ENTEL Weekly Threat Intelligence Brief del 01 al 07 de abril de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ataque de ransomware deja al condado de Jackson, Missouri, en estado de emergencia
• Empresa de hosting chilena, víctima de ciberataque por nueva banda ransomware SEXi
• UNAPIMON, el malware sigiloso utilizado por Earth Freybug en sus ciberoperaciones
• Microsoft en la mira por Europa y EE.UU, al no detectar intrusión de Storm-0558
• Mispadu el troyano bancario que se expande desde América Latina hacia Europa
• Rhadamanthys y Agent Tesla amenazan a sectores energéticos de petróleo y gas
• Un nuevo actor de amenazas llamado CoralRaider, operando en el panorama cibernético asiático
• Malware JSOutProx, la amenaza que pone en jaque la seguridad cibernética de APAC y MENA
• Chrome soluciona fallo de día cero que permitía acceso remoto a datos confidenciales
• Vulnerabilidad crítica en el complemento LayerSlider de Wordpress bajo el CVE-2024-2879
• Ivanti emite parches críticos para cuatro vulnerabilidades en sus Gateways Secure
• Productos Cisco afectados por vulnerabilidades

Ataque de ransomware deja al condado de Jackson, Missouri, en estado de emergencia

El condado de Jackson, Missouri, se enfrenta a una crisis después de sufrir un ataque de ransomware que ha interrumpido varios servicios gubernamentales. El ataque ha dejado inactivos los sistemas de Evaluación, Recaudación y Registro de Escrituras, lo que afecta al pago de impuestos, licencias de matrimonio y sistemas de búsqueda de reclusos. Aunque las juntas electorales no se han visto afectadas, las autoridades han declarado un estado de emergencia y están colaborando con el FBI y el Departamento de Seguridad Nacional para investigar el incidente. Se están tomando medidas para proteger los datos y activos del condado, y se ha confirmado que la información financiera de los residentes no se ha visto comprometida, ya que se almacena fuera de la red del condado a través de un proveedor externo. El condado de Jackson, hogar de aproximadamente 718.000 personas, está trabajando arduamente para restaurar la normalidad y garantizar la seguridad de sus sistemas.


Empresa de hosting chilena, víctima de ciberataque por nueva banda ransomware SEXi

El proveedor chileno de centros de datos y hosting, enfrenta un ciberataque por parte de una nueva banda de ransomware denominada SEXi, que ha cifrado los servidores y copias de seguridad VMware ESXi de la compañía. La empresa ha informado a los clientes sobre la situación y está trabajando en restaurar los servicios afectados. Los atacantes exigen un rescate de dos bitcoins por víctima, equivalente a 140 millones de dólares. La compañía ha colaborado con agencias de seguridad en varios países para abordar este incidente. El ransomware SEXi ha sido identificado por investigadores de ciberseguridad y se observa que se dirige específicamente a servidores VMware ESXi, utilizando una extensión de archivo [.]SEXi. Aunque se desconoce si se ha robado datos para extorsionar a las empresas, se ha descubierto que los cifradores utilizados en el ataque tienen notas de rescate ligeramente diferentes dependiendo de si afectan a sistemas ESXi o Windows. Mientras tanto, la empresa ofrece ayuda a los clientes para configurar nuevos servidores y restaurar los sitios web afectados.

El Csirt del Gobierno también emitió un comunicado on una alerta de seguridad para mantener los sistemas VMware actualizados y parchados. 

UNAPIMON, el malware sigiloso utilizado por Earth Freybug en sus ciberoperaciones

El grupo de amenazas cibernéticas conocido como Earth Freybug ha sido identificado utilizando un nuevo malware llamado UNAPIMON con el fin de pasar desapercibido en sus operaciones de espionaje y motivación financiera. Este grupo, activo desde al menos 2012, se enfoca en dirigirse a organizaciones de diversos sectores y países. Se le ha asociado como un subconjunto dentro del grupo APT41, vinculado a China y conocido por varios nombres. Utiliza una combinación de binarios legítimos y malware personalizado, incluyendo técnicas como el secuestro de DLL y API. La firma de seguridad Trend Micro ha observado similitudes tácticas entre Earth Freybug y otro grupo revelado por Cybereason, denominado Operation CuckooBees. El modus operandi implica la utilización de ejecutables legítimos para implementar malware en los sistemas comprometidos, aunque no se ha determinado completamente el método de inyección del código malicioso. El malware UNAPIMON se destaca por su capacidad para evadir la detección mediante el uso de funciones API críticas. Trend Micro destaca la habilidad de adaptación y evolución de Earth Freybug a lo largo del tiempo, advirtiendo sobre la efectividad de técnicas simples cuando se aplican adecuadamente en un patrón de ataque existente.

