El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
UnitedHealth Group paga rescate para proteger datos corporativos y de pacientes robados en ataque de Ransomware a Optum
UnitedHealth Group una empresa de bienestar y salud médica de EE.UU, confirmó haber pagado un rescate a los ciberdelincuentes para proteger datos confidenciales robados durante el ataque de ransomware a Optum a finales de febrero. El ataque afectó el pago de Change Healthcare, interrumpiendo servicios críticos para proveedores de atención médica y farmacias en Estados Unidos, como procesamiento de pagos, prescripción de medicamentos y reclamaciones de seguros. El daño económico se estimó en 872 millones de dólares. La banda de ransomware BlackCat/ALPHV reivindicó el ataque, alegando haber robado 6 TB de datos de pacientes y recibir un rescate de 22 millones de dólares. Sin embargo, un afiliado de la banda conocido como "Notchy" afirmó que BlackCat lo engañó con el pago del rescate. La transacción de rescate fue rastreada a una billetera de Bitcoin usada por BlackCat. Una semana después, el gobierno de EE. UU. inició una investigación para determinar si se habían robado datos de salud.
Grupo APT Sandworm ataca infraestructura crítica de Ucrania afectando servicios de energía y agua
El grupo de ciberactores ruso denominado Sandworm, también conocido como BlackEnergy, Seashell Blizzard, Voodoo Bear y APT44, buscaba interrumpir operaciones en aproximadamente 20 instalaciones de infraestructura crítica en Ucrania, según el Equipo Ucraniano de Respuesta a Emergencias Informáticas (CERT-UA). Estos ciberactores están asociados con la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de Rusia (GRU) y realizan ciberespionaje y ataques destructivos. En marzo de 2024, APT44 atacó sistemas de información y comunicación de proveedores de energía, agua y calefacción en 10 regiones ucranianas, infiltrándose mediante envenenamiento de la cadena de suministro o acceso de proveedores para mantenimiento técnico. Sandworm combinó malware conocido con nuevas herramientas maliciosas como BIASBOAT y LOADGRIP para obtener acceso y moverse lateralmente en la red comprometida.
Ciberactores Rusos de APT28 explotan falla de Windows Print Spooler para robar datos confidenciales
Microsoft advierte que el grupo de amenazas ruso APT28 está explotando una vulnerabilidad en el Windows Print Spooler para escalar privilegios y robar datos utilizando una herramienta llamada GooseEgg. La vulnerabilidad CVE-2022-38028 fue solucionada por Microsoft en el martes del parche de octubre de 2022, aunque APT28 ha estado explotándola desde al menos junio de 2020. El grupo de ciberactores, que forma parte de la Unidad Militar 26165 del GRU ruso, usa GooseEgg para desplegar cargas útiles adicionales y ejecutar comandos con privilegios de sistema. Los atacantes implementan scripts por lotes para iniciar el ejecutable GooseEgg, ganar persistencia y ejecutar otros scripts para lanzar cargas útiles maliciosas. GooseEgg también puede colocar archivos DLL maliciosos en el contexto del servicio Print Spooler, permitiendo a los atacantes moverse lateralmente, instalar puertas traseras y ejecutar código remoto con permisos de sistema.
Amenazas de malware en repositorios de GitLab y GitHub simulan repositorios oficiales de Microsoft
Los actores de amenazas están explotando una falla o posible decisión de diseño en GitHub para distribuir malware utilizando URL asociadas con repositorios de Microsoft, creando la apariencia de que estos archivos son confiables. Ahora, se ha descubierto que GitLab también es vulnerable a este problema, permitiendo que se abuse de manera similar para distribuir malware. El defecto permite a los atacantes crear URL que parecen provenir de repositorios de Microsoft o GitLab, engañando a los usuarios para que descarguen archivos maliciosos. Los atacantes incluso han utilizado los comentarios de GitLab para distribuir malware, haciendo que parezca alojado en repositorios oficiales de organizaciones conocidas. Un ejemplo son las URL con el nombre de Microsoft, pero los archivos ZIP allí alojados eran, de hecho, malware cargado en la CDN de GitHub. La investigación realizada reveló que estos archivos no estaban realmente en los repositorios oficiales, sino que fueron cargados por actores maliciosos mediante el uso malicioso de las funciones de comentarios de GitHub.
CoralRaider utiliza caché de CDN para almacenar y distribuir malware en ataques globales
Un actor de amenazas conocido como CoralRaider está utilizando la caché de una red de entrega de contenido para almacenar malware de robo de información en una campaña dirigida a sistemas en Estados Unidos, Reino Unido, Alemania y Japón. Los investigadores creen que CoralRaider tiene motivación financiera y se enfoca en robar credenciales, datos financieros y cuentas de redes sociales. El grupo entrega ladrones de información como LummaC2, Rhadamanthys y Cryptbot, disponibles en foros clandestinos como parte de plataformas de malware como servicio a través de tarifas de suscripción. Cisco Talos evalúa con confianza moderada que esta campaña está relacionada con CoralRaider debido a similitudes en tácticas, técnicas y procedimientos (TTP) con ataques anteriores atribuidos al actor. Las pistas incluyen vectores de ataque iniciales, uso de scripts intermedios de PowerShell para descifrado y entrega de cargas útiles, y métodos específicos para eludir controles de acceso de usuarios (UAC) en las máquinas de las víctimas.
Brokewell, Nuevo Troyano Bancario para Android se disfraza de actualización de Google Chrome
Un nuevo troyano bancario para Android llamado Brokewell puede capturar eventos en el dispositivo, desde toques y texto ingresado hasta las aplicaciones que el usuario inicia y la información mostrada en pantalla. El malware se distribuye mediante una actualización falsa de Google Chrome que se muestra al usar el navegador web. Brokewell está en desarrollo activo y combina amplias capacidades de control remoto y adquisición de dispositivos. Fue descubierto por investigadores al analizar una página de actualización falsa de Chrome que descargaba una carga útil. Este método de distribución es común para engañar a usuarios desprevenidos y hacer que instalen malware en sus dispositivos Android.
Campaña "Dev Popper" engaña a desarrolladores para instalar Troyano de Acceso Remoto (RAT)
La campaña "Dev Popper" tiene como objetivo engañar a desarrolladores de software con entrevistas de trabajo falsas para que instalen un troyano de acceso remoto (RAT) de Python. Los atacantes solicitan a los desarrolladores que realicen tareas relacionadas con la entrevista, como descargar y ejecutar código de GitHub, para hacer que el proceso parezca legítimo. El verdadero objetivo es que los desarrolladores instalen software malicioso que recopile información del sistema y permita acceso remoto al host. Analistas de Securonix indican que esta campaña podría ser obra de actores de amenazas norcoreanos, pero las conexiones no son lo suficientemente fuertes para atribuirlas con certeza.
Exploit publicado para vulnerabilidad crítica en Progress Flowmon
Se ha publicado un código de prueba de concepto para una vulnerabilidad de máxima gravedad en Progress Flowmon, una herramienta de monitoreo de rendimiento y visibilidad de la red utilizada por más de 1.500 empresas, incluidas SEGA, KIA, TDK, Volkswagen y Orange. La vulnerabilidad, con una puntuación de 10/10 en gravedad, permite a un atacante utilizar una solicitud API especialmente diseñada para obtener acceso remoto y no autenticado a la interfaz web de Flowmon, ejecutando comandos arbitrarios del sistema. El problema se identifica como CVE-2024-2389 y fue descubierto por Rhino Security Labs. Progress Software, el desarrollador de Flowmon, alertó sobre la falla el 4 de abril, advirtiendo que afecta las versiones v12.x y v11.x, y recomendó actualizar a las últimas versiones (v12.3.5 y v11.1.14). Las actualizaciones de seguridad están disponibles para todos los clientes de Flowmon, tanto automáticamente como manualmente desde el centro de descargas de Progress.
Vulnerabilidad crítica en WP Automatic permite creación de cuentas administrativas en WordPress
Ciberactores están explotando una vulnerabilidad crítica en el complemento WP Automatic para WordPress, permitiendo la creación de cuentas de usuario con privilegios administrativos y la colocación de puertas traseras para acceso a largo plazo. WP Automatic, instalado en más de 30.000 sitios web, automatiza la importación de contenido y publicación en sitios de WordPress. La vulnerabilidad, identificada como CVE-2024-27956, recibió una puntuación de gravedad de 9,9/10 y fue divulgada por PatchStack el 13 de marzo. El problema es un defecto de inyección SQL en el mecanismo de autenticación, que permite a los atacantes crear cuentas de administrador mediante consultas SQL especialmente diseñadas. Desde la divulgación, se han registrado más de 5,5 millones de intentos de ataque, especialmente el 31 de marzo. Tras obtener acceso de administrador, los atacantes suelen crear puertas traseras y ofuscar el código para ocultar sus acciones.
CrushFTP insta a actualizar sistemas por vulnerabilidad crítica que afecta a más de 1.400 servidores
Más de 1.400 servidores CrushFTP expuestos en línea son vulnerables a ataques dirigidos a una vulnerabilidad de inyección de plantilla del lado del servidor (SSTI) de gravedad crítica previamente explotada como día cero. La vulnerabilidad, identificada como CVE-2024-4040, se describe como un escape del sistema de archivos virtual (VFS) en el software de transferencia de archivos administrados CrushFTP, permitiendo la lectura de archivos arbitrarios. Sin embargo, los atacantes no autenticados pueden usarla para obtener ejecución remota de código (RCE) en sistemas sin parches. Rapid7 confirmó la gravedad de la falla, señalando que es "totalmente no autenticada y trivialmente explotable", permitiendo la lectura de archivos arbitrarios como root y la ejecución remota de código.
Vulnerabilidad crítica en PAN-OS, Palo Alto Networks ofrece guía para CVE-2024-3400
Palo Alto Networks ha publicado una guía para resolver una vulnerabilidad crítica en PAN-OS, que ha sido explotada activamente. La vulnerabilidad, identificada como CVE-2024-3400 y con un puntaje CVSS de 10.0, permite la ejecución remota de comandos de shell no autenticados en dispositivos afectados. La solución ya está disponible para varias versiones de PAN-OS 10.2.x, 11.0.x y 11.1.x. La evidencia indica que esta vulnerabilidad ha sido explotada como día cero desde al menos el 26 de marzo de 2024 por el grupo de amenazas UTA0218. La actividad, denominada Operación MidnightEclipse, implica el uso de la falla para eliminar una puerta trasera basada en Python llamada UPSTYLE, que puede ejecutar comandos a través de solicitudes especialmente diseñadas. Aunque las intrusiones no se han atribuido a ningún actor específico, se sospecha que se trata de un equipo de actores de amenaza respaldado por el estado, debido a las técnicas y victimología observadas.
Cisco y Okta alertan sobre el incremento en ataques de fuerza bruta y relleno de credenciales
En el ámbito de la ciberseguridad, Okta , un reconocido proveedor de servicios de gestión de identidad y acceso (IAM), alertó sobre un notable incremento en la "frecuencia y escala" de ataques de relleno de credenciales dirigidos a servicios en línea. Estos ataques, observados en el último mes, se han vuelto más peligrosos debido a la amplia disponibilidad de proxies residenciales, listas de credenciales previamente robadas y herramientas de secuencias de comandos automatizadas. Okta relaciona sus advertencias con un aviso reciente de Cisco, que señaló un aumento global de ataques de fuerza bruta dirigidos a varios dispositivos de red. Según Cisco, estos ataques parecen originarse desde nodos de salida TOR y otros túneles y proxies anónimos. Los dispositivos más afectados incluyen VPN de Cisco, Check Point, Fortinet y SonicWall, entre otros, además de interfaces de autenticación de aplicaciones web y servicios SSH.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 29 de abril al 05 de mayo de 2024:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: