ENTEL Weekly Threat Intelligence Brief del 06 al 12 de mayo de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Roban una base de datos de 49 millones de pedidos de clientes de Dell y la ponen a la venta en la web oscura
• Contratos expuestos WOM
• LLMjacking: Credenciales robadas en la nube utilizadas en un nuevo ataque de IA
• Los ciberactores de ransomware ahora cambian la SIM de los hijos de los ejecutivos para presionar a sus padres
• Las fuerzas de seguridad identificaron al administrador del ransomware lockbit y lo sancionaron
• Boeing confirma un intento de extorsión por ransomware de 200 millones de dólares
• El grupo de espionaje «The Mask» reaparece tras 10 años detenido
• Polonia dice que fue blanco de hackers rusos de inteligencia militar
• zEus Stealer se distribuye a través de un paquete de código fuente de Minecraft manipulado
• El ataque GhostStripe atormenta a los coches autoconducidos haciéndoles ignorar las señales de tráfico
• Módems de uso generalizado en dispositivos IoT industriales abiertos a ataques por SMS
• Los hallazgos demuestran la elusión de MFA en Microsoft Azure Entra ID utilizando Seamless SSO
• Informe: Se detectan amenazas indetectables en Central Manager de F5
• RSAC: Log4J sigue estando entre las vulnerabilidades más explotadas, según Cato
• Los hackers aprovechan el fallo de LiteSpeed Cache para crear administradores de WordPress
• Citrix soluciona un fallo de alta gravedad en NetScaler ADC y Gateway
• Un novedoso ataque contra prácticamente todas las aplicaciones VPN neutraliza todo su propósito

Roban una base de datos de 49 millones de pedidos de clientes de Dell

Durante la semana se identificó en un foro DDW la publicación de un usuario que afirmaba tener una base de datos con registro de 49 millones de pedidos del fabricante tecnológico Dell, la cual se encontraba a la venta, y que si bien la noticia fue rápidamente difundida, con esta misma velocidad la publicación fue removida del foro presumiblemente tras la adquisición de ella por algún interesado o por los administradores del foro.

En base a lo declarado por el actor “Menelik” a Bleeping Computer, se menciona que la sustracción de la información se realizó mediante consultas API en el portal de partners desde donde se pueden revisar información de órdenes de compra, a la cual se suscribió con un nombre de una compañía falsa, a la cual Dell le otorgó acceso sin previa verificación, lo que le permitió al actor generar 5.000 consultas por minuto  durante 3 semanas sin ser bloqueado por la compañía.

Si bien en este punto el actor notificó a la marca, menciona que el bug permaneció activo durante 2 semanas más, mientras que por su parte Dell, declara que ya habían detectado la actividad inusual previo a la recepción de correo del actor malicioso y que ya se encontraban trabajando con investigadores forenses.

Por otra parte, desde el gigante tecnológico Dell se confirmó que el incidente era real y que la base de datos robada  incluye  información personal de sus clientes como nombres, direcciones y detalles de equipos Dell, pero no datos financieros, en un rango de tiempo desde 2017 hasta 2024. 

Por su parte, Dell ha iniciado una investigación, notificado a las autoridades y a clientes afectados, tomado medidas para proteger la información.
 

Operador chileno de telefonía móvil expuso los contratos de sus clientes

Una compañía de telecomunicaciones sudamericana con presencia en Chile, no configuró adecuadamente la contraseña en su almacenamiento en la nube, exponiendo más de un millón de contratos con datos sensibles de clientes. El fallo en Amazon Web Services reveló nombres, direcciones, y números RUT, esenciales para identificación fiscal en Chile. Este acceso público puso en riesgo de fraude e identidad a miles de clientes.
 

LLMjacking: Credenciales robadas en la nube utilizadas en un nuevo ataque de IA

El equipo de investigación de amenazas de Sysdig observó un nuevo ataque, "LLMjacking", donde se usaron credenciales robadas para acceder a servicios de modelos de lenguaje en la nube. Los atacantes, que obtuvieron credenciales mediante un sistema vulnerable de Laravel, apuntaron a modelos LLM como Claude de Anthropic. Este ataque podría costar más de $46,000 diarios en consumo de LLM al propietario de la cuenta. Sysdig identificó un proxy inverso usado para acceder a las cuentas comprometidas, indicando motivaciones financieras detrás del ataque.

Los ciberactores de ransomware ahora cambian la SIM de los hijos de los ejecutivos para presionar a sus padres

Los actores de ransomware ahora utilizan tácticas psicológicas extremadamente agresivas, incluyendo el intercambio de SIM de los hijos de ejecutivos para presionar a sus padres a pagar rescates. Estos ataques han evolucionado más allá de solo cifrar archivos, llegando a afectar personalmente a las víctimas y sus familias, según Mandiant.
 

 Las fuerzas de seguridad identificaron al administrador del ransomware lockbit y lo sancionaron

El FBI, la Agencia Nacional del Crimen del Reino Unido y Europol identificaron y sancionaron a Dmitry Yuryevich Khoroshev, administrador ruso del ransomware LockBit. La operación internacional impactó significativamente las actividades del grupo, con una reducción notable de ataques en el Reino Unido y otros países. Khoroshev enfrenta congelamiento de activos y prohibiciones de viaje.
 

Boeing confirma un intento de extorsión por ransomware de 200 millones de dólares

Boeing fue objetivo de una extorsión de ransomware por parte de LockBit, exigiendo un pago de $200 millones en octubre de 2023. A pesar de que se filtraron 43 gigabytes de datos de la empresa, Boeing no pagó el rescate. El incidente fue parte de una serie de acciones internacionales contra Dmitry Yuryevich Khoroshev, administrador principal de LockBit.

El grupo de espionaje «The Mask» reaparece tras 10 años detenido

El grupo de espionaje "The Mask" ha reaparecido tras 10 años inactivo, lanzando una campaña de ciberespionaje en América Latina y África Central. Kaspersky, que ya había rastreado a The Mask antes, informó que el grupo ha robado documentos confidenciales y datos de inicio de sesión de importantes organizaciones en estas regiones.
 

Polonia dice que fue blanco de hackers rusos de inteligencia militar

Hackers rusos, probablemente del grupo APT28 vinculado a la inteligencia militar rusa, lanzaron una campaña de malware contra instituciones gubernamentales polacas. La campaña incluyó ataques de phishing con archivos maliciosos disfrazados, buscando recolectar información de los computadores infectados para enviarla a servidores controlados por los atacantes.

zEus Stealer se distribuye a través de un paquete de código fuente de Minecraft manipulado

El malware zEus, integrado en un paquete de recursos de Minecraft, se distribuye mediante un archivo que imita un protector de pantalla de Windows. Roba información personal y de navegación, almacenándola en el sistema del usuario para enviarla a servidores de atacantes. Destaca la importancia de la autenticación multifactor (MFA).

El ataque GhostStripe atormenta a los coches autoconducidos haciéndoles ignorar las señales de tráfico

Investigadores demostraron que es posible interferir con vehículos autónomos utilizando LEDs para alterar la percepción de señales de tráfico por parte de las cámaras CMOS, provocando que el software de conducción autónoma no reconozca las señales correctamente. Este ataque, llamado GhostStripe, fue efectivo en pruebas reales con altas tasas de éxito.

Módems de uso generalizado en dispositivos IoT industriales abiertos a ataques por SMS

Fallos de seguridad en los módems celulares Telit Cinterion, usados ampliamente en sectores como industrial, sanitario y de telecomunicaciones, permiten a atacantes remotos ejecutar código arbitrario vía SMS. Los investigadores de Kaspersky identificaron ocho vulnerabilidades, siendo la más grave CVE-2023-47610, que permite tomar control del módem sin autenticación. Algunas vulnerabilidades aún no han sido parcheadas.
 

Los hallazgos demuestran la elusión de MFA en Microsoft Azure Entra ID utilizando Seamless SSO

Investigadores de Pen Test Partners descubrieron un método para eludir la autenticación multifactor (MFA) de Microsoft Azure Entra ID mediante el uso de SSO (Single Sign-On) sin contraseñas. Este bypass se logró cambiando el agente de usuario en un navegador en una máquina unida al dominio. La vulnerabilidad subraya la importancia de configurar adecuadamente las políticas de acceso condicional para proteger entornos en la nube.
 

Informe: Se detectan amenazas "indetectables" en Central Manager de F5

Investigadores descubrieron vulnerabilidades significativas en el Next Central Manager de F5, que permitirían a los hackers obtener control administrativo total y una presencia indetectable en la infraestructura de red de las organizaciones que utilizan activos F5. F5 ha liberado parches para dos de estas vulnerabilidades, pero no se confirmó si las otras tres fueron corregidas. Eclypsium insta a los clientes de F5 a actualizar sus sistemas a la versión más reciente.
 

RSAC: Log4J sigue estando entre las vulnerabilidades más explotadas

Tres años después de su descubrimiento, la vulnerabilidad Log4J sigue siendo ampliamente explotada, representando un alto porcentaje de las explotaciones detectadas por Cato Networks en 2024. Los investigadores destacan la persistencia de protocolos inseguros en redes y la necesidad de mejorar las medidas de seguridad y monitoreo constantes.
 

Los hackers aprovechan el fallo de LiteSpeed Cache para crear administradores de WordPress

Hackers están explotando una vulnerabilidad en el plugin LiteSpeed Cache de WordPress para crear usuarios administradores y controlar sitios web. La vulnerabilidad, identificada como CVE-2023-40000, permite ataques de scripting cruzado no autenticados. A pesar de que muchos usuarios han actualizado, aún 1.835.000 sitios son vulnerables.
 

Citrix soluciona un fallo de alta gravedad en NetScaler ADC y Gateway

Citrix solucionó una vulnerabilidad en sus dispositivos NetScaler ADC y Gateway, similar pero menos grave que la falla "CitrixBleed" del año pasado. Aunque el defecto era menos probable de exponer datos valiosos, permitía a atacantes acceder a información sensible de memoria. Citrix ya había corregido el problema antes de que se divulgara públicamente.
 

Un novedoso ataque contra prácticamente todas las aplicaciones VPN neutraliza todo su propósito

Investigadores han descubierto un ataque, denominado TunnelVision, que afecta a casi todas las aplicaciones de VPN, desviando tráfico fuera del túnel encriptado, lo que compromete su propósito de protección. Esta vulnerabilidad, que existe desde 2002, permite a atacantes manipular el tráfico y acceder a datos sensibles. Solo Android es inmune debido a su configuración de red.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 13 de mayo al 19 de mayo de 2024:

Objetivos observados durante semana de análisis: 

• Servicios legales y profesionales
• Industrias manufactureras, materiales y minería
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Turismo, hoteles y restaurantes
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Retail y servicios de consumo
• Shipment y cadena de suministros
• Defensa y orden público
• Banca y Finanzas
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Petróleo

• Servicios legales y profesionales
• Industrias manufactureras, materiales y minería
• Educación
• Entretenimiento, cultura y arte
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Construcción e inmobiliaria
• Infraestructura tecnológica - Componentes
• Servicios empresariales y comercio
• Transportes y servicios automotrices.
• Retail y servicios de consumo
• Shipment y cadena de suministros
• Defensa y orden público
• Banca y Finanzas
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios

• Turismo, hoteles y restaurantes

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Petróleo

• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.