Microsoft en la mira por Europa y EE.UU, al no detectar intrusión de Storm-0558

La Junta de Revisión de Seguridad Cibernética de EE. UU. ha criticado a Microsoft por una serie de fallas de seguridad que llevaron a la violación de casi dos docenas de empresas en Europa y EE. UU. por parte de un grupo de estados-nación con sede en China llamado Storm-0558 el año pasado. Según los hallazgos del Departamento de Seguridad Nacional (DHS) , la intrusión podría haberse evitado y se debió a errores evitables por parte de Microsoft, que reflejaban una falta de priorización en inversiones en seguridad empresarial y gestión de riesgos. La CSRB también criticó a Microsoft por no detectar el compromiso por sí solo y por no priorizar el desarrollo de soluciones automatizadas de seguridad. El incidente, revelado por Microsoft en julio de 2023, se debió a un error de validación en su código fuente que permitió a Storm-0558 falsificar tokens de Azure Active Directory. Microsoft aún no ha localizado el material clave afectado y su investigación sobre el hackeo sigue en curso. Se cree que hasta 60.000 correos electrónicos no clasificados fueron filtrados durante la campaña que comenzó en mayo de 2023. A pesar de que China ha negado su participación, la CSRB afirma que el grupo Storm-0558 está vinculado a ataques anteriores y tiene la capacidad de acceder a datos confidenciales. 

Mispadu el troyano bancario que se expande desde América Latina hacia Europa

El troyano bancario Mispadu ha expandido sus operaciones más allá de América Latina hacia Italia, Polonia y Suecia, aunque México sigue siendo su principal objetivo. La campaña ha resultado en el robo de miles de credenciales desde abril de 2023, utilizadas para llevar a cabo correos electrónicos de phishing maliciosos. Este malware, también conocido como URSA, fue detectado por primera vez en 2019 y tiene la capacidad de robar credenciales bancarias, capturar pantallas y registrar pulsaciones de teclas. Los ataques recientes han aprovechado una vulnerabilidad de Windows SmartScreen para comprometer a usuarios en México. El proceso de infección consta de varias etapas, comenzando con un archivo PDF adjunto en correos electrónicos de facturas falsas. Los ataques también incluyen comprobaciones Anti-VM para evitar la detección en máquinas virtuales. Mispadu utiliza dos servidores de comando y control para recuperar cargas útiles y extraer credenciales robadas de más de 200 servicios, con más de 60.000 archivos actualmente en su servidor.


Rhadamanthys y Agent Tesla amenazan a sectores energéticos de petróleo y gas

Una nueva versión de Rhadamanthys, un malware de robo de información, se está utilizando en campañas de phishing dirigidas al sector de petróleo y gas. Estos correos electrónicos fraudulentos emplean el pretexto de incidentes vehiculares para engañar a los destinatarios con documentos falsificados. Rhadamanthys, escrito en C++, se conecta a un servidor de comando y control para robar datos confidenciales. La campaña aparece coincidentemente tras la eliminación del grupo de ransomware LockBit, sugiriendo una posible conexión. Rhadamanthys ha evolucionado combinando un ladrón de información con LockBit, demostrando una continua evolución del malware. Además, otras actividades maliciosas incluyen una campaña de malspam en Indonesia que distribuye el malware Agent Tesla para robar información bancaria. Estas operaciones se han extendido a Australia y EE. UU., atribuidas a actores de amenazas africanos conocidos como Bignosa y Gods. El malware Agent Tesla está protegido por Cassandra Protector, dificultando su detección y análisis. Estos ataques resaltan la importancia de la seguridad cibernética en todos los niveles para enfrentar las amenazas emergentes.

Un nuevo actor de amenazas llamado CoralRaider, operando en el panorama cibernético asiático

Investigadores de seguridad de Talos, han detectado un presunto grupo de amenazas vietnamitas, denominado CoralRaider, que ha estado atacando a víctimas en varios países asiáticos desde mayo de 2023, con el objetivo de obtener datos valiosos de manera financiera. Utilizan malware como RotBot y XClient Stealer para robar credenciales, datos financieros y de redes sociales, especialmente apuntando a cuentas comerciales y publicitarias. Además, emplean otros tipos de malware como AsyncRAT, NetSupport RAT y Rhadamanthys para sus ataques. Se ha observado que los atacantes operan desde Vietnam y utilizan Telegram para extraer información robada de las víctimas, la cual luego se comercializa en mercados clandestinos. Aunque se desconoce cómo se distribuyen los archivos de acceso directo de Windows (LNK) utilizados en los ataques, los investigadores han identificado pistas que sugieren la conexión del grupo con Vietnam, incluyendo el idioma utilizado y mensajes en canales de bots de Telegram.

Malware JSOutProx, la amenaza que pone en jaque la seguridad cibernética de APAC y MENA

JSOutProx, un malware sofisticado que afecta a organizaciones financieras en Asia-Pacífico (APAC) y Medio Oriente y África del Norte (MENA) ha sido detectado por investigadores de Resecurity. Esta amenaza combina JavaScript y [.]NET, permitiendo la ejecución de complementos maliciosos para realizar diversas actividades, incluyendo la exfiltración de datos y operaciones del sistema de archivos. Los ataques, atribuidos a Solar Spider, se han dirigido a bancos y grandes empresas desde 2019, con un enfoque en instituciones financieras indias desde 2020. Utilizando correos electrónicos de phishing y notificaciones de pago falsas, el malware se propaga y se oculta eficazmente, incluso mediante la eliminación y creación de nuevos repositorios de código. Aunque detectado y bloqueado en GitHub y GitLab, la actividad maliciosa sigue en aumento desde febrero de 2024, destacando la persistencia y evolución de esta amenaza.

Chrome soluciona fallo de día cero que permitía acceso remoto a datos confidenciales

Investigadores de Palo Alto expusieron vulnerabilidad de día cero en el navegador Chrome durante el concurso Pwn2Own. La vulnerabilidad, identificada como CVE-2024-3159, es considerada de alta gravedad y se debe a una debilidad en el motor JavaScript Chrome V8, permitiendo a atacantes remotos acceder a datos más allá del búfer de memoria. Los investigadores de seguridad de Palo Alto Networks demostraron este día cero en el evento, obteniendo un premio de $42,500. Google ha lanzado una solución para esta vulnerabilidad en la versión estable de Chrome, que se desplegará globalmente en los próximos días.

Vulnerabilidad crítica en el complemento LayerSlider de Wordpress bajo el CVE-2024-2879

Una vulnerabilidad crítica (CVE-2024-2879) con puntuación 9.8 en el complemento LayerSlider  para WordPress, permite la extracción de información confidencial desde bases de datos. La corrección se realizó en la versión 7.10.1 lanzada el 27 de marzo de 2024, tras una divulgación responsable. Esta vulnerabilidad, derivada de una inyección SQL, afecta a las versiones desde 7.9.11 hasta 7.10.0. Se resalta la importancia de mantener actualizados los plugins para garantizar la seguridad de los sitios web. La falla expuesta en LayerSlider es atribuida a una salida insuficiente de los parámetros suministrados por el usuario, lo que permite a atacantes no autenticados ejecutar scripts web arbitrarios. Es necesario aplicar medidas proactivas para evitar la explotación de este tipo de vulnerabilidades en el los sistemas de WordPress. 

Ivanti emite parches críticos para cuatro vulnerabilidades en sus Gateways Secure

Ivanti ha lanzado actualizaciones de seguridad para abordar cuatro vulnerabilidades en Connect Secure y Policy Secure Gateways, que podrían resultar en la ejecución de código y ataques de denegación de servicio (DoS). Las vulnerabilidades, enumeradas como CVE-2024-21894, CVE-2024-22052, CVE-2024-22053 y CVE-2024-22023, afectan a varios componentes de estos productos. Aunque la compañía  no tiene conocimiento de explotaciones por parte de clientes hasta la fecha de divulgación, ha estado enfrentando un flujo constante de fallas de seguridad desde principios de año. Además, Ivanti ha enviado parches para corregir deficiencias críticas en otros productos, como Standalone Sentry y Neurons for ITSM. El director ejecutivo de Ivanti, Jeff Abbott, reconoce las deficiencias pasadas y anuncia medidas para fortalecer la postura de seguridad de la empresa, incluyendo cambios en el modelo operativo, énfasis en la seguridad desde el diseño, mayor transparencia con los clientes y mejoras en prácticas de gestión de vulnerabilidades y recompensas por errores. 

Productos Cisco afectados por vulnerabilidades

Cisco ha publicado 12 avisos de seguridad que contemplan 13 vulnerabilidades. De estas, 2 son clasificadas como severidad Alta y 11 de severidad Media.

La primera vulnerabilidad, CVE-2024-20348, afecta al Cisco Nexus Dashboard Fabric Controller (NDFC) y permite a un atacante remoto no autenticado leer archivos arbitrarios. Esto se debe a un servidor web de aprovisionamiento no autenticado, lo que podría permitir la lectura de archivos confidenciales en el contenedor PnP, facilitando futuros ataques.

Por otro lado, la segunda vulnerabilidad, CVE-2024-20281, afecta a la interfaz de administración basada en web de Cisco Nexus Dashboard y los servicios alojados de Cisco Nexus Dashboard. Esta vulnerabilidad permite a un atacante remoto no autenticado realizar un ataque de falsificación de solicitud entre sitios (CSRF), lo que podría llevar a cabo acciones arbitrarias con los privilegios del usuario afectado, incluyendo la modificación de la configuración del sistema y la creación de nuevas cuentas privilegiadas.

Para obtener el detalle de cada una de las vulnerabilidades accede al siguiente enlace en nuestro Portal CCI.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 08 al 14 de abril de 2024:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Servicios de salud, sociales y farmacia
• Transportes y servicios automotrices

• Retail y servicios de consumo
• Defensa y orden público
• Educación

• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios básicos y sanitarios
• Servicios empresariales y comercio
• Shipment y cadena de suministros

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca – consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.