ENTEL Weekly Threat Intelligence Brief del 15 al 21 de abril de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Una nueva variante de Lockbit aprovecha sus características de autodifusión
• Ransomware gratuito: proliferan las imitaciones y los impostores de Lockbit
• Programa espía para iOS Lightspy, vinculado a china, se dirige a usuarios de iPhone del sur de asia
• Nuevos ataques SteganoAmor utilizan la esteganografía para atacar a 320 organizaciones de todo el mundo
• Ingeniería social al abuso de Dmarc: el arte de recabar información de TA427 
• Trabajadores de T-mobile y Verizon reciben mensajes de texto ofreciendo 300 dólares por el cambio de sim
• Rusia intenta sabotear los ferrocarriles europeos, según un ministro checo
• Cisco advierte del aumento global de ataques de fuerza bruta contra servicios VPN y SSH
• Grupo ucraniano blackjack utilizó el malware ICS Fuxnet contra objetivos rusos
• Campaña de ciberdelincuentes difunde infostealers y pone de relieve los riesgos de los juegos web3
• Moldovan acusado de operar una botnet utilizada para distribuir ransomware
• Cerraduras inteligentes Chirp pueden desbloquearse a distancia de forma trivial
• Investigadores detienen un "intento creíble de toma de control" similar al incidente de la puerta trasera XZ Utils
• Cliente SSH PuTTy, muy utilizado, vulnerable a un ataque de recuperación de claves
• Vulnerabilidad "LeakyCLI" Expone Credenciales en Herramientas CLI de Grandes Nubes
• Redes de bots siguen explotando CVE-2023-1389 para su propagación a gran escala
• Fallo crítico de Atlassian explotado para desplegar la variante linux del ransomware cerber
• Hackers aprovechan un fallo de Fortinet y despliegan screenconnect y metasploit en una nueva campaña
• Cisco advierte de un fallo de escalada de inyección de comandos en su imc. poc a disposición del público

Una nueva variante de Lockbit aprovecha sus características de autodifusión

El reciente incidente en África Occidental resalta la amenaza del ransomware LockBit. Cibercriminales, usando credenciales de administrador robadas, desplegaron una variante auto-propagable del malware que dificulta su detección y manejo. A pesar de las filtraciones anteriores del Builder LockBit 3.0, su uso sigue siendo efectivo y peligroso.

Ransomware gratuito: proliferan las imitaciones y los impostores de Lockbit

Desde septiembre de 2022, el ransomware LockBit ha sido accesible para muchos ciberactores debido a la filtración de su constructor por un desarrollador descontento. Aunque LockBit niega estar involucrado, varias entidades han sido atacadas usando este código, incluyendo un importante ataque a la Red de Salud Alemana KHO. Los atacantes aprovechan la marca sin cumplir requisitos estrictos, lo que ha permitido a grupos emergentes, como Wing y Dragonforce, utilizar versiones modificadas del código filtrado para lanzar ataques.

Programa espía para iOS Lightspy, vinculado a china, se dirige a usuarios de iPhone del sur de asia

Investigadores de ciberseguridad han descubierto una campaña renovada de ciberespionaje dirigida a usuarios en el sur de Asia, distribuyendo un implante de spyware iOS llamado LightSpy. Apodado "F_Warehouse", este spyware posee un marco modular con capacidades extensas de espionaje y ha sido vinculado con el grupo estatal chino APT41. LightSpy, es capaz de extraer información sensible y controlar dispositivos infectados, representa un riesgo severo para individuos y organizaciones en el sur de Asia. La evidencia sugiere la participación de hablantes nativos chinos, aumentando las sospechas de actividades patrocinadas por el estado.
 

Nuevos ataques SteganoAmor utilizan la esteganografía para atacar a 320 organizaciones de todo el mundo 

La campaña "SteganoAmor" del grupo hacker TA558 usa esteganografía para ocultar malware en imágenes, afectando a 320 organizaciones globalmente. Los ataques explotan una vulnerabilidad de Microsoft Office para distribuir variados malwares, incluyendo AgentTesla y LokiBot, mediante servicios de nube y FTP legítimos.

Ingeniería social al abuso de Dmarc: el arte de recabar información de TA427 

TA427, un grupo alineado con Corea del Norte, utiliza tácticas de ingeniería social y suplantación de identidad para espiar y recopilar información estratégica sobre políticas extranjeras de EE.UU. y Corea del Sur. Mediante correos iniciados con conversaciones benignas, y personificando a expertos de think tanks y ONGs, buscan establecer contactos prolongados para extraer datos de política exterior. Recientemente, han incorporado balizas web para realizar reconocimientos iniciales y perfeccionar sus ataques.

Trabajadores de T-mobile y Verizon reciben mensajes de texto ofreciendo 300 dólares por el cambio de sim

Criminales están enviando mensajes a empleados de T-Mobile, Verizon y Charter Communications, ofreciendo $300 por realizar cambios de SIM fraudulentos. Esta campaña utiliza directorios de empleados para contactar a personal actual y anterior con acceso a sistemas necesarios para los cambios de SIM. Estos ataques han llevado a nuevas regulaciones de la FCC para proteger contra esta amenaza creciente.

Rusia intenta sabotear los ferrocarriles europeos, según un ministro checo

El Ministro de Transporte checo, Martin Kupka, advirtió que Rusia ha intentado miles de veces sabotear los ferrocarriles europeos para desestabilizar la UE e interferir con infraestructuras críticas. Los ciberataques se dirigieron a los sistemas de señalización y redes del operador nacional checo, České dráhy. La defensa cibernética checa logró neutralizar estos ataques, que también fueron reportados por la agencia europea de ciberseguridad ENISA.

Cisco advierte del aumento global de ataques de fuerza bruta contra servicios VPN y SSH

Cisco alerta sobre un aumento global de ataques de fuerza bruta desde el 18 de marzo de 2024, dirigidos a dispositivos como VPNs y servicios SSH, originados en nodos de salida de TOR y otros túneles anónimos. Estos ataques buscan acceso no autorizado a redes y podrían causar bloqueos de cuentas o condiciones de denegación de servicio.

Grupo ucraniano blackjack utilizó el malware ICS Fuxnet contra objetivos rusos

El grupo ucraniano Blackjack utilizó el malware ICS destructivo, Fuxnet, para atacar infraestructuras rusas, afectando especialmente a Moscollector, una empresa moscovita de infraestructura de agua y comunicaciones. Según reportes, Fuxnet desactivó 87.000 sensores y controles, incluyendo routers y bases de datos, causando daños significativos a los sistemas de emergencia y respuesta de Moscú.
 

Campaña de ciberdelincuentes difunde infostealers y pone de relieve los riesgos de los juegos web3

Insikt Group identificó una campaña cibercriminal en ruso que usa proyectos fraudulentos de juegos Web3 para distribuir malware infostealer en dispositivos macOS y Windows. Estos proyectos imitan a otros legítimos con ligeras variaciones en nombres y marcas, y alientan a los usuarios a descargar un software que resulta ser malware, incluyendo variantes como Atomic Mac OS Stealer y Rhadamanthys. La campaña aprovecha las vulnerabilidades de los jugadores de Web3, apuntando a sus billeteras de criptomonedas y datos personales. Los atacantes preparan la infraestructura para asegurar la continuidad y adaptabilidad de sus ataques.
 

Moldavo acusado de operar una botnet utilizada para distribuir ransomware

Alexander Lefterov, ciudadano moldavo, fue acusado por el Departamento de Justicia de EE. UU. de operar un botnet a gran escala que infectó miles de computadoras en Estados Unidos. Utilizando esta botnet, Lefterov y sus cómplices robaron credenciales y dinero, accediendo a cuentas financieras y de pago mediante un servidor hVNC oculto. Además, arrendó la botnet a otros cibercriminales para distribuir malware, incluido ransomware. Las penas por sus delitos varían de 2 a 10 años de prisión.

Cerraduras inteligentes Chirp pueden desbloquearse a distancia de forma trivial

La aplicación de Chirp para Android tiene una vulnerabilidad crítica que permite a cualquier persona con las credenciales codificadas desbloquear remotamente cerraduras inteligentes afectando a más de 50.000 hogares. Aunque Chirp actualizó su app tras una alerta de CISA, la falla de seguridad permite acceso físico ilimitado.
 

Investigadores detienen un "intento creíble de toma de control" similar al incidente de la puerta trasera XZ Utils

Investigadores de seguridad detuvieron un intento de toma de control similar al incidente de XZ Utils, resaltando la necesidad urgente de fortalecer la gestión del software de código abierto. El equipo de OpenJS, que supervisa proyectos de JavaScript utilizados globalmente, identificó correos sospechosos que intentaban obtener control de mantenimiento sin justificación específica. Este intento recuerda a actores maliciosos que buscan aprovecharse de los mantenedores de código abierto sobrecargados.
 

Cliente SSH PuTTy, muy utilizado, vulnerable a un ataque de recuperación de claves

Se ha descubierto una vulnerabilidad crítica en PuTTY, afectando versiones 0.68 a 0.80, que permite recuperar claves privadas NIST P-521. Identificada como CVE-2024-31497, permite a atacantes recuperar y falsificar claves privadas. Afecta también a FileZilla, WinSCP, y otros. Soluciones disponibles en las últimas actualizaciones.
 

Vulnerabilidad "LeakyCLI" expone credenciales en herramientas CLI de grandes nubes

Investigaciones de ciberseguridad revelan que las herramientas CLI de AWS y Google Cloud pueden exponer credenciales sensibles en registros de compilación, un riesgo significativo para las organizaciones. Microsoft ya solucionó el problema asignándole el identificador CVE-2023-36052. Amazon y Google consideran este comportamiento esperado, sugiriendo medidas preventivas específicas.
 

Redes de bots siguen explotando CVE-2023-1389 para su propagación a gran escala

FortiGuard Labs revela que múltiples botnets siguen explotando la vulnerabilidad CVE-2023-1389 en TP-Link Archer AX21, usada para ataques de inyección de comandos. Botnets como Moobot y Miori aprovechan esta falla para lanzar ataques DDoS. A pesar de las soluciones existentes, el riesgo persiste debido a la continua explotación de la vulnerabilidad.
 

Fallo crítico de Atlassian explotado para desplegar la variante linux del ransomware cerber

Actores de amenazas están explotando servidores Atlassian no parcheados para desplegar una variante Linux del ransomware Cerber, aprovechando la vulnerabilidad crítica CVE-2023-22518. Esta permite a un atacante no autenticado restablecer Confluence y crear una cuenta de administrador para ejecutar comandos arbitrarios y desplegar el ransomware.
 

Hackers aprovechan un fallo de Fortinet y despliegan screenconnect y metasploit en una nueva campaña

Investigadores descubren una campaña que explota un fallo en dispositivos Fortinet FortiClient EMS, usando CVE-2023-48788, para entregar cargas de ScreenConnect y Metasploit Powerfun. La vulnerabilidad crítica de inyección SQL permite a atacantes no autenticados ejecutar código no autorizado.
 

Cisco advierte de un fallo de escalada de inyección de comandos en su imc. poc a disposición del público

Cisco ha corregido una vulnerabilidad de alta gravedad en su Controlador de Gestión Integrada (IMC), con código de explotación público disponible que permite a un atacante local escalar privilegios a root mediante inyección de comandos.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 22 de abril al 28 de abril de 2024:

Objetivos observados durante semana de análisis: 

• Servicios legales y profesionales
• Industrias manufactureras, materiales y minería
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Retail y servicios de consumo
• Shipment y cadena de suministros
• Defensa y orden público
• Banca y Finanzas
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Petróleo

• Servicios legales y profesionales
• Industrias manufactureras, materiales y minería
• Educación
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Retail y servicios de consumo
• Banca y Finanzas
• Servicios básicos y sanitarios

• Turismo, hoteles y restaurantes
• Shipment y cadena de suministros
• Defensa y orden público
• Organizaciones sin fines de lucro

• Entretenimiento, cultura y arte

• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Petróleo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
• Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
• Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
• Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.