano que redirigen a servicios web maliciosos alojados en Google Cloud Run. Los archivos MSI maliciosos se descargan y ejecutan en los sistemas de las víctimas, estableciendo persistencia y extrayendo datos financieros confidenciales. Los troyanos bancarios Astaroth, Mekotio y Ousaban están diseñados para infiltrarse sigilosamente en sistemas y robar información financiera, con Astaroth recopilando incluso credenciales de servicios de intercambio de criptomonedas. Cisco Talos está investigando activamente esta amenaza, y Google ha tomado medidas para eliminar los enlaces maliciosos y fortalecer sus esfuerzos de mitigación.

Vulnerabilidad CVE-2024-25600 amenaza sitios web de WordPress con tema Brick Builder  

Los actores de amenaza se están aprovechando de una vulnerabilidad crítica en el tema Brick Builder de WordPress para ejecutar código PHP malicioso en sitios web vulnerables. Descubierto por un investigador llamado 'snicco' el 10 de febrero, el CVE-2024-25600 afecta a este popular tema con alrededor de 25.000 instalaciones activas. La falla se debe a una llamada a la función eval en 'prepare_query_vars_from_settings', que permite a usuarios no autenticados ejecutar código PHP arbitrario. Una solución fue lanzada el 13 de febrero, pero Patchstack detectó intentos de explotación activa a partir del 14 de febrero. Los atacantes están utilizando malware para desactivar complementos de seguridad como Wordfence y Sucuri. Se recomienda a los usuarios actualizar a la versión 1.9.3.1 de Brick Builder de inmediato para evitar la explotación de esta vulnerabilidad.

La vulnerabilidad CVE-2024-21410 afecta a 97.000 servidores Microsoft Exchange  

La falla crítica CVE-2024-21410 en servidores Microsoft Exchange, explotada activamente por ciberactores desde el 13 de febrero, podría afectar hasta 97.000 servidores. Esta vulnerabilidad permite a actores no autenticados realizar ataques de retransmisión NTLM y escalar privilegios. Aproximadamente 68.500 servidores podrían ser vulnerables si no se aplican mitigaciones, mientras que 28.500 ya están confirmados como vulnerables. Los países más afectados incluyen Alemania, Estados Unidos y el Reino Unido. Aunque no hay exploits de prueba de concepto públicos disponibles, se insta a los administradores a aplicar la actualización acumulativa 14 de Exchange Server 2019 para abordar la vulnerabilidad. La CISA de EE.UU. ha catalogado CVE-2024-21410 como una "Vulnerabilidad explotada conocida" y ha establecido un plazo para que las agencias federales apliquen las actualizaciones. La explotación de esta vulnerabilidad puede resultar en el acceso a datos confidenciales y en el uso del servidor como puerta de entrada para futuros ataques a la red.

VMware insta a eliminar el complemento obsoleto de autenticación (EAP), para mitigar vulnerabilidades críticas  

VMware alertó sobre dos vulnerabilidades críticas en su complemento de autenticación obsoleto (EAP), que pueden ser explotadas para ataques de retransmisión de autenticación y secuestro de sesión. Estas fallas, identificadas como CVE-2024-22245 y CVE-2024-22250, permiten a los atacantes interceptar tickets de servicio Kerberos y tomar control de sesiones EAP privilegiadas. Aunque no hay evidencia de explotación, se recomienda eliminar el complemento EAP y deshabilitar el servicio asociado mediante comandos PowerShell proporcionados por VMware. Aunque el EAP no se instala de forma predeterminada, se utiliza en entornos de administración de vSphere, y VMware sugiere alternativas más seguras, como Active Directory sobre LDAPS y ADFS. Además, VMware recientemente confirmó la explotación activa de una vulnerabilidad crítica de vCenter Server por parte del grupo de ciberespionaje chino UNC3886.

Descubren cinco vulnerabilidades críticas que permiten la ejecución de código arbitrario en Joomla  

El sistema de gestión de contenidos Joomla ha sido afectado por cinco vulnerabilidades que pueden permitir la ejecución de código arbitrario en sitios web vulnerables. Estas vulnerabilidades han sido abordadas por el proveedor en las versiones 5.0.3 y 4.4.3 del CMS. Entre las vulnerabilidades se encuentran problemas como la finalización incorrecta de sesiones de usuario en la administración de MFA, análisis inadecuado de URL, validación de entrada inadecuada, filtrado inadecuado de direcciones de correo y de contenido. Una de las vulnerabilidades, CVE-2024-21725, es considerada la más grave y con alta probabilidad de explotación.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 26 de febrero al 03 de marzo de 2024:

Objetivos observados durante semana de análisis:

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Servicios de salud, sociales y farmacia

• Educación
• Transportes y servicios automotrices

• Retail y servicios de consumo
• Banca y Finanzas
• Defensa y orden público
• Entretenimiento, cultura y arte
• Servicios básicos y sanitarios
• Servicios empresariales y comercio

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.