El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
Breach Forums planea el regreso de la Dark Web esta semana a pesar del cierre por parte del FBI
Breach Forums, un notorio foro de hackers y cibercrimen, está planeando su regreso a la web oscura con un nuevo dominio Onion esta semana, a pesar de la represión del FBI. ShinyHunters, un hacker y administrador del foro, confirmó a un medio de comunicación que el nuevo dominio está listo para su lanzamiento inminente. Sin embargo, el cronograma para reactivar el dominio en la web normal (clearnet) sigue siendo incierto.
El foro cayó bajo la incautación del FBI el 15 de mayo de 2024, después de la detención de dos administradores, incluido uno conocido como Baphomet, quien podría haber entregado sus credenciales al FBI. Sorprendentemente, ShinyHunters anunció haber recuperado el acceso al dominio clearnet, utilizando un método no revelado.
Ni el FBI ni el Departamento de Justicia han emitido comunicados oficiales sobre estos eventos. Mientras el foro se prepara para su relanzamiento, quedan muchas preguntas sobre su futuro y el papel de las autoridades en este complejo mundo del cibercrimen.
Hacktivistas recurren al ransomware en sus ataques al gobierno de Filipinas
Los hacktivistas están utilizando constructores de ransomware filtrados para atacar infraestructuras críticas en Filipinas, en un intento por interrumpir sus operaciones. El grupo Ikaruz Red Team, identificado por la firma de ciberseguridad SentinelOne, está usando varios tipos de ransomware como LockBit, Vice Society, Clop y AlphV para realizar ataques "a pequeña escala" y publicar filtraciones de datos en línea.
Estos ataques, que parecen más enfocados en causar disturbios y obtener atención en redes sociales que en obtener beneficios financieros, han contribuido a un aumento del 325% en la actividad cibernética maliciosa en Filipinas en el primer trimestre del año, según Resecurity. La tensión regional con China, que está llevando a cabo campañas sofisticadas de guerra informativa, y el uso de identidades hacktivistas para evitar la atribución, complican la distinción entre activismo y operaciones respaldadas por el estado. En abril, el Departamento de Ciencia y Tecnología de Filipinas fue atacado por el grupo #opEDSA, que robó dos terabytes de datos.
Caída del ransomware: el 94% experimenta tiempo de inactividad, el 40% se enfrenta a un paro laboral
En los últimos 12 meses, el 48% de las organizaciones identificaron una infracción de seguridad, según Arctic Wolf. El 66% de las que sufrieron una filtración de datos divulgaron públicamente la información, mientras que el 30% lo reveló sólo a las partes afectadas. Los ataques de compromiso de correo electrónico empresarial (BEC) afectaron al 70% de las organizaciones, con el 29% sufriendo incidentes exitosos.
El 45% de las organizaciones sufrió un ataque de ransomware, con el 94% experimentando tiempo de inactividad significativo y el 40% enfrentando paros laborales totales. Esto resulta en mayores costos por tiempo de inactividad que por rescate. La adopción de seguros cibernéticos es alta, con el 66% de las organizaciones ya cubiertas y el 29% planeando obtener cobertura. Además, el 94% de las organizaciones están implementando políticas sobre el uso de IA generativa y modelos de lenguaje grande. El 88% ya utiliza programas de concientización sobre seguridad, y otro 10% planea adoptarlos pronto.
APT41: La amenaza de KEYPLUG contra las industrias Italianas
APT41, también conocido como KeyPlug, es una amenaza significativa para las industrias italianas, según lo descubrió el equipo de malware Zlab de Tinexta Cyber. Este grupo de ciberespionaje chino, conocido por su sofisticación, utiliza una puerta trasera para atacar sistemas operativos Windows y Linux.
APT41 emplea múltiples nombres y se dedica a la exfiltración de datos y ganancias financieras. La puerta trasera, difícil de detectar y eliminar, utiliza protocolos complejos para comunicarse. Las investigaciones revelaron similitudes con incidentes anteriores y una posible conexión con la empresa china I-Soon, involucrada en una filtración masiva de datos.
KeyPlug se distribuye mediante un cargador [.]NET y descifra su carga útil usando AES. La versión Linux, protegida por VMProtect, es más difícil de analizar. La ciberseguridad enfrenta serios desafíos por la sofisticación y alcance de APT41, poniendo en riesgo la propiedad intelectual y seguridad económica y nacional.
Actores de amenazas chinos se esconden en las redes militares y gubernamentales durante 6 años
"Unfading Sea Haze" es un grupo de hackers chinos que ha estado infiltrando redes militares y gubernamentales en la región del Mar de China Meridional desde 2018, sin ser detectado hasta ahora. Según Bitdefender, sus operaciones coinciden con los intereses geopolíticos de China y muestran similitudes con otros grupos como APT41.
Utilizan correos de phishing con archivos ZIP maliciosos y comandos de PowerShell para ejecutar malware sin archivos mediante MSBuild. Los atacantes crean persistencia a través de tareas programadas y manipulación de cuentas de administrador. Usan herramientas comerciales de gestión remota y malware avanzado como SerialPktdoor y variantes de Gh0stRAT para control y exfiltración de datos. Emplean técnicas sofisticadas y evasivas, incluyendo el uso de protocolos como FTP para extraer información.
Para mitigar estos ataques, se recomienda una estrategia de seguridad integral que incluya gestión de parches, MFA, segmentación de red y herramientas de detección avanzadas.
Actores de amenazas atacan a las organizaciones financieras utilizando el clon troyanizado del Buscaminas
Actores de amenazas utilizan un clon troyanizado del juego Buscaminas para atacar a organizaciones financieras en Europa y Estados Unidos. El grupo de amenazas, identificado como 'UAC-0188' por CSIRT-NBU y CERT-UA de Ucrania, oculta scripts maliciosos en código Python del juego buscaminas para instalar SuperOps RMM, un software de gestión remota legítimo. Los ataques inician con correos electrónicos disfrazados de comunicaciones médicas, que invitan a descargar un archivo [.]SCR de 33 MB desde Dropbox.
Este archivo contiene tanto el código del juego Buscaminas como scripts maliciosos que descargan más código desde “anotepad[.]com”. El código malicioso se decodifica desde una cadena base64 y ejecuta un instalador MSI para SuperOps RMM, otorgando acceso no autorizado a los atacantes. Las organizaciones no usuarias de SuperOps RMM deben tratar cualquier actividad relacionada con sus dominios como indicativo de compromiso. CERT-UA ha proporcionado indicadores adicionales de compromiso para ayudar a la detección.
Campaña de malware en curso explota fallas de Microsoft Exchange
Una campaña de malware está explotando vulnerabilidades en Microsoft Exchange Server para atacar organizaciones en África y Medio Oriente. Investigadores de Positive Technologies descubrieron un registrador de teclas desconocido en la página principal de Microsoft Exchange Server, utilizado para recopilar credenciales de cuentas. La campaña, activa desde al menos 2021, ha afectado a más de 30 víctimas, principalmente agencias gubernamentales en países como Rusia, Emiratos Árabes Unidos, Kuwait, Omán, Níger, Nigeria, Etiopía, Mauricio, Jordania y Líbano.
Los atacantes aprovecharon las vulnerabilidades ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) para inyectar el malware, incrustando el código en la función clkLgn() y procesando resultados en el archivo logon[.]aspx. Positive Technologies recomienda verificar la presencia del código malicioso y actualizar Microsoft Exchange Server para mitigar el compromiso.
Google soluciona el octavo día cero de Chrome explotado activamente este año
Google ha lanzado una actualización de seguridad de emergencia para Chrome para solucionar la octava vulnerabilidad de día cero explotada activamente este año, identificada como CVE-2024-5274.
Descubierta por Clément Lecigne de Google, esta vulnerabilidad de alta gravedad implica una "confusión de tipos" en V8, el motor JavaScript de Chrome, lo que puede llevar a fallos, corrupción de datos y ejecución de código arbitrario. Google ha retenido detalles técnicos para proteger a los usuarios hasta que la mayoría haya actualizado. La solución se implementa en la versión 125.0.6422.112/.113 para Windows y Mac, y 125.0.6422.112 para Linux.
CVE-2024-5274 es la tercera vulnerabilidad de día cero explotada activamente este mes. Google también ha reducido la frecuencia de actualizaciones de seguridad de dos a una vez por semana para abordar la brecha de parches. Otros días cero resueltos este año incluyen fallos en V8, WebAssembly y la API WebCodecs, todos ellos permitiendo potencialmente la ejecución remota de código o el acceso no autorizado a información.
Vulnerabilidades afectan a complementos de Jenkins
Jenkins ha publicado 1 aviso de seguridad que contempla 8 vulnerabilidades. De estas, 4 son clasificadas como severidad Alta y 4 de severidad Media. Dichas vulnerabilidades afectan a los siguientes complementos de Jenkins.
Para más información visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1947/
Nuevas vulnerabilidades en productos Cisco
Cisco ha publicado 6 avisos de seguridad que contemplan 6 vulnerabilidades. Estas se clasifican como 1 de severidad Alta y 5 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos de Cisco:
Para mas informacion visitar: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1944/
En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 27 de mayo al 02 de junio de 2024:
Objetivos observados durante semana de análisis:
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: