ENTEL Weekly Threat Intelligence Brief del 13 al 22 de mayo de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Brecha de datos afecta a banco chileno e impacta a clientes en España, Chile y Uruguay
• FBI toma el control de BreachForums en una ofensiva contra la ciberdelincuencia
• Ciberdelincuente vende código fuente de INC Ransom por $300.000 dólares en foros de la DDW
• Microsoft advierte sobre ataques de ingeniería social con ransomware Black Basta
• Ciberdelincuentes crean sitios falsos de WinSCP y Putty para distribuir ransomware
• Kimsuki amplía su arsenal con malware Linux en campañas de ciberespionaje
• Descubiertas nuevas puertas traseras en instituciones diplomáticas europeas
• EE.UU. acusa a cinco individuos por esquemas cibernéticos para financiar el programa nuclear de Corea del Norte
• Ciberactores estarían explotando túneles DNS para eludir firewalls y monitorear víctimas
• Botnet 'Ebury' ha infectado a más de 400.000 servidores Linux en los últimos 15 años
• Troyano bancario Grandoreiro, desata campaña global de phishing en 60 países
• Kinsing la amenaza persistente del Criptojacking que evoluciona y expande su botnet
• 61 fallas corregidas y tres Zero Days, conforman el martes de parches de mayo 2024
• VMware corrige cuatro vulnerabilidades críticas en Workstation y Fusion tras concurso Pwn2Own 2024

Brecha de datos afecta a banco chileno e impacta a clientes en España, Chile y Uruguay

Uno de los principales bancos del mundo, anunció una violación de datos que afectó a clientes y empleados en España, Chile y Uruguay. El incidente involucró un acceso no autorizado a una base de datos alojada por un proveedor externo, pero el banco rápidamente tomó medidas para contenerlo y proteger a los afectados. Aunque no se revelaron detalles sobre qué datos se expusieron, se aseguró que la información de transacciones y credenciales bancarias en línea no se vio comprometida. La institución afirmó que el incidente no afectó a otros mercados donde operan actualmente.

FBI toma el control de BreachForums en una ofensiva contra la ciberdelincuencia

El FBI ha tomado control del foro de piratería BreachForums, conocido por filtrar y vender datos corporativos robados. La incautación ocurrió poco después de que el sitio filtrara información de un portal policial de Europol la semana pasada. Ahora, el sitio muestra un mensaje indicando la intervención del FBI y el Departamento de Justicia, con la invitación a reportar actividad delictiva cibernética. Las autoridades también han superpuesto imágenes de los administradores del foro con rejas de prisión. Si han accedido a los datos del backend, como afirman, podrían obtener información sensible como direcciones de correo electrónico y mensajes privados, útiles para investigaciones policiales.

Ciberdelincuente vende código fuente de INC Ransom por $300.000 dólares en foros de la DDW

Un ciberdelincuente llamado "salfetka" ha puesto a la venta el código fuente de INC Ransom, un ransomware lanzado en agosto de 2023 que ha atacado a Xerox Business Solutions, Yamaha Motor Filipinas y el Servicio Nacional de Salud de Escocia. La venta, anunciada en los foros de piratería Exploit y XSS por $300.000 dólares, coincide con cambios internos en la operación de INC Ransom, lo que sugiere una posible ruptura del equipo o un cambio de estrategia. KELA, una firma de inteligencia de amenazas, confirmó la autenticidad de la venta al notar la alineación de los detalles técnicos con análisis previos. "Salfetka" ha estado activo en estos foros desde marzo de 2024, buscando acceso a redes y ofreciendo parte de las ganancias a intermediarios. La inclusión de las URL antiguas y nuevas de INC Ransom en su firma respalda su conexión con la operación. 

Microsoft advierte sobre ataques de ingeniería social con ransomware Black Basta

El grupo de amenazas Storm-1811 está llevando a cabo ataques de ingeniería social dirigidos a redes de víctimas utilizando la función Windows Quick Assist para implementar ransomware Black Basta. Inician la campaña inundando los buzones de correo de las víctimas con mensajes no solicitados, luego se hacen pasar por personal de soporte técnico para ganar acceso a los dispositivos Windows de las víctimas. Una vez dentro, utilizan comandos cURL para descargar archivos maliciosos, incluyendo herramientas como Qakbot, ScreenConnect, NetSupport Manager y Cobalt Strike. Después de instalar estas herramientas, realizan una enumeración de dominios, se mueven lateralmente por la red y finalmente implementan el ransomware Black Basta utilizando la herramienta PsExec de Windows. Microsoft ha estado investigando esta campaña desde mediados de abril de 2024.

Ciberdelincuentes crean sitios falsos de WinSCP y Putty para distribuir ransomware

Investigadores de Rapid7 descubrieron una campaña en donde los ciberdelincuentes están utilizando anuncios en Google para dirigirse a administradores de sistemas Windows, promocionando sitios de descarga falsos de Putty y WinSCP, dos herramientas populares. Los administradores, con mayores privilegios en la red, son objetivos valiosos para estos actores que buscan propagar ransomware y obtener acceso al controlador de dominio. Los anuncios utilizan nombres de dominio con detalles tipográficos para engañar a los usuarios, presentando sitios falsos que se hacen pasar por legítimos. Aunque algunos enlaces pueden redirigir a sitios auténticos, otros descargan archivos ZIP maliciosos desde servidores controlados por los atacantes.
 

Kimsuki amplía su arsenal con malware Linux en campañas de ciberespionaje

El grupo de hackers norcoreano Kimsuki ha desplegado un nuevo malware para Linux, llamado Gomir, derivado de la puerta trasera GoBear, utilizando instaladores de software troyanizados. Kimsuky, vinculado a la inteligencia militar de Corea del Norte, ha sido identificado por investigadores de SW2 y Symantec como responsable de una campaña que emplea versiones infectadas de diversos programas, como TrustPKI, NX_PRNMAN y Wizvera VeraPort, para atacar objetivos surcoreanos con malware como Troll Stealer y variantes de GoBear para Windows. El empleo de estas TTP´s demuestra una expansión en las tácticas de Kimsuki, representando un aumento en la sofisticación de sus operaciones y un mayor riesgo para la ciberseguridad en la región.

Descubiertas nuevas puertas traseras en instituciones diplomáticas europeas

El descubrimiento de dos nuevas puertas traseras, llamadas LunarWeb y LunarMail, revela una infiltración sin precedentes en las instituciones diplomáticas de un gobierno europeo en el extranjero. Estas herramientas maliciosas han sido utilizadas para comprometer el Ministerio de Asuntos Exteriores de un país europeo con misiones diplomáticas en Oriente Medio desde al menos el año 2020. Aunque los investigadores de ESET sospechan que estas puertas traseras podrían estar vinculadas al grupo de hackers patrocinado por el estado ruso Turla, la atribución aún no ha sido confirmada.
 

EE.UU. acusa a cinco individuos por esquemas cibernéticos para financiar el programa nuclear de Corea del Norte

El Departamento de Justicia de Estados Unidos ha acusado a cinco individuos, incluyendo a una ciudadana estadounidense y a un hombre ucraniano, por participar en esquemas cibernéticos que generaron ingresos para el programa de armas nucleares de Corea del Norte. La acusación se centra en una campaña coordinada por el gobierno norcoreano para infiltrarse en los mercados laborales estadounidenses mediante fraude, con el fin de recaudar fondos para su programa nuclear ilícito. Dos de los acusados, Christina Marie Chapman y Oleksandr Didenko, han sido arrestados, mientras que el Departamento de Justicia busca la extradición de Didenko a Estados Unidos. Los acusados enfrentan cargos que incluyen conspiración para defraudar a los Estados Unidos, robo de identidad agravado y conspiración para cometer lavado de dinero. Además, se ha anunciado una recompensa de hasta 5 millones de dólares por información relacionada con los cómplices de Chapman y otros implicados en el esquema.

Ciberactores estarían explotando túneles DNS para eludir firewalls y monitorear víctimas

Los actores de amenazas están utilizando la tunelización del Sistema de Nombres de Dominio (DNS) para rastrear la apertura de correos electrónicos de phishing y clics en enlaces maliciosos, así como para escanear redes en busca de vulnerabilidades. La tunelización DNS convierte las consultas DNS en un canal de comunicación encubierto mediante la codificación de datos en formatos como Base16 o Base64, que luego se recuperan a través de registros DNS. Esta técnica permite eludir firewalls y filtros de red y se utiliza comúnmente en operaciones de comando y control (C2) y redes privadas virtuales (VPN). Además de estos usos maliciosos, existen aplicaciones legítimas de tunelización DNS para evitar la censura. El equipo de investigación de seguridad de la Unidad 42 de Palo Alto Networks ha identificado campañas que utilizan túneles DNS para seguimiento y escaneo de red.

Botnet 'Ebury' ha infectado a más de 400.000 servidores Linux en los últimos 15 Años

La botnet de malware 'Ebury' ha infectado cerca de 400.000 servidores Linux desde 2009, con aproximadamente 100.000 aún comprometidos a finales de 2023. Los investigadores de ESET han monitoreado esta operación de malware con fines financieros durante más de una década, destacando actualizaciones significativas en 2014 y 2017. Recientes esfuerzos policiales han permitido a ESET recopilar información sobre las actividades de 'Ebury' en los últimos quince años. Aunque la cifra de 400.000 compromisos es elevada, ESET aclara que no todas las máquinas estuvieron comprometidas simultáneamente. Hay un flujo constante de servidores comprometidos y limpiados, lo que dificulta determinar el tamaño exacto de la botnet en un momento dado.

Troyano bancario Grandoreiro, desata campaña global de phishing en 60 países

El troyano bancario "Grandoreiro" ha desatado una campaña masiva de phishing en más de 60 países, apuntando a las cuentas de clientes de unos 1.500 bancos. Tras una operación policial internacional en enero de 2024, se logró interrumpir parte de la operación, con participación de Brasil, España, Interpol, ESET y Caixa Bank, pero sin revelar detalles sobre los arrestados. A pesar de ello, el equipo X-Force de IBM advierte que Grandoreiro ha resurgido en marzo de 2024, posiblemente a través de un modelo de malware como servicio, ampliando su alcance a países de habla inglesa. Este resurgimiento representa una preocupación continua para la seguridad cibernética global y la protección de los usuarios bancarios.

Kinsing la amenaza persistente del Criptojacking que evoluciona y expande su botnet

 El grupo de criptojacking Kinsing, activo desde 2019, ha mostrado una notable capacidad de adaptación y evolución, integrando rápidamente nuevas vulnerabilidades en su arsenal para expandir su red de minería de criptomonedas. Según Aqua Security, Kinsing utiliza un conjunto diverso de exploits para comprometer sistemas a través de fallas en aplicaciones como Apache Log4j, Atlassian Confluence y Citrix, así como instancias mal configuradas de Docker y PostgreSQL. Este malware basado en Golang deshabilita servicios de seguridad y elimina mineros rivales antes de añadir los sistemas comprometidos a su botnet. Kinsing opera con una infraestructura dividida en servidores de escaneo, descarga y comando y control (C2), con IPs asociadas a Rusia y otros países europeos. CyberArk ha identificado similitudes entre Kinsing y el malware NSPPS, sugiriendo que pertenecen a la misma familia. El malware apunta principalmente a aplicaciones de código abierto, especialmente en entornos de tiempo de ejecución y bases de datos.

61 fallas corregidas y tres Zero Days, conforman el martes de parches de Mayo 2024

En el martes de parches de mayo de 2024, Microsoft lanzó actualizaciones de seguridad que abordan 61 fallas y tres vulnerabilidades de día cero explotadas activamente o divulgadas públicamente. Solo una de estas fallas es crítica, una vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server. Las fallas se distribuyen en varias categorías: 17 de elevación de privilegios, 2 de omisión de funciones de seguridad, 27 de ejecución remota de código, 7 de divulgación de información, 3 de denegación de servicio y 4 de suplantación de identidad. El total de 61 fallas no incluye 2 fallas de Microsoft Edge corregidas el 2 de mayo y 4 corregidas el 10 de mayo. Además, se publicaron actualizaciones no relacionadas con la seguridad, como la acumulativa KB5037771 para Windows 11 y la KB5037768 para Windows 10. Para más detalles de estas vulnerabilidades visita nuestro Portal CCI.

VMware corrige cuatro vulnerabilidades críticas en Workstation y Fusion tras concurso Pwn2Own 2024

VMware ha corregido cuatro vulnerabilidades en sus hipervisores de escritorio Workstation y Fusion, incluyendo tres fallos de día cero explotados en el concurso Pwn2Own Vancouver 2024. La vulnerabilidad más crítica, CVE-2024-22267, es un fallo de uso después de la liberación en el dispositivo vbluetooth, que permite a un atacante con privilegios administrativos en una máquina virtual ejecutar código en el host. VMware ha proporcionado una solución temporal para desactivar el soporte Bluetooth. Además, las vulnerabilidades CVE-2024-22269 y CVE-2024-22270 permiten a atacantes leer información sensible de la memoria del hipervisor, mientras que CVE-2024-22268, un desbordamiento del búfer de montón en la funcionalidad Shader, puede ser explotado para causar una denegación de servicio.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 22 al 26 de mayo de 2024:

Objetivos observados durante semana de análisis: 

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

• Construcción e inmobiliaria
• Industrias manufactureras, materiales y minería
• Servicios legales y profesionales
• Infraestructura tecnológica - Componentes
• Banca y Finanzas
• Defensa y orden público
• Educación
• Infraestructura tecnológica
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio

• Retail y servicios de consumo
• Entretenimiento, cultura y arte
• Transportes y servicios automotrices

• Servicios básicos y sanitarios

• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Organizaciones sin fines de lucro
• Petróleo
• Shipment y cadena de suministros
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.