Noticias

Archivo Boletín CIC 2018

Cyber Intelligence Center 

Todas las semanas, nuestros expertos comparten las últimas novedades en ciberseguridad. Revisa acá nuestros boletines publicados.

El Cyber Intelligence Center de Deloitte Chile pertenece  a la red global de Cyber Intelligence Centers de Deloitte Global. Esta red opera las 24 horas del día y los 365 días del año ofreciendo un servicio altamente personalizado que ayuda a las organizaciones a prevenir, detectar y responder frente al panorama cambiante de las ciber amenazas. 

Boletín: 13 de junio del 2018

Ransomware “RedEye” ataca Master Boot Record de víctimas y destruye información:

El recientemente descubierto ransomware “RedEye” se caracteriza por bloquear la máquina afectada y pedir un pago de 0.1 Bitcoins (~ $652 USD), advirtiendo a la víctima que destruirá el disco duro si no efectúa el pago en cuatro días.  Al cumplirse el plazo, “RedEye” sobrescribe el contenido de los archivos secuestrado con Bytes en “0”, dejándolos inutilizables. Luego, RedEye reinicia la máquina para reemplazar el Master Boot Record (MBR) de ésta, bloqueando así el acceso al sistema operativo. El ransomware se caracteriza por contener varios efectos de audio y video, lo cual explica el tamaño inusual del archivo ejecutable, que oscila en los 35 MB.

“RedEye” se distribuye a través de Twitter, y habría sido creado por el equipo detrás de los ransomware “Jigsaw” y “Annabelle”, descubiertos en 2016 y 2017 respectivamente.

 

 

Boletín CIC 13 de junio

Boletín 05 de junio del 2018

Malware VPNFilter amenaza a dispositivos de red a nivel global:

Según investigadores que descubrieron el malware, VPNFilter cuenta con un diseño modular, lo cual lo vuelve una herramienta versátil para conducir operaciones de recolección de inteligencia en sus objetivos. Del mismo modo, VPNFilter tiene la capacidad de afectar directamente las operaciones de negocios de organizaciones que se ven infectadas por la amenaza.

Investigación inicial indicaría que le malware podría estar relacionado al grupo de actores APT28 (Sofacy / Fancy Bear) el cual se especula tiene vínculos directos y es patrocinado por el gobierno Ruso.

VPNFilter utiliza un proceso de compromiso de múltiples etapas: La primera fase se encarga de asegurar la persistencia del malware en el sistema, incluso luego de un reinicio. La segunda fase permite a los atacantes deshabilitar uno todos los dispositivos comprometidos de una sola vez, por lo cual se considera la fase más destructiva del malware. La fase tres del malware es utilizada para descargar plug-ins que aumentan las capacidades del malware, permitiendo comprometer a sus víctimas en un mayor nivel.

 

Boletín: 29 de mayo del 2018

Malware VPNFilter amenaza a dispositivos de red a nivel global:

Según investigadores que descubrieron el malware, VPNFilter cuenta con un diseño modular, lo cual lo vuelve una herramienta versátil para conducir operaciones de recolección de inteligencia en sus objetivos. Del mismo modo, VPNFilter tiene la capacidad de afectar directamente las operaciones de negocios de organizaciones que se ven infectadas por la amenaza.

Investigación inicial indicaría que le malware podría estar relacionado al grupo de actores APT28 (Sofacy / Fancy Bear) el cual se especula tiene vínculos directos y es patrocinado por el gobierno Ruso.

VPNFilter utiliza un proceso de compromiso de múltiples etapas: La primera fase se encarga de asegurar la persistencia del malware en el sistema, incluso luego de un reinicio. La segunda fase permite a los atacantes deshabilitar uno todos los dispositivos comprometidos de una sola vez, por lo cual se considera la fase más destructiva del malware. La fase tres del malware es utilizada para descargar plug-ins que aumentan las capacidades del malware, permitiendo comprometer a sus víctimas en un mayor nivel.

Boletín: 22 de Mayo del 2018

Malware de criptominado “WinstarNssmMiner” infecta a más de 500.000 víctimas en 3 días:

El recientemente descubierto malware de criptominado ha sido capaz de minar 133 monedas de Monero (XMR) en un período de tres días (~$26,000 USD). El malware presenta un desafío particular para los usuarios, ya que además de efectuar funciones de minado, es capaz de generar un fallo de sistema en la máquina afectada. 


WinstarNssmMiner basa parte de su código fuente en la herramienta legitima de código abierto de minado ce monedas XMRig. El malware incluye funciones de anti-detección que buscan indicadores de presencia de herramientas de anti-virus de marcas específicas de renombre, deteniendo su ejecución en caso de ser positivo. En caso de detectar otras marcas de anti-virus presentes en el sistema, WinstarNssmMiner intenta desactivarlas para evitar su detección. Ya que el malware utiliza el proceso svchost.exe para su ejecución, si un usuario detecta un proceso malicioso de minado y lo termina, esto culmina en un fallo del sistema, forzando un reinicio del mismo.

Boletín: 15 de mayo del 2018

Bug en Framework Electron permitiría ataques de RCE (Remote Code Execution):

Analistas de seguridad han encontrado una vulnerabilidad crítica en el framework de código abierto Electron, ampliamente utilizado para la creación de aplicaciones web. El framework permite la creación de aplicaciones híbridas de escritorio al facilitar la integración de los framework Chromium in Node.js por medio de APIs. Para limitar el acceso a node.js, Electro utiliza por defecto un flag llamado “webviewTag:false”. La vulnerabilidad encontrada abusa a aplicaciones creadas con el framework que no declaran explícitamente el valor del flag “webviewTag”, lo que permite a los adversarios realizar un ataque de XSS (Cross-Site Scripting) lo cual les permite la ejecución de código remoto (RCE).

Electros es utilizado pro aplicaciones móviles masivas, como lo son WhatsApp, WordPress, Skype, GitHub desktop, Slack, Signal y otros.

Boletín: 08 de mayo 2018

Malware para móviles Android “ZooPark” puede grabar llamadas y robar información:

La cuarte iteración de la familia ZooPark de malware móvil expande ampliamente las capacidades de sus predecesores. La reciente versión de ZooPark permite a los atacantes robar información almacenada en el portapapeles del dispositivo, registrar actividad del teclado (keylog), exfiltrar archivos almacenados en el dispositivo (fotos, videos, etc.) e incluso el grabar conversaciones telefónicas.

Debido a que la firma que descubrió ZooPark ha notado un nivel de infección relativamente bajo (en comparación con otros malware), se cree que los actores detrás de ZooPark escogen selectivamente a sus objetivos de infección. Esto da pie para especular sobre la posibilidad de que las operaciones del grupo sean patrocinadas por un estado nación.

Actualmente las victimas de ZooPark se encuentran localizadas principalmente en Oriente Medio y Norte de África, con foco particular en Moroco, Egipto, Lévano, Irán y Jordania.

El malware se distribuye principalmente por medio de canales de Telegram, y también por medio de ataques de bebedero (waterhole) a través de sitios de noticias en árabe.

Boletín: 24 de abril 2018

Actores Rusos amenazas sector de energía y producción industrial:

El grupo de actores asociado al gobierno Ruso Energetic Bear (también conocidos como DragonflyCrouching YetiGroup 24Havex y Koala Team) ha estado operativo desde al menos el 2011, atacando a organizaciones en diversos sectores de industria, como los son aeroespacial y defensa. Sin embargo, las campañas más recientes del grupo se han enfocado en organizaciones en el sector de energía y recursos, o aquellas que utilizan procesos industriales apoyados por redes ICS/SCADA.

El grupo utiliza servidores de organizaciones comprometidas como punto de pivota para lanzar otros ataques, típicamente hosteando herramientas o utilizándolos para ataques de bebedero (waterhole attacks).

La actividad del grupo está estrechamente relacionada con un alerta (TA18-106A) liberada recientemente por parte del US-CERT en conjunto con el gobierno de UK, donde detallan operaciones de la campaña denominada “Grizzly Steppe”, la cual entre otros, se enfoca en comprometer dispositivos de red en sus objetivos.

 

Boletín: 9 de Abril de 2018

Nueva variante de la Botnet Mirai lanza ataque DDoS al sector financiero:

Una nueva variante de la Botnet Mirai ha sido utilizada para lanzar ataques de negación distribuida de servicio (DDoS) contra instituciones financieras. Los ataques utilizaron al menos 13.000 dispositivos IoT secuestrados que generan volúmenes de tráfico de hasta 30Gbps. Investigadores detectaron los ataques que se dividieron en tres etapas, concentrándose en instituciones financieras ubicadas en Rusia y Ucrania, con algunos casos también registrados en Brasil.

La botent Mirai está constantemente buscando dispositivos conectados (IoT) con bajas medidas de seguridad para reclutar a su red, la cual durante 2018 se estimo contiene aproximadamente 800,000 dispositivos zombie.

Boletín: 4 de Abril 2018

ANDROIDOS HIDDENMINER puede “brickear” dispositivos infectados: El malware diseñado para afectar a dispositivos móviles Android secuestra la CPU de su víctima para minar la criptomoneda Monero. El uso de CPU por parte de HIDDENMINER es tan alto, que puede causar reinicio del dispositivo, e incluso daño permanente. El malware se distribuye por medio de Google Play, disfrazado como una aplicación legítima. HIDDENM]INER abusa una vulnerabilidad presente en el sistema operativo Android (Nougat y versiones anteriores) para bloquear la pantalla cuando el usuario intenta remover permisos de administrador a la aplicación.

“njRAT Lime Edition” distribuye ransomware y malware para billeteras de criptomonedas: Si bien njRAT es conocido desde el 2013, la última variante de malware utilizada por atacantes incorpora Lime ransomware como un elemento adicional para comprometer a sus víctimas, encriptando archivos locales con AES-256. Esta nueva versión de njRAT además intenta obtener información sobre billeteras de criptomonedas presentes en el sistema infectado para ser enviadas a servidores de comando y control (C&C)

Plataforma SWIFT abusada para enviar transacciones fraudulentas en Banco Central de Malasia: Autoridades del Banco central de Malasia alertaron respecto a transacciones SWIFT fraudulentas detectadas en sus sistemas, las cuales pretendían generar transferencias de fondos ilegitimas. El banco pudo detener dichas transacciones y evitar pérdidas. A raíz de esto, el Banco Central de Filipinas anunció que tomará medidas para resguardarse frente a un potencial ataque, sospechando una posible campaña en la región.

Ciber Riesgo | Deloitte Chile

Deloitte ofrece un portafolio completo de servicios para asistir a las organizaciones a establecer su apetito al riesgo cibernético, diseñar e implementar programas seguros, vigilantes y resilientes y en la adaptación continua de la gestión, mantenimiento y adaptación de sus programas a los cambios en el entorno.

Bolétin CIC: 21 de marzo 2018

Ataque de malware a momentos de generar explosión en planta de petróleos en Arabia Saudita: Atacantes que se creen están asociados con una nación estado rival de Arabia Saudita  lanzaron un ataque con malware, el cual tenía como objetivo generar una explosión en la planta, lo cual típicamente se conoce como DeOS (Destruction of Service). El ataque en cuestión afecta a dispositivos de control Triconex, y no logro su objetivo de generar una explosión debido a una mal configuración en el código del malware utilizado. Sin embargo, el ataque forzó el apagado del sistema afectado.

US-CERT advierte sobre infiltración Rusa en sistemas críticos: El US-CERT lanzó una alerta (TA18-074A) en base a un análisis desarrollado por el Department of Homeland Security (DHS) y el Federal Bureau of Investigation (FBI), en el cual se describen los esfuerzos por actores Rusos de infiltrar y atacar diversas organizaciones consideradas como infraestructura crítica en U.S. El reporte detalla esfuerzos de actores rusos para comprometer organizaciones americanas desde Marzo del 2016,  enfocándose en sectores como energía (nuclear), servicios básicos (suministro de agua), aviación y otros.

APT28 utiliza vulnerabilidad en Adobe Flash para campaña de espionaje: El grupo de actores se cree está directamente liderado por autoridades rusas, y es reconocido por operaciones previas las cuales han tenido como objetivo gobiernos adversarios. El grupo, también conocido como Fancy Bear, abusa una vulnerabilidad presente en Adobe Flash Player en su última campaña para servir malware espía (spyware) a sus objetivos, la cual se enfoca principalmente en entidades dentro de Europa. La campaña utiliza DealersChoice (Plataforma para la explotación de Flash) con una nueva técnica de evasión, la cual solo gatilla el exploit cunado una página específica del documento señuelo es vista por el usuario.

Boletín CIC: 13 de marzo 2018

Ataque de malware a momentos de generar explosión en planta de petróleos en Arabia Saudita: Atacantes que se creen están asociados con una nación estado rival de Arabia Saudita  lanzaron un ataque con malware, el cual tenía como objetivo generar una explosión en la planta, lo cual típicamente se conoce como DeOS (Destruction of Service). El ataque en cuestión afecta a dispositivos de control Triconex, y no logro su objetivo de generar una explosión debido a una mal configuración en el código del malware utilizado. Sin embargo, el ataque forzó el apagado del sistema afectado.

US-CERT advierte sobre infiltración Rusa en sistemas críticos: El US-CERT lanzó una alerta (TA18-074A) en base a un análisis desarrollado por el Department of Homeland Security (DHS) y el Federal Bureau of Investigation (FBI), en el cual se describen los esfuerzos por actores Rusos de infiltrar y atacar diversas organizaciones consideradas como infraestructura crítica en U.S. El reporte detalla esfuerzos de actores rusos para comprometer organizaciones americanas desde Marzo del 2016,  enfocándose en sectores como energía (nuclear), servicios básicos (suministro de agua), aviación y otros.

APT28 utiliza vulnerabilidad en Adobe Flash para campaña de espionaje: El grupo de actores se cree está directamente liderado por autoridades rusas, y es reconocido por operaciones previas las cuales han tenido como objetivo gobiernos adversarios. El grupo, también conocido como Fancy Bear, abusa una vulnerabilidad presente en Adobe Flash Player en su última campaña para servir malware espía (spyware) a sus objetivos, la cual se enfoca principalmente en entidades dentro de Europa. La campaña utiliza DealersChoice (Plataforma para la explotación de Flash) con una nueva técnica de evasión, la cual solo gatilla el exploit cunado una página específica del documento señuelo es vista por el usuario.

Boletín CIC: 6 de marzo 2018

Bolétin CIC: 6 de marzo 2018

Campaña de malvertising (publicidad engañosa) redirige a usuarios a página de RIG EK: La campaña utiliza diversos sitios con contenido referente a cripto-monedas para engañar a sus visitantes, quienes son redirigidos a una página de explotación de RIG EK. La campaña cuenta con la sofisticación de validar si los visitantes re-direccionados son bots o no, terminando el proceso de infección, o en su defecto cargando RIG EK en un iframe. Luego de ser redirigidos y de una explotación efectiva del objetivo, RIG EK sirve las variantes de malware TrickBot (Troyano bancario) o Ramnit (troyano) para comprometer a sus víctimas.

Malware "RedDrop" afecta a dispositivos Android: Una vez instalado, RedDrop permite a los atacantes exfiltrar información contenida dentro del dispositivo como lo son fotografías, contactos y archivos de configuración. Para la exfiltración de datos, los atacantes utilizan servicios de almacenamiento en la nube, como lo son Dropbox and Google Drive. A demás de robar información, el dispositivo infectado es utilizado para enviar mensajes SMS a servicios premium, generando así una ganancia financiera para los perpetradores. El malware ha sido catalogado como sofisticado por investigadores que lo analizaron, el cual además cuenta con capacidades de resiliencia y persistencia para asegurar su presencia en el dispositivo afectado, incluso luego de actualizaciones del sistema.

Ataques DDoS Amplificados utilizan servidores memcache para incrementar su impacto: Recientes ataques de DDoS (Distributed Denial of Service) se basan en esta técnica llamada "Memcached Reflection", la cual principalmente genera niveles masivos de tráfico a través del puerto UDP 11211. Los atacantes abusan a los servidores de caché (los cuales típicamente no cuentan con medidas de seguridad estrictas) para generar peticiones al servidor, las cuales son amplificadas (generando mayor tráfico) al ser enviadas al servidor objetivo. Está técnica se utilizó recientemente para ejecutar el ataque DDoS más grande detectado hasta el momento, alcanzando velocidades de 1.4Tbps en su peak..

 

Boletín CIC: 13 de Febrero 2018

Bolétin CIC: 6 de marzo 2018

Campaña de malvertising (publicidad engañosa) redirige a usuarios a página de RIG EK: La campaña utiliza diversos sitios con contenido referente a cripto-monedas para engañar a sus visitantes, quienes son redirigidos a una página de explotación de RIG EK. La campaña cuenta con la sofisticación de validar si los visitantes re-direccionados son bots o no, terminando el proceso de infección, o en su defecto cargando RIG EK en un iframe. Luego de ser redirigidos y de una explotación efectiva del objetivo, RIG EK sirve las variantes de malware TrickBot (Troyano bancario) o Ramnit (troyano) para comprometer a sus víctimas.

Malware "RedDrop" afecta a dispositivos Android: Una vez instalado, RedDrop permite a los atacantes exfiltrar información contenida dentro del dispositivo como lo son fotografías, contactos y archivos de configuración. Para la exfiltración de datos, los atacantes utilizan servicios de almacenamiento en la nube, como lo son Dropbox and Google Drive. A demás de robar información, el dispositivo infectado es utilizado para enviar mensajes SMS a servicios premium, generando así una ganancia financiera para los perpetradores. El malware ha sido catalogado como sofisticado por investigadores que lo analizaron, el cual además cuenta con capacidades de resiliencia y persistencia para asegurar su presencia en el dispositivo afectado, incluso luego de actualizaciones del sistema.

Ataques DDoS Amplificados utilizan servidores memcache para incrementar su impacto: Recientes ataques de DDoS (Distributed Denial of Service) se basan en esta técnica llamada "Memcached Reflection", la cual principalmente genera niveles masivos de tráfico a través del puerto UDP 11211. Los atacantes abusan a los servidores de caché (los cuales típicamente no cuentan con medidas de seguridad estrictas) para generar peticiones al servidor, las cuales son amplificadas (generando mayor tráfico) al ser enviadas al servidor objetivo. Está técnica se utilizó recientemente para ejecutar el ataque DDoS más grande detectado hasta el momento, alcanzando velocidades de 1.4Tbps en su peak..

Boletín CIC: 17 de enero

Vulnerabilidad CVE-2017-10271 utilizada para esparcir malware minador de cripto-monedas: Este mes de enero se ha detectado una campaña que utiliza una vulnerabilidad crítica en Oracle WebLogic para esparcir malware que mina Monero, lo cual parece ser un cambio de objetivo a una campaña anterior detectada durante diciembre del 2017 que minaba la cripto-moneda AEON. La campaña actual esparce versiones del malware tanto para sistemas corriendo sobre Microsoft Windows o Linux, siendo la última la que ha presentado la mayor habilidad de evadir detección.

APT Turla conduce campaña de espionaje contra consulados y embajadas en Europa del Este: El reconocido grupo de actores (también identificados por los alias “Venomous Bear”, “Snake/Uroburos” y “Krypton”) ha sido asociado al gobierno ruso, el cual -a su vez- ha sido asociado con ataques sofisticados contra organizaciones de gobierno y empresas en el sector de energía y recursos.  El grupo ha sido asociado con sofisticadas herramientas de ciber-espionaje, como lo son la Carbon Backdoor, el troyano KazuarAgent.BTZ y el downloader de malware PNG_Dropper. Adicionalmente, el grupo conduce campañas sociales de spear-phishing y utiliza exploits de día cero (zero-day) en Microsoft Office Encapsulated Postscripts (EPS).

Campaña de espionaje en contra de entidades relacionadas con las Olimpiadas de Invierno del 2018: Diversas entidades asociadas con la organización de las próximas Olimpiadas de Invierno a tener lugar en Pyeongchang, Corea del Sur en febrero del 2018, han sido objetivo de campañas de phishing que apuntan a esparcir malware espía. Según análisis inicial de la campaña por investigadores de seguridad, se cree que ésta podría estar asociada con algún grupo de avanzada, posiblemente asociados a algún gobierno extranjero. Se espera que, a medida que se acercan las Olimpiadas, el número de campañas se incremente.

Boletín CIC: 9 de enero

Malware minador de cripto-moneda es esparcido por medio de peticiones SOAP: Fuentes internas de Deloitte han descubierto en los primeros días de enero un malware no identificado, el cual es utilizado por atacantes para minar la cripto-moneda "Monero". El malware es distribuido por medio de peticiones HTTP POST SOAP (Simple Object Access Protocol) las cuales incluyen un campo el cual corresponde a un script PowerShell codificado en Base64. El script decodificado hace un llamado a un servidor previamente comprometido, desde el cual descarga un archivo ejecutable malicioso y procede con su ejecución. De momento no es claro como los atacantes posteaban el archivo SOAP (XML) hacia el servidor objetivo.

Vulnerabilidad CVE-2017-12149 y SSH utilizados por malware de minería contra servidores Linux: Un grupo de investigadores ha descubierto la nueva botnet de cripto-minado de monedas, llamada PyCryptoMiner, la cual se esparce por medio de SSH. Según los investigadores, desde mediados de Diciembre la campaña ha estado enfocándose en comprometer servidores JBOSS vulnerables, al explotar la cVE-2017-12149. El hecho que el malware sea basado en lenguajes de scripting hace que inherentemente sea más efectivo al evadir controles de seguridad, ya que puede ser fácilmente ofuscado, en comparación con su alternativa binaria.

Nuevo Troyano Android se enfoca en más de 200 aplicaciones bancarias:Investigadores de seguridad han descubierto un nuevo malware que afecta a dispositivos Android, llamado Android.banker.A2f8a. Aparte de aplicaciones bancarias, el malware también se enfoca en comprometer apps de e-commerce, juegos y aplicaciones de cripto-monedas. Una vez que el sistema ha sido infectado, el malware es capaz de extraer credenciales de login, interceptar SMS y recolectar y exfiltrar información de contactos. Se cree que el malware se distribuye principalmente por medio de repositorios de aplicaciones alternativos, disfrazado como una aplicación de Adobe Flash Player.

Boletín CIC: 2 de enero

Backdoors encontradas en tres plugins de WordPress: Investigadores de seguridad notaron que el 27 de diciembre pasado el repositorio de WordPress eliminó tres plugins que contenían puertas traseras (backdoors). Los plugins en cuestión son  “WP No External Links”, “Duplicate Page and Post” y “No Follow All External Links". Los plugins maliciosos han sido atribuidos a un ataque de cadena de abastecimiento, ya que los mismos han cambiado de dueño en reiteradas ocasiones durante los últimos 6 meses. Se cree que el objetivo final detrás de estos backdoors es el de poder inyectar spam oculto de optimización de motores de búsqueda (Search Engine Optimization, SEO) en los sitios afectados.

Vulnerabilidad zero-day en macOS permite escalamiento local de privilegios: Se estima que la vulnerabilidad ha estado presente en dispositivos corriendo sobre OSX/macOS desde el 2002. La vulnerabilidad de escalamiento local de privilegios (Local Privilege Escalation - LPE) afecta a la extensión de kernel IOHIDFamily utilizada por instrumentos de interacción con humanos (como la pantalla touch, acelerómetros, botones, etc.). Explotación efectiva de la vulnerabilidad permitiría a un atacante la ejecución de código arbitrario con privilegios root.

Grupo Lazarus utiliza PowerRatankba en campañas recientes: El grupo asociado al régimen Norcoreano ha utilizado PowerRatankba (variante en PowerShell de Ratankba) durante la segunda mitad del 2017 para comprometer tanto terminales de POS (Point-of-Sales) como cuentas de usuarios con criptomonedas. Se estima que los ataques son dirigidos por Corea del Norte para evadir las sanciones económicas impuestas por la ONU y seguir financiando su programa nuclear. Este es el primer caso en que ataques a POS se han asociado a un grupo de actores vinculado a un gobierno.

  • Sectores vulnerables: Banca y Retail
Did you find this useful?