El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Roban una base de datos de 49 millones de pedidos de clientes de Dell
Durante la semana se identificó en un foro DDW la publicación de un usuario que afirmaba tener una base de datos con registro de 49 millones de pedidos del fabricante tecnológico Dell, la cual se encontraba a la venta, y que si bien la noticia fue rápidamente difundida, con esta misma velocidad la publicación fue removida del foro presumiblemente tras la adquisición de ella por algún interesado o por los administradores del foro.
En base a lo declarado por el actor “Menelik” a Bleeping Computer, se menciona que la sustracción de la información se realizó mediante consultas API en el portal de partners desde donde se pueden revisar información de órdenes de compra, a la cual se suscribió con un nombre de una compañía falsa, a la cual Dell le otorgó acceso sin previa verificación, lo que le permitió al actor generar 5.000 consultas por minuto durante 3 semanas sin ser bloqueado por la compañía.
Si bien en este punto el actor notificó a la marca, menciona que el bug permaneció activo durante 2 semanas más, mientras que por su parte Dell, declara que ya habían detectado la actividad inusual previo a la recepción de correo del actor malicioso y que ya se encontraban trabajando con investigadores forenses.
Por otra parte, desde el gigante tecnológico Dell se confirmó que el incidente era real y que la base de datos robada incluye información personal de sus clientes como nombres, direcciones y detalles de equipos Dell, pero no datos financieros, en un rango de tiempo desde 2017 hasta 2024.
Por su parte, Dell ha iniciado una investigación, notificado a las autoridades y a clientes afectados, tomado medidas para proteger la información.
Operador chileno de telefonía móvil expuso los contratos de sus clientes
Una compañía de telecomunicaciones sudamericana con presencia en Chile, no configuró adecuadamente la contraseña en su almacenamiento en la nube, exponiendo más de un millón de contratos con datos sensibles de clientes. El fallo en Amazon Web Services reveló nombres, direcciones, y números RUT, esenciales para identificación fiscal en Chile. Este acceso público puso en riesgo de fraude e identidad a miles de clientes.
LLMjacking: Credenciales robadas en la nube utilizadas en un nuevo ataque de IA
El equipo de investigación de amenazas de Sysdig observó un nuevo ataque, "LLMjacking", donde se usaron credenciales robadas para acceder a servicios de modelos de lenguaje en la nube. Los atacantes, que obtuvieron credenciales mediante un sistema vulnerable de Laravel, apuntaron a modelos LLM como Claude de Anthropic. Este ataque podría costar más de $46,000 diarios en consumo de LLM al propietario de la cuenta. Sysdig identificó un proxy inverso usado para acceder a las cuentas comprometidas, indicando motivaciones financieras detrás del ataque.
Los ciberactores de ransomware ahora cambian la SIM de los hijos de los ejecutivos para presionar a sus padres
Los actores de ransomware ahora utilizan tácticas psicológicas extremadamente agresivas, incluyendo el intercambio de SIM de los hijos de ejecutivos para presionar a sus padres a pagar rescates. Estos ataques han evolucionado más allá de solo cifrar archivos, llegando a afectar personalmente a las víctimas y sus familias, según Mandiant.
Las fuerzas de seguridad identificaron al administrador del ransomware lockbit y lo sancionaron
El FBI, la Agencia Nacional del Crimen del Reino Unido y Europol identificaron y sancionaron a Dmitry Yuryevich Khoroshev, administrador ruso del ransomware LockBit. La operación internacional impactó significativamente las actividades del grupo, con una reducción notable de ataques en el Reino Unido y otros países. Khoroshev enfrenta congelamiento de activos y prohibiciones de viaje.
Boeing confirma un intento de extorsión por ransomware de 200 millones de dólares
Boeing fue objetivo de una extorsión de ransomware por parte de LockBit, exigiendo un pago de $200 millones en octubre de 2023. A pesar de que se filtraron 43 gigabytes de datos de la empresa, Boeing no pagó el rescate. El incidente fue parte de una serie de acciones internacionales contra Dmitry Yuryevich Khoroshev, administrador principal de LockBit.
El grupo de espionaje «The Mask» reaparece tras 10 años detenido
El grupo de espionaje "The Mask" ha reaparecido tras 10 años inactivo, lanzando una campaña de ciberespionaje en América Latina y África Central. Kaspersky, que ya había rastreado a The Mask antes, informó que el grupo ha robado documentos confidenciales y datos de inicio de sesión de importantes organizaciones en estas regiones.
Polonia dice que fue blanco de hackers rusos de inteligencia militar
Hackers rusos, probablemente del grupo APT28 vinculado a la inteligencia militar rusa, lanzaron una campaña de malware contra instituciones gubernamentales polacas. La campaña incluyó ataques de phishing con archivos maliciosos disfrazados, buscando recolectar información de los computadores infectados para enviarla a servidores controlados por los atacantes.
zEus Stealer se distribuye a través de un paquete de código fuente de Minecraft manipulado
El malware zEus, integrado en un paquete de recursos de Minecraft, se distribuye mediante un archivo que imita un protector de pantalla de Windows. Roba información personal y de navegación, almacenándola en el sistema del usuario para enviarla a servidores de atacantes. Destaca la importancia de la autenticación multifactor (MFA).
El ataque GhostStripe atormenta a los coches autoconducidos haciéndoles ignorar las señales de tráfico
Investigadores demostraron que es posible interferir con vehículos autónomos utilizando LEDs para alterar la percepción de señales de tráfico por parte de las cámaras CMOS, provocando que el software de conducción autónoma no reconozca las señales correctamente. Este ataque, llamado GhostStripe, fue efectivo en pruebas reales con altas tasas de éxito.
Módems de uso generalizado en dispositivos IoT industriales abiertos a ataques por SMS
Fallos de seguridad en los módems celulares Telit Cinterion, usados ampliamente en sectores como industrial, sanitario y de telecomunicaciones, permiten a atacantes remotos ejecutar código arbitrario vía SMS. Los investigadores de Kaspersky identificaron ocho vulnerabilidades, siendo la más grave CVE-2023-47610, que permite tomar control del módem sin autenticación. Algunas vulnerabilidades aún no han sido parcheadas.
Los hallazgos demuestran la elusión de MFA en Microsoft Azure Entra ID utilizando Seamless SSO
Investigadores de Pen Test Partners descubrieron un método para eludir la autenticación multifactor (MFA) de Microsoft Azure Entra ID mediante el uso de SSO (Single Sign-On) sin contraseñas. Este bypass se logró cambiando el agente de usuario en un navegador en una máquina unida al dominio. La vulnerabilidad subraya la importancia de configurar adecuadamente las políticas de acceso condicional para proteger entornos en la nube.
Informe: Se detectan amenazas "indetectables" en Central Manager de F5
Investigadores descubrieron vulnerabilidades significativas en el Next Central Manager de F5, que permitirían a los hackers obtener control administrativo total y una presencia indetectable en la infraestructura de red de las organizaciones que utilizan activos F5. F5 ha liberado parches para dos de estas vulnerabilidades, pero no se confirmó si las otras tres fueron corregidas. Eclypsium insta a los clientes de F5 a actualizar sus sistemas a la versión más reciente.
RSAC: Log4J sigue estando entre las vulnerabilidades más explotadas
Tres años después de su descubrimiento, la vulnerabilidad Log4J sigue siendo ampliamente explotada, representando un alto porcentaje de las explotaciones detectadas por Cato Networks en 2024. Los investigadores destacan la persistencia de protocolos inseguros en redes y la necesidad de mejorar las medidas de seguridad y monitoreo constantes.
Los hackers aprovechan el fallo de LiteSpeed Cache para crear administradores de WordPress
Hackers están explotando una vulnerabilidad en el plugin LiteSpeed Cache de WordPress para crear usuarios administradores y controlar sitios web. La vulnerabilidad, identificada como CVE-2023-40000, permite ataques de scripting cruzado no autenticados. A pesar de que muchos usuarios han actualizado, aún 1.835.000 sitios son vulnerables.
Citrix soluciona un fallo de alta gravedad en NetScaler ADC y Gateway
Citrix solucionó una vulnerabilidad en sus dispositivos NetScaler ADC y Gateway, similar pero menos grave que la falla "CitrixBleed" del año pasado. Aunque el defecto era menos probable de exponer datos valiosos, permitía a atacantes acceder a información sensible de memoria. Citrix ya había corregido el problema antes de que se divulgara públicamente.
Un novedoso ataque contra prácticamente todas las aplicaciones VPN neutraliza todo su propósito
Investigadores han descubierto un ataque, denominado TunnelVision, que afecta a casi todas las aplicaciones de VPN, desviando tráfico fuera del túnel encriptado, lo que compromete su propósito de protección. Esta vulnerabilidad, que existe desde 2002, permite a atacantes manipular el tráfico y acceder a datos sensibles. Solo Android es inmune debido a su configuración de red.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 13 de mayo al 19 de mayo de 2024:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: