El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que, por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Brecha de datos afecta a banco chileno e impacta a clientes en España, Chile y Uruguay
Uno de los principales bancos del mundo, anunció una violación de datos que afectó a clientes y empleados en España, Chile y Uruguay. El incidente involucró un acceso no autorizado a una base de datos alojada por un proveedor externo, pero el banco rápidamente tomó medidas para contenerlo y proteger a los afectados. Aunque no se revelaron detalles sobre qué datos se expusieron, se aseguró que la información de transacciones y credenciales bancarias en línea no se vio comprometida. La institución afirmó que el incidente no afectó a otros mercados donde operan actualmente.
FBI toma el control de BreachForums en una ofensiva contra la ciberdelincuencia
El FBI ha tomado control del foro de piratería BreachForums, conocido por filtrar y vender datos corporativos robados. La incautación ocurrió poco después de que el sitio filtrara información de un portal policial de Europol la semana pasada. Ahora, el sitio muestra un mensaje indicando la intervención del FBI y el Departamento de Justicia, con la invitación a reportar actividad delictiva cibernética. Las autoridades también han superpuesto imágenes de los administradores del foro con rejas de prisión. Si han accedido a los datos del backend, como afirman, podrían obtener información sensible como direcciones de correo electrónico y mensajes privados, útiles para investigaciones policiales.
Ciberdelincuente vende código fuente de INC Ransom por $300.000 dólares en foros de la DDW
Un ciberdelincuente llamado "salfetka" ha puesto a la venta el código fuente de INC Ransom, un ransomware lanzado en agosto de 2023 que ha atacado a Xerox Business Solutions, Yamaha Motor Filipinas y el Servicio Nacional de Salud de Escocia. La venta, anunciada en los foros de piratería Exploit y XSS por $300.000 dólares, coincide con cambios internos en la operación de INC Ransom, lo que sugiere una posible ruptura del equipo o un cambio de estrategia. KELA, una firma de inteligencia de amenazas, confirmó la autenticidad de la venta al notar la alineación de los detalles técnicos con análisis previos. "Salfetka" ha estado activo en estos foros desde marzo de 2024, buscando acceso a redes y ofreciendo parte de las ganancias a intermediarios. La inclusión de las URL antiguas y nuevas de INC Ransom en su firma respalda su conexión con la operación.
Microsoft advierte sobre ataques de ingeniería social con ransomware Black Basta
El grupo de amenazas Storm-1811 está llevando a cabo ataques de ingeniería social dirigidos a redes de víctimas utilizando la función Windows Quick Assist para implementar ransomware Black Basta. Inician la campaña inundando los buzones de correo de las víctimas con mensajes no solicitados, luego se hacen pasar por personal de soporte técnico para ganar acceso a los dispositivos Windows de las víctimas. Una vez dentro, utilizan comandos cURL para descargar archivos maliciosos, incluyendo herramientas como Qakbot, ScreenConnect, NetSupport Manager y Cobalt Strike. Después de instalar estas herramientas, realizan una enumeración de dominios, se mueven lateralmente por la red y finalmente implementan el ransomware Black Basta utilizando la herramienta PsExec de Windows. Microsoft ha estado investigando esta campaña desde mediados de abril de 2024.
Ciberdelincuentes crean sitios falsos de WinSCP y Putty para distribuir ransomware
Investigadores de Rapid7 descubrieron una campaña en donde los ciberdelincuentes están utilizando anuncios en Google para dirigirse a administradores de sistemas Windows, promocionando sitios de descarga falsos de Putty y WinSCP, dos herramientas populares. Los administradores, con mayores privilegios en la red, son objetivos valiosos para estos actores que buscan propagar ransomware y obtener acceso al controlador de dominio. Los anuncios utilizan nombres de dominio con detalles tipográficos para engañar a los usuarios, presentando sitios falsos que se hacen pasar por legítimos. Aunque algunos enlaces pueden redirigir a sitios auténticos, otros descargan archivos ZIP maliciosos desde servidores controlados por los atacantes.
Kimsuki amplía su arsenal con malware Linux en campañas de ciberespionaje
El grupo de hackers norcoreano Kimsuki ha desplegado un nuevo malware para Linux, llamado Gomir, derivado de la puerta trasera GoBear, utilizando instaladores de software troyanizados. Kimsuky, vinculado a la inteligencia militar de Corea del Norte, ha sido identificado por investigadores de SW2 y Symantec como responsable de una campaña que emplea versiones infectadas de diversos programas, como TrustPKI, NX_PRNMAN y Wizvera VeraPort, para atacar objetivos surcoreanos con malware como Troll Stealer y variantes de GoBear para Windows. El empleo de estas TTP´s demuestra una expansión en las tácticas de Kimsuki, representando un aumento en la sofisticación de sus operaciones y un mayor riesgo para la ciberseguridad en la región.
Descubiertas nuevas puertas traseras en instituciones diplomáticas europeas
El descubrimiento de dos nuevas puertas traseras, llamadas LunarWeb y LunarMail, revela una infiltración sin precedentes en las instituciones diplomáticas de un gobierno europeo en el extranjero. Estas herramientas maliciosas han sido utilizadas para comprometer el Ministerio de Asuntos Exteriores de un país europeo con misiones diplomáticas en Oriente Medio desde al menos el año 2020. Aunque los investigadores de ESET sospechan que estas puertas traseras podrían estar vinculadas al grupo de hackers patrocinado por el estado ruso Turla, la atribución aún no ha sido confirmada.
EE.UU. acusa a cinco individuos por esquemas cibernéticos para financiar el programa nuclear de Corea del Norte
El Departamento de Justicia de Estados Unidos ha acusado a cinco individuos, incluyendo a una ciudadana estadounidense y a un hombre ucraniano, por participar en esquemas cibernéticos que generaron ingresos para el programa de armas nucleares de Corea del Norte. La acusación se centra en una campaña coordinada por el gobierno norcoreano para infiltrarse en los mercados laborales estadounidenses mediante fraude, con el fin de recaudar fondos para su programa nuclear ilícito. Dos de los acusados, Christina Marie Chapman y Oleksandr Didenko, han sido arrestados, mientras que el Departamento de Justicia busca la extradición de Didenko a Estados Unidos. Los acusados enfrentan cargos que incluyen conspiración para defraudar a los Estados Unidos, robo de identidad agravado y conspiración para cometer lavado de dinero. Además, se ha anunciado una recompensa de hasta 5 millones de dólares por información relacionada con los cómplices de Chapman y otros implicados en el esquema.
Ciberactores estarían explotando túneles DNS para eludir firewalls y monitorear víctimas
Los actores de amenazas están utilizando la tunelización del Sistema de Nombres de Dominio (DNS) para rastrear la apertura de correos electrónicos de phishing y clics en enlaces maliciosos, así como para escanear redes en busca de vulnerabilidades. La tunelización DNS convierte las consultas DNS en un canal de comunicación encubierto mediante la codificación de datos en formatos como Base16 o Base64, que luego se recuperan a través de registros DNS. Esta técnica permite eludir firewalls y filtros de red y se utiliza comúnmente en operaciones de comando y control (C2) y redes privadas virtuales (VPN). Además de estos usos maliciosos, existen aplicaciones legítimas de tunelización DNS para evitar la censura. El equipo de investigación de seguridad de la Unidad 42 de Palo Alto Networks ha identificado campañas que utilizan túneles DNS para seguimiento y escaneo de red.
Botnet 'Ebury' ha infectado a más de 400.000 servidores Linux en los últimos 15 Años
La botnet de malware 'Ebury' ha infectado cerca de 400.000 servidores Linux desde 2009, con aproximadamente 100.000 aún comprometidos a finales de 2023. Los investigadores de ESET han monitoreado esta operación de malware con fines financieros durante más de una década, destacando actualizaciones significativas en 2014 y 2017. Recientes esfuerzos policiales han permitido a ESET recopilar información sobre las actividades de 'Ebury' en los últimos quince años. Aunque la cifra de 400.000 compromisos es elevada, ESET aclara que no todas las máquinas estuvieron comprometidas simultáneamente. Hay un flujo constante de servidores comprometidos y limpiados, lo que dificulta determinar el tamaño exacto de la botnet en un momento dado.
Troyano bancario Grandoreiro, desata campaña global de phishing en 60 países
El troyano bancario "Grandoreiro" ha desatado una campaña masiva de phishing en más de 60 países, apuntando a las cuentas de clientes de unos 1.500 bancos. Tras una operación policial internacional en enero de 2024, se logró interrumpir parte de la operación, con participación de Brasil, España, Interpol, ESET y Caixa Bank, pero sin revelar detalles sobre los arrestados. A pesar de ello, el equipo X-Force de IBM advierte que Grandoreiro ha resurgido en marzo de 2024, posiblemente a través de un modelo de malware como servicio, ampliando su alcance a países de habla inglesa. Este resurgimiento representa una preocupación continua para la seguridad cibernética global y la protección de los usuarios bancarios.
Kinsing la amenaza persistente del Criptojacking que evoluciona y expande su botnet
El grupo de criptojacking Kinsing, activo desde 2019, ha mostrado una notable capacidad de adaptación y evolución, integrando rápidamente nuevas vulnerabilidades en su arsenal para expandir su red de minería de criptomonedas. Según Aqua Security, Kinsing utiliza un conjunto diverso de exploits para comprometer sistemas a través de fallas en aplicaciones como Apache Log4j, Atlassian Confluence y Citrix, así como instancias mal configuradas de Docker y PostgreSQL. Este malware basado en Golang deshabilita servicios de seguridad y elimina mineros rivales antes de añadir los sistemas comprometidos a su botnet. Kinsing opera con una infraestructura dividida en servidores de escaneo, descarga y comando y control (C2), con IPs asociadas a Rusia y otros países europeos. CyberArk ha identificado similitudes entre Kinsing y el malware NSPPS, sugiriendo que pertenecen a la misma familia. El malware apunta principalmente a aplicaciones de código abierto, especialmente en entornos de tiempo de ejecución y bases de datos.
61 fallas corregidas y tres Zero Days, conforman el martes de parches de Mayo 2024
En el martes de parches de mayo de 2024, Microsoft lanzó actualizaciones de seguridad que abordan 61 fallas y tres vulnerabilidades de día cero explotadas activamente o divulgadas públicamente. Solo una de estas fallas es crítica, una vulnerabilidad de ejecución remota de código en Microsoft SharePoint Server. Las fallas se distribuyen en varias categorías: 17 de elevación de privilegios, 2 de omisión de funciones de seguridad, 27 de ejecución remota de código, 7 de divulgación de información, 3 de denegación de servicio y 4 de suplantación de identidad. El total de 61 fallas no incluye 2 fallas de Microsoft Edge corregidas el 2 de mayo y 4 corregidas el 10 de mayo. Además, se publicaron actualizaciones no relacionadas con la seguridad, como la acumulativa KB5037771 para Windows 11 y la KB5037768 para Windows 10. Para más detalles de estas vulnerabilidades visita nuestro Portal CCI.
VMware corrige cuatro vulnerabilidades críticas en Workstation y Fusion tras concurso Pwn2Own 2024
VMware ha corregido cuatro vulnerabilidades en sus hipervisores de escritorio Workstation y Fusion, incluyendo tres fallos de día cero explotados en el concurso Pwn2Own Vancouver 2024. La vulnerabilidad más crítica, CVE-2024-22267, es un fallo de uso después de la liberación en el dispositivo vbluetooth, que permite a un atacante con privilegios administrativos en una máquina virtual ejecutar código en el host. VMware ha proporcionado una solución temporal para desactivar el soporte Bluetooth. Además, las vulnerabilidades CVE-2024-22269 y CVE-2024-22270 permiten a atacantes leer información sensible de la memoria del hipervisor, mientras que CVE-2024-22268, un desbordamiento del búfer de montón en la funcionalidad Shader, puede ser explotado para causar una denegación de servicio.
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 22 al 26 de mayo de 2024:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: