Apreciación de Inteligencia según las amenazas latentes en el panorama nacional

Tras el ataque cibernético informado durante este fin de semana que afectó a Banco Estado y que obligó a cerrar sus sucursales, el equipo de respuesta ante incidentes de seguridad informática, CSIRTGOB, ha llamado a la comunidad que forma parte de la Red de Conectividad del Estado y a todos los encargados de Ciberseguridad, para que tomen precauciones en cada uno de sus sistemas. 

Es en este contexto es que el Centro de Ciberinteligencia de Entel CyberSecure, de acuerdo con lo que se ha evidenciado durante las últimas horas y en afinidad con nuestro boletín de las principales amenazas latentes en el Panorama de Ciberinteligencia Nacional, (publicado en nuestro portal el dia 7 septiembre), a orientado la Apreciación de Inteligencia:

APRECIACIÓN DE INTELIGENCIA
Amenaza más probable

• En el corto plazo un aumento de Phishing, Smishing y Spearphishing aprovechando la incertidumbre de la gente con respecto a los servicios entregados por Banco Estado, solicitando a sus víctimas las credenciales de autenticación a sus cuentas bancarias.

Amenaza más peligrosa

• Una explotación sistemática de las vulnerabilidades más explotadas respecto a las amenazas latentes del panorama de ciberinteligencia nacional, considerando que aún existen organizaciones que no cuentan con las actualizaciones pertinentes.

Phishing y Spearphishing

Es reconocido por todas las entidades de seguridad, que los ciberdelincuentes están ocupando cualquier tema presente dentro del acontecer nacional e internacional para hacer más creíbles sus campañas de Phishing y Spearphishing. Un claro ejemplo es lo que pasó con el retiro del 10% de la AFP, que obligó a Policía de Investigaciones de Chile a emitir un comunicado por el aumento de las estafas utilizando este tema.

Es en este contexto que estimamos un aumento de las estafas utilizando correos, mensajes SMS y páginas web fraudulentas como anzuelo para que los clientes de Banco Estado entreguen información de sus cuentas, poniendo en riesgo su patrimonio.

La afectación de los servicios de Banco Estado como el principal banco en Chile es un tema especialmente abrumador que afecta como ningún otro a la sensibilidad de los ciudadanos. Los ciberdelincuentes se aprovecharán de esta coyuntura esperando que los usuarios sean más susceptibles a pinchar en los enlaces fraudulentos que tienen que ver con la temática del Banco.

Ahora más que nunca es necesario mantener una actitud precavida y pensamiento crítico a la hora de recepcionar cualquier tipo de mensaje por medios electrónicos.

Vulnerabilidades explotadas en el panorama

Es un hecho que la mayoría de los ataques y exploits se aprovechan de los sistemas y aplicaciones de terceros no actualizados, explotando vulnerabilidades conocidas, para las que se dispone de una actualización semanas, incluso meses antes de la brecha. Una de las razones por la que las empresas tienen dificultades para buscar y aplicar parches relevantes es la falta de recursos y tiempo. 

En Nuestro boletín de las Principales amenazas latentes en el panorama de ciberinteligencia nacional se deja en evidencia algunas de las vulnerabilidades que estos ciberactores están utilizando en sus actuales campañas que a continuación detallamos:

CVE-2019-2729 Componente Oracle WebLogic Server de Oracle Fusion Middleware

Vulnerabilidad publicada el 19 de junio de 2020 y modificada el 15 de julio de 2020

Esta CVE dirigida al componente Oracle WebLogic Server de Oracle Fusion Middleware, permite la ejecución remota de código sin autenticación, se ha descubierto que esta vulnerabilidad puede ser utilizada para la creación de botnets, instalación de software de minado de criptomonedas y también para el despliegue de malware como Sodinokibi.

Una de las características de esta CVE es que la infección puede ocurrir sin ninguna interacción del usuario. Al momento de encontrar un servidor vulnerable, los ciberdelincuentes pueden enviar una petición HTTP POST con un powershell que explota la vulnerabilidad. Esto descargará y ejecutará un archivo binario en el equipo víctima y así quedará comprometido si la versión de Oracle Weblogic no está parcheada. Tiene un CVSS valorizado con ponderación 9.8 y catalogado como crítico.

Versiones afectadas:

• 10.3.6.0.0
• 12.1.3.0.0
• 12.2.1.3.0

CVE-2018-8453 Vulnerabilidad de escalamiento de privilegios locales del kernel de Microsoft Windows 'Win32k.sys'

Vulnerabilidad publicada y actualizada el 09 de octubre de 2018

Durante diferentes investigaciones sobre sodinokibi se ha podido identificar que este malware también tiene la capacidad de hacer uso de la CVE-2018-8453 para obtener privilegios en el sistema operativo Windows. El mismo tiene la capacidad de hacer uso de la vulnerabilidad del componente Win32k el cual no tiene la capacidad de manejar los objetos en la memoria si no se encuentra parchado. Lo que mediante un exploit puede resultar en una escalada de privilegios que puede comprometer el sistema y tener como resultado el despliegue de este tipo de malware. Tiene un CVSS en la NIST como alto y con valor de 7.8.

Versiones afectadas:

• Windows 10 versiones 1607, 1703, 1803,1809
• Windows 7 SP1
• Windows RT 8.1
• Windows Server 2008 SP2, R2 SP1, R2
• Windows Server 2016 1709, 1803
• Windows Server 2019

CVE-2019-2725 Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware

Vulnerabilidad publicada el 26 de abril de 2020 y modificada el 24 de agosto de 2020

Esta vulnerabilidad se puede explotar a través de una red sin la necesidad de un nombre de usuario y contraseña, lo cual la clasificó con riesgo crítico de valor 9.8 en la CVSS de NIST, la misma está vinculada con el componente Oracle WebLogic Server de Oracle Fusion Middleware. En la cual se utilizan datos no confiables durante la transmisión de los mismos al servidor para abusar de la lógica de la aplicación, lo que le permite al atacante omitir autenticación y ejecución de código remoto, lo cual puede terminar en la ejecución de código que permita instalación de malware en el equipo comprometido.

Versiones afectadas:

• 10.3.6.0.0
• 12.1.3.0.0

CVE-2017-11882 Microsoft Office Equation Editor

Vulnerabilidad publicada el 14 de noviembre de 2017 y modificada el 5 de febrero de 2019

El malware descarga su ejecutable malicioso mediante la explotación de la vulnerabilidad CVE-2017-11882 Microsoft Office Equation Editor, la cual permite la ejecución de código arbitrario, esta vulnerabilidad puede ser explotada con la ayuda inconsciente de un usuario, el mismo puede abrir un archivo de word con macros, y si este (winword.exe) tiene la opción de macros activa, el malware ejecuta procesos que descargan el ejecutable malicioso, colocando al equipo víctima como comprometido.

Versiones afectadas:

• Microsoft Office 2007 Service Pack 3
• Microsoft Office 2010 Service Pack 2
• Microsoft Office 2013 Service Pack 1
• Microsoft Office 2016

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingrese a los sitios oficiales de la institución de la cual es cliente, realice todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.