El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Una nueva variante de Lockbit aprovecha sus características de autodifusión
El reciente incidente en África Occidental resalta la amenaza del ransomware LockBit. Cibercriminales, usando credenciales de administrador robadas, desplegaron una variante auto-propagable del malware que dificulta su detección y manejo. A pesar de las filtraciones anteriores del Builder LockBit 3.0, su uso sigue siendo efectivo y peligroso.
Ransomware gratuito: proliferan las imitaciones y los impostores de Lockbit
Desde septiembre de 2022, el ransomware LockBit ha sido accesible para muchos ciberactores debido a la filtración de su constructor por un desarrollador descontento. Aunque LockBit niega estar involucrado, varias entidades han sido atacadas usando este código, incluyendo un importante ataque a la Red de Salud Alemana KHO. Los atacantes aprovechan la marca sin cumplir requisitos estrictos, lo que ha permitido a grupos emergentes, como Wing y Dragonforce, utilizar versiones modificadas del código filtrado para lanzar ataques.
Programa espía para iOS Lightspy, vinculado a china, se dirige a usuarios de iPhone del sur de asia
Investigadores de ciberseguridad han descubierto una campaña renovada de ciberespionaje dirigida a usuarios en el sur de Asia, distribuyendo un implante de spyware iOS llamado LightSpy. Apodado "F_Warehouse", este spyware posee un marco modular con capacidades extensas de espionaje y ha sido vinculado con el grupo estatal chino APT41. LightSpy, es capaz de extraer información sensible y controlar dispositivos infectados, representa un riesgo severo para individuos y organizaciones en el sur de Asia. La evidencia sugiere la participación de hablantes nativos chinos, aumentando las sospechas de actividades patrocinadas por el estado.
Nuevos ataques SteganoAmor utilizan la esteganografía para atacar a 320 organizaciones de todo el mundo
La campaña "SteganoAmor" del grupo hacker TA558 usa esteganografía para ocultar malware en imágenes, afectando a 320 organizaciones globalmente. Los ataques explotan una vulnerabilidad de Microsoft Office para distribuir variados malwares, incluyendo AgentTesla y LokiBot, mediante servicios de nube y FTP legítimos.
Ingeniería social al abuso de Dmarc: el arte de recabar información de TA427
TA427, un grupo alineado con Corea del Norte, utiliza tácticas de ingeniería social y suplantación de identidad para espiar y recopilar información estratégica sobre políticas extranjeras de EE.UU. y Corea del Sur. Mediante correos iniciados con conversaciones benignas, y personificando a expertos de think tanks y ONGs, buscan establecer contactos prolongados para extraer datos de política exterior. Recientemente, han incorporado balizas web para realizar reconocimientos iniciales y perfeccionar sus ataques.
Trabajadores de T-mobile y Verizon reciben mensajes de texto ofreciendo 300 dólares por el cambio de sim
Criminales están enviando mensajes a empleados de T-Mobile, Verizon y Charter Communications, ofreciendo $300 por realizar cambios de SIM fraudulentos. Esta campaña utiliza directorios de empleados para contactar a personal actual y anterior con acceso a sistemas necesarios para los cambios de SIM. Estos ataques han llevado a nuevas regulaciones de la FCC para proteger contra esta amenaza creciente.
Rusia intenta sabotear los ferrocarriles europeos, según un ministro checo
El Ministro de Transporte checo, Martin Kupka, advirtió que Rusia ha intentado miles de veces sabotear los ferrocarriles europeos para desestabilizar la UE e interferir con infraestructuras críticas. Los ciberataques se dirigieron a los sistemas de señalización y redes del operador nacional checo, České dráhy. La defensa cibernética checa logró neutralizar estos ataques, que también fueron reportados por la agencia europea de ciberseguridad ENISA.
Cisco advierte del aumento global de ataques de fuerza bruta contra servicios VPN y SSH
Cisco alerta sobre un aumento global de ataques de fuerza bruta desde el 18 de marzo de 2024, dirigidos a dispositivos como VPNs y servicios SSH, originados en nodos de salida de TOR y otros túneles anónimos. Estos ataques buscan acceso no autorizado a redes y podrían causar bloqueos de cuentas o condiciones de denegación de servicio.
Grupo ucraniano blackjack utilizó el malware ICS Fuxnet contra objetivos rusos
El grupo ucraniano Blackjack utilizó el malware ICS destructivo, Fuxnet, para atacar infraestructuras rusas, afectando especialmente a Moscollector, una empresa moscovita de infraestructura de agua y comunicaciones. Según reportes, Fuxnet desactivó 87.000 sensores y controles, incluyendo routers y bases de datos, causando daños significativos a los sistemas de emergencia y respuesta de Moscú.
Campaña de ciberdelincuentes difunde infostealers y pone de relieve los riesgos de los juegos web3
Insikt Group identificó una campaña cibercriminal en ruso que usa proyectos fraudulentos de juegos Web3 para distribuir malware infostealer en dispositivos macOS y Windows. Estos proyectos imitan a otros legítimos con ligeras variaciones en nombres y marcas, y alientan a los usuarios a descargar un software que resulta ser malware, incluyendo variantes como Atomic Mac OS Stealer y Rhadamanthys. La campaña aprovecha las vulnerabilidades de los jugadores de Web3, apuntando a sus billeteras de criptomonedas y datos personales. Los atacantes preparan la infraestructura para asegurar la continuidad y adaptabilidad de sus ataques.
Moldavo acusado de operar una botnet utilizada para distribuir ransomware
Alexander Lefterov, ciudadano moldavo, fue acusado por el Departamento de Justicia de EE. UU. de operar un botnet a gran escala que infectó miles de computadoras en Estados Unidos. Utilizando esta botnet, Lefterov y sus cómplices robaron credenciales y dinero, accediendo a cuentas financieras y de pago mediante un servidor hVNC oculto. Además, arrendó la botnet a otros cibercriminales para distribuir malware, incluido ransomware. Las penas por sus delitos varían de 2 a 10 años de prisión.
Cerraduras inteligentes Chirp pueden desbloquearse a distancia de forma trivial
La aplicación de Chirp para Android tiene una vulnerabilidad crítica que permite a cualquier persona con las credenciales codificadas desbloquear remotamente cerraduras inteligentes afectando a más de 50.000 hogares. Aunque Chirp actualizó su app tras una alerta de CISA, la falla de seguridad permite acceso físico ilimitado.
Investigadores detienen un "intento creíble de toma de control" similar al incidente de la puerta trasera XZ Utils
Investigadores de seguridad detuvieron un intento de toma de control similar al incidente de XZ Utils, resaltando la necesidad urgente de fortalecer la gestión del software de código abierto. El equipo de OpenJS, que supervisa proyectos de JavaScript utilizados globalmente, identificó correos sospechosos que intentaban obtener control de mantenimiento sin justificación específica. Este intento recuerda a actores maliciosos que buscan aprovecharse de los mantenedores de código abierto sobrecargados.
Cliente SSH PuTTy, muy utilizado, vulnerable a un ataque de recuperación de claves
Se ha descubierto una vulnerabilidad crítica en PuTTY, afectando versiones 0.68 a 0.80, que permite recuperar claves privadas NIST P-521. Identificada como CVE-2024-31497, permite a atacantes recuperar y falsificar claves privadas. Afecta también a FileZilla, WinSCP, y otros. Soluciones disponibles en las últimas actualizaciones.
Vulnerabilidad "LeakyCLI" expone credenciales en herramientas CLI de grandes nubes
Investigaciones de ciberseguridad revelan que las herramientas CLI de AWS y Google Cloud pueden exponer credenciales sensibles en registros de compilación, un riesgo significativo para las organizaciones. Microsoft ya solucionó el problema asignándole el identificador CVE-2023-36052. Amazon y Google consideran este comportamiento esperado, sugiriendo medidas preventivas específicas.
Redes de bots siguen explotando CVE-2023-1389 para su propagación a gran escala
FortiGuard Labs revela que múltiples botnets siguen explotando la vulnerabilidad CVE-2023-1389 en TP-Link Archer AX21, usada para ataques de inyección de comandos. Botnets como Moobot y Miori aprovechan esta falla para lanzar ataques DDoS. A pesar de las soluciones existentes, el riesgo persiste debido a la continua explotación de la vulnerabilidad.
Fallo crítico de Atlassian explotado para desplegar la variante linux del ransomware cerber
Actores de amenazas están explotando servidores Atlassian no parcheados para desplegar una variante Linux del ransomware Cerber, aprovechando la vulnerabilidad crítica CVE-2023-22518. Esta permite a un atacante no autenticado restablecer Confluence y crear una cuenta de administrador para ejecutar comandos arbitrarios y desplegar el ransomware.
Hackers aprovechan un fallo de Fortinet y despliegan screenconnect y metasploit en una nueva campaña
Investigadores descubren una campaña que explota un fallo en dispositivos Fortinet FortiClient EMS, usando CVE-2023-48788, para entregar cargas de ScreenConnect y Metasploit Powerfun. La vulnerabilidad crítica de inyección SQL permite a atacantes no autenticados ejecutar código no autorizado.
Cisco advierte de un fallo de escalada de inyección de comandos en su imc. poc a disposición del público
Cisco ha corregido una vulnerabilidad de alta gravedad en su Controlador de Gestión Integrada (IMC), con código de explotación público disponible que permite a un atacante local escalar privilegios a root mediante inyección de comandos.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 22 de abril al 28 de abril de 2024:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: