ENTEL Weekly Threat Intelligence Brief del 22 al 26 de mayo de 2024

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Hacktivistas recurren al ransomware en sus ataques al gobierno de Filipinas
• Breach Forums planea el regreso de la Dark Web esta semana a pesar del cierre por parte del FBI
• Caída del ransomware: el 94% experimenta tiempo de inactividad, el 40% se enfrenta a un paro laboral
• APT41: La amenaza de KEYPLUG contra las industrias Italianas
• Actores de amenazas chinos se esconden en las redes militares y gubernamentales durante 6 años
• Actores de amenazas atacan a las organizaciones financieras utilizando el clon troyanizado del Buscaminas
• Campaña de malware en curso explota fallas de Microsoft Exchange
• Google soluciona el octavo día cero de Chrome explotado activamente este año
• Vulnerabilidades afectan a complementos de Jenkins
• Nuevas vulnerabilidades en productos Cisco

Breach Forums planea el regreso de la Dark Web esta semana a pesar del cierre por parte del FBI

Breach Forums, un notorio foro de hackers y cibercrimen, está planeando su regreso a la web oscura con un nuevo dominio Onion esta semana, a pesar de la represión del FBI. ShinyHunters, un hacker y administrador del foro, confirmó a un medio de comunicación que el nuevo dominio está listo para su lanzamiento inminente. Sin embargo, el cronograma para reactivar el dominio en la web normal (clearnet) sigue siendo incierto.

El foro cayó bajo la incautación del FBI el 15 de mayo de 2024, después de la detención de dos administradores, incluido uno conocido como Baphomet, quien podría haber entregado sus credenciales al FBI. Sorprendentemente, ShinyHunters anunció haber recuperado el acceso al dominio clearnet, utilizando un método no revelado.

Ni el FBI ni el Departamento de Justicia han emitido comunicados oficiales sobre estos eventos. Mientras el foro se prepara para su relanzamiento, quedan muchas preguntas sobre su futuro y el papel de las autoridades en este complejo mundo del cibercrimen.

Hacktivistas recurren al ransomware en sus ataques al gobierno de Filipinas

Los hacktivistas están utilizando constructores de ransomware filtrados para atacar infraestructuras críticas en Filipinas, en un intento por interrumpir sus operaciones. El grupo Ikaruz Red Team, identificado por la firma de ciberseguridad SentinelOne, está usando varios tipos de ransomware como LockBit, Vice Society, Clop y AlphV para realizar ataques "a pequeña escala" y publicar filtraciones de datos en línea. 

Estos ataques, que parecen más enfocados en causar disturbios y obtener atención en redes sociales que en obtener beneficios financieros, han contribuido a un aumento del 325% en la actividad cibernética maliciosa en Filipinas en el primer trimestre del año, según Resecurity. La tensión regional con China, que está llevando a cabo campañas sofisticadas de guerra informativa, y el uso de identidades hacktivistas para evitar la atribución, complican la distinción entre activismo y operaciones respaldadas por el estado. En abril, el Departamento de Ciencia y Tecnología de Filipinas fue atacado por el grupo #opEDSA, que robó dos terabytes de datos.
 

Caída del ransomware: el 94% experimenta tiempo de inactividad, el 40% se enfrenta a un paro laboral

En los últimos 12 meses, el 48% de las organizaciones identificaron una infracción de seguridad, según Arctic Wolf. El 66% de las que sufrieron una filtración de datos divulgaron públicamente la información, mientras que el 30% lo reveló sólo a las partes afectadas. Los ataques de compromiso de correo electrónico empresarial (BEC) afectaron al 70% de las organizaciones, con el 29% sufriendo incidentes exitosos. 

El 45% de las organizaciones sufrió un ataque de ransomware, con el 94% experimentando tiempo de inactividad significativo y el 40% enfrentando paros laborales totales. Esto resulta en mayores costos por tiempo de inactividad que por rescate. La adopción de seguros cibernéticos es alta, con el 66% de las organizaciones ya cubiertas y el 29% planeando obtener cobertura. Además, el 94% de las organizaciones están implementando políticas sobre el uso de IA generativa y modelos de lenguaje grande. El 88% ya utiliza programas de concientización sobre seguridad, y otro 10% planea adoptarlos pronto.

APT41: La amenaza de KEYPLUG contra las industrias Italianas

APT41, también conocido como KeyPlug, es una amenaza significativa para las industrias italianas, según lo descubrió el equipo de malware Zlab de Tinexta Cyber. Este grupo de ciberespionaje chino, conocido por su sofisticación, utiliza una puerta trasera para atacar sistemas operativos Windows y Linux. 

APT41 emplea múltiples nombres y se dedica a la exfiltración de datos y ganancias financieras. La puerta trasera, difícil de detectar y eliminar, utiliza protocolos complejos para comunicarse. Las investigaciones revelaron similitudes con incidentes anteriores y una posible conexión con la empresa china I-Soon, involucrada en una filtración masiva de datos. 

KeyPlug se distribuye mediante un cargador [.]NET y descifra su carga útil usando AES. La versión Linux, protegida por VMProtect, es más difícil de analizar. La ciberseguridad enfrenta serios desafíos por la sofisticación y alcance de APT41, poniendo en riesgo la propiedad intelectual y seguridad económica y nacional.

Actores de amenazas chinos se esconden en las redes militares y gubernamentales durante 6 años

"Unfading Sea Haze" es un grupo de hackers chinos que ha estado infiltrando redes militares y gubernamentales en la región del Mar de China Meridional desde 2018, sin ser detectado hasta ahora. Según Bitdefender, sus operaciones coinciden con los intereses geopolíticos de China y muestran similitudes con otros grupos como APT41. 

Utilizan correos de phishing con archivos ZIP maliciosos y comandos de PowerShell para ejecutar malware sin archivos mediante MSBuild. Los atacantes crean persistencia a través de tareas programadas y manipulación de cuentas de administrador. Usan herramientas comerciales de gestión remota y malware avanzado como SerialPktdoor y variantes de Gh0stRAT para control y exfiltración de datos. Emplean técnicas sofisticadas y evasivas, incluyendo el uso de protocolos como FTP para extraer información. 

Para mitigar estos ataques, se recomienda una estrategia de seguridad integral que incluya gestión de parches, MFA, segmentación de red y herramientas de detección avanzadas.

Actores de amenazas atacan a las organizaciones financieras utilizando el clon troyanizado del Buscaminas

Actores de amenazas utilizan un clon troyanizado del juego Buscaminas para atacar a organizaciones financieras en Europa y Estados Unidos. El grupo de amenazas, identificado como 'UAC-0188' por CSIRT-NBU y CERT-UA de Ucrania, oculta scripts maliciosos en código Python del juego buscaminas para instalar SuperOps RMM, un software de gestión remota legítimo. Los ataques inician con correos electrónicos disfrazados de comunicaciones médicas, que invitan a descargar un archivo [.]SCR de 33 MB desde Dropbox. 

Este archivo contiene tanto el código del juego Buscaminas como scripts maliciosos que descargan más código desde “anotepad[.]com”. El código malicioso se decodifica desde una cadena base64 y ejecuta un instalador MSI para SuperOps RMM, otorgando acceso no autorizado a los atacantes. Las organizaciones no usuarias de SuperOps RMM deben tratar cualquier actividad relacionada con sus dominios como indicativo de compromiso. CERT-UA ha proporcionado indicadores adicionales de compromiso para ayudar a la detección.
 

Campaña de malware en curso explota fallas de Microsoft Exchange

Una campaña de malware está explotando vulnerabilidades en Microsoft Exchange Server para atacar organizaciones en África y Medio Oriente. Investigadores de Positive Technologies descubrieron un registrador de teclas desconocido en la página principal de Microsoft Exchange Server, utilizado para recopilar credenciales de cuentas. La campaña, activa desde al menos 2021, ha afectado a más de 30 víctimas, principalmente agencias gubernamentales en países como Rusia, Emiratos Árabes Unidos, Kuwait, Omán, Níger, Nigeria, Etiopía, Mauricio, Jordania y Líbano. 

Los atacantes aprovecharon las vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) para inyectar el malware, incrustando el código en la función clkLgn() y procesando resultados en el archivo logon[.]aspx. Positive Technologies recomienda verificar la presencia del código malicioso y actualizar Microsoft Exchange Server para mitigar el compromiso.

Google soluciona el octavo día cero de Chrome explotado activamente este año

Google ha lanzado una actualización de seguridad de emergencia para Chrome para solucionar la octava vulnerabilidad de día cero explotada activamente este año, identificada como CVE-2024-5274. 

Descubierta por Clément Lecigne de Google, esta vulnerabilidad de alta gravedad implica una "confusión de tipos" en V8, el motor JavaScript de Chrome, lo que puede llevar a fallos, corrupción de datos y ejecución de código arbitrario. Google ha retenido detalles técnicos para proteger a los usuarios hasta que la mayoría haya actualizado. La solución se implementa en la versión 125.0.6422.112/.113 para Windows y Mac, y 125.0.6422.112 para Linux. 

CVE-2024-5274 es la tercera vulnerabilidad de día cero explotada activamente este mes. Google también ha reducido la frecuencia de actualizaciones de seguridad de dos a una vez por semana para abordar la brecha de parches. Otros días cero resueltos este año incluyen fallos en V8, WebAssembly y la API WebCodecs, todos ellos permitiendo potencialmente la ejecución remota de código o el acceso no autorizado a información.

Vulnerabilidades afectan a complementos de Jenkins

Jenkins ha publicado 1 aviso de seguridad que contempla 8 vulnerabilidades. De estas, 4 son clasificadas como severidad Alta y 4 de severidad Media. Dichas vulnerabilidades afectan a los siguientes complementos de Jenkins.

• OpenText Application Automation Tools Plugin
• Report Info Plugin
• Team Concert Git Plugin

Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1947/
 

Nuevas vulnerabilidades en productos Cisco

Cisco ha publicado 6 avisos de seguridad que contemplan 6 vulnerabilidades. Estas se clasifican como 1 de severidad Alta y 5 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos de Cisco:

• ASA
• FMC
• FTD
• Entre otros

Para mas informacion visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1944/

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 27 de mayo al 02 de junio de 2024:

Objetivos observados durante semana de análisis:

• Servicios de salud, sociales y farmacia
• Servicios legales y profesionales
• Servicios empresariales y comercio
• Retail y servicios de consumo
• Infraestructura tecnológica - Componentes
• Industrias manufactureras, materiales y minería
• Transportes y servicios automotrices.
• Infraestructura tecnológica
• Banca y Finanzas
• Construcción e inmobiliaria
• Organizaciones sin fines de lucro
• Defensa y orden público
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Petróleo
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Construcción e inmobiliaria
• Banca y Finanzas
• Defensa y orden público
• Servicios empresariales y comercio
• Servicios de salud, sociales y farmacia
• Petróleo

• Retail y servicios de consumo
• Servicios legales y profesionales
• Turismo, hoteles y restaurantes

• Educación
• Organizaciones sin fines de lucro
• Servicios básicos y sanitarios

• Entretenimiento, cultura y arte
• Transportes y servicios automotrices.
• Infraestructura tecnológica - Componentes
• Shipment y cadena de suministros
• Agricultura, ganadería, silvicultura, pesca y procesamiento - producción
• Gobierno
• Agricultura, ganadería, silvicultura y pesca - consumo
   

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.