Noticias

Boletín CIC 

Cyber Intelligence Center Santiago 

¿Cuáles son las "ciber-amenazas" que están poniendo en riesgo a las distintas industrias? Nuestros expertos comparten las últimas novedades.

Boletín CIC: 27 de junio

WikiLeaks libera documentos de "Brutal Kangaroo": La suite de herramientas tiene por objetivo comprometer sistemas que se encuentran dentro de redes cerradas ("air-gapped"). El proceso de infección comienza por comprometer un computador conectado a internet, el cual a su vez infectará dispositivos USB que se utilizan para transferir archivos entre él y el sistema objetivo.

Nueva versión de Alina PoS descubierta: La nueva variante del malware que ataca terminales de pago PoS (Point-of-Sales) añade el uso de Secure Sockets Layer (SSL) a sus comunicaciones con servidor de command-and-control, junto con ofuscar información a exfiltrar por medio de un XOR (funcionalidad presente desde Alina v5.x.). Luego de infectar a su objetivo, Alina se registra a sí mismo como un servicio de Windows (llamado "WinErrSvc") para mantener persistencia en el sistema.

Nuevo malware para minar crypto-monedas "BtcMiner" emerge: BtcMiner está siendo esparcido como malware de segunda etapa a través de loaders que son implantados en objetivos por medio de DoublePulsar. BtcMiner es capaz de infectar sistemas con arquitectura de 32 o 64 bits, y utiliza una versión modificada de Gh0st RAT para sus operaciones.

Sectores vulnerables: 27 de junio

  • Minería: Riesgo bajo
  • Retail: Riesgo alto
  • Salud: Riesgo moderado
  • Banca: Riesgo alto

Boletín CIC: 15 de junio

Nuevo Troyano Bancario "Matrix Banker" emerge: El malware ha sido utilizado por actores maliciosos para atacar a instituciones financieras en Latinoamérica, principalmente en México y Perú. El troyano actúa como un loader de payloads maliciosos, agregándose en el registro el sistema para mantener persistencia. El malware inyecta DLLs (de 32 y 64 bits) al navegador del sistema, los cuales se enganchan a funciones del navegador para finalmente realizar un ataque Man-in-the-Browser.

"Industroyer"(Crash Override) amenaza a sistemas de control industriales (ICS): El malware ha sido catalogado como la evolución de Stuxnet, y se especula que fue utilizado en el reciente ataque a una planta de energía Ucraniana en la ciudad de Kiev. El malware podría potencialmente ser modificado para atacar a otros sectores de industria.

Vulnerabilidad en Samba utilizada para minar crypto-monedas: A pesar de haber sido parchada recientemente, CVE-2017-7494 afecta a todas a Samba desde v3.5.0 en adelante, permitiéndole a atacantes la ejecución de código remoto en el sistema afectado. Campañas recientes que abusan la vulnerabilidad esparcen el malware "CPUMiner", principalmente para minar "Monero".

Sectores vulnerables - 15 de junio

  • Minería: Riesgo alto
  • Retail: Riesgo moderado
  • Salud: Riesgo moderado
  • Banca: Riesgo alto 

El Cyber Intelligence Center de Deloitte Chile pertenece  a la red global de Cyber Intelligence Centers de Deloitte Global. Esta red opera las 24 horas del día y los 365 días del año ofreciendo un servicio altamente personalizado que ayuda a las organizaciones a prevenir, detectar y responder frente al panorama cambiante de las ciber amenazas. 

 

Boletín CIC: 8 de junio

Backdoor "Fireball" compromete a 250 millones de sistemas: El malware se utiliza para secuestrar los navegadores y redirigir tráfico para generar ganancias por publicidad. Además, actúa como backdoor que permite a cibercriminales distribuir malware adicional.

EternalBlue utilizado para distribuir Gh0st RAT y Nitol Bot: El exploit parte de las herramientas filtradas de la NSA es utilizado por actores maliciosos para distribuir el Remote Access Trojan (RAT) Gh0st y la Nitol botnet, típicamente utilizada para lanzar ataques distribuidos de denegación de servicio (DDoS) junto con esparcir malware adicional.

Malware "Zusy" distribuido por medio de archivos PowerPoint: El malware no requiere que los usuarios habiliten macros, ya que tan sólo con pasar el cursor por sobre un vínculo dentro de la presentación, se gatilla una aplicación que comienza la cadena de infección. Zusy ejecuta el proceso mstsc.exe que permite acceso mediante RDP al sistema infectado.

Sectores vulnerables - 8 de junio

  • Minería: Riesgo moderado
  • Retail: Riesgo moderado
  • Salud: Riesgo moderado
  • Banca: Riesgo moderado

Boletín CIC: 1 de junio

Troyano bancario ‘Pazera’ amenaza a usuarios chilenos: Nuevas variantes se han detectado del troyano bancario chileno distribuido a través de correos de phishing. El atacante se hace pasar por una entidad conocida como la Policía de Investigaciones de Chile (PDI)  para engañar al usuario. Dentro del correo se contiene un archivo malicioso, que si es ejecutado instala “Pazera”, el cual posteriormente roba credenciales bancarias desde los navegadores de los usuarios afectados.

‘Jaff’ ransomware distribuido a través de correos masivos de spam: El ransomware descubierto durante mayo se distribuye de manera masiva a través de ‘Necurs’ botnet, la cual es capaz de generar hasta 5 millones de correos por hora. Los correos maliciosos contienen un documento PDF como señuelo. En caso de ejecución, el usuario es infectado con ‘Jaff’ y sus archivos son encriptados con AES-256.

Operación  ‘RoughTed’ distribuye malware a través de cientos de sitios conocidos: La campaña de malware utiliza una técnica conocida como ‘malvertising’, en la cual los atacantes abusan sitios de alta concurrencia con publicidad embedida para infectar de manera transparente a los usuarios que la visitan. Los usuarios eventualmente pueden ser afectados por otros payloads maliciosos (Trojanos, ransomware), independiente del sistema operativo.

Sectores vulnerables - 1 de junio

  • Minería: Riesgo moderado
  • Retail: Riesgo alto
  • Salud: Riesgo moderado
  • Banca: Riesgo alto 

Boletín CIC: 25 de mayo

Adylkuzz (malware de minería de crypto-monedas) distribuido por ETERNALBLUE+DOUBLEPULSAR: Se estima que la campaña de Adylkuzz está activa desde inicios del mes. A parte de minar crypto-monedas, se calcula que Adylkuzz puede haber prevenido infecciones por WannaCry, ya que luego de comprometer a una víctima, el malware deshabilita el protocolo SMB.

Sage ransomware distribuido por medio del Nymaim downloader: Nymaim está siendo esparcido por medio de emails de phishing, el cual luego descarga Sage ransomware. La infraestructura de command-and-control y el hosteo de Sage utilizan dos redes DNS Fast-flux, típicamente utilizados para enmascarar sitios que esparcen malware o distribuyen spam.

Gootkit trojan amenaza a usuarios bancarios en el Reino Unido: La reciente campaña detrás de Gootkit utiliza redirecciones para llevar a visitantes de páginas bancaras a sitios maliciosos. Esta técnica es una evolución a los web-injects utilizados por Gootkit en el pasado, la cual no requiere que éstos estén escritos directamente en el archivo de configuración, por ende haciendo el proceso de detección más complejo.

Sectores vulnerables - 25 de mayo
  • Minería: Riesgo moderado
  • Retail: Riesgo alto
  • Salud: Riesgo alto
  • Banca: Riesgo alto

Boletín CIC: 18 de mayo

WannaCry ransomware: Un ataque masivo a escala mundial que comenzó el 12 de mayo, afectando a cientos de empresas en más de 150 países. El ransomware se encarga de “secuestrar” los archivos infectados pidiendo un monto monetario a cambio de la clave de encriptación. Dadas sus capacidades de expansión a través de Internet, las empresas infectadas se vieron forzadas a desconectar sus sistemas, lo cual conllevó a otras empresas que no fueron afectadas a realizar la misma acción como medida preventiva.

Rakos Botnet: Malware que ataca a dispositivos IoT (Internet of Things), el cual se aprovecha ingresar remotamente debido a la baja seguridad que éstos poseen por defecto. Una vez que un atacante logra acceder, se apropia del dispositivo para inyectar un malware y posteriormente “reclutarlo” para su botnet P2P, el cual se encuentra en constante crecimiento, amenazando con un posible futuro ataque DDoS.

Operación WilySupply: Campaña de malware el cual se aprovechó de la explotación de un servidor de software ampliamente utilizado por empresas de tecnología (UltraEdit). Una falsa actualización permitía infectar a los usuarios de ésta, permitiendo a un atacante ingresar remotamente y silenciosamente a la máquina infectada para el robo de información sensible.

Sectores vulnerables - 18 de mayo
  • Minería: Riesgo Alto
  • Retail: Riesgo Alto
  • Salud: Riesgo Alto
  • Banca: Riesgo Moderado

Boletín CIC: 11 de mayo

“File Frozr” emerge como nuevo Ransomware-as-a-Service: También conocido como FrozrLock, la licencia del RaaS puede ser obtenida por $220 USD. File Frozr elimina archivos de respaldo SVC (Shadow Volume Copies) antes de encriptar los archivos locales con una combinación de AES-256 + RSA-4096 (o en ocasiones, TwoFish-256). El panel de control del RaaS funciona por medio de la red Tor.

Campaña "Blank State" distribuye el ransomware Globeimposter: El ransomware es distribuido por medio de archivos .zip, los cuales contienen JavaScripts maliciosos que instalan Globeimposter en el objetivo. Globeimposter encripta los archivos locales con AES-256, y los actores a cargo de la operación exigen 1 Bitcoin para obtener la clave de cifrado.

Herramienta “HdCh3ck” amenaza a organizaciones en diversas industrias: La herramienta es utilizada por cibercriminales para automatizar ataques de fuerza bruta. Organizaciones afectadas por “HdCh3ck” pueden ver sus operaciones de negocio afectadas, e incluso sufrir de pérdida o robo de información sensible.

Sectores vulnerables - 11 mayo
  • Minería: Riesgo Bajo
  • Retail: Riesgo Alto
  • Salud: Riesgo Alto
  • Banca: Riesgo Alto 

 

Boletín CIC: 4 de mayo

Troyano OSX.dok instala poderosa backdoor en sistemas macOS: El troyano se distribuye a través de una aplicación maliciosa (la cual está firmada con un certificado revocado) que distribuye la backdoor "Bella".

Empresa distribuye dispositivos de almacenamiento USB con malware incluido: Una firma americana de tecnología detectó la presencia del troyano Faedevour (Pondre/Reconyc) en dispositivos de almacenamiento USB enviados a clientes. Dispositivos afectados contienen  "01AC585" en su código de producto.

Emerge ransomware "Mordor“ con soporte multi-threading: La nueva variante de ransomware (basada en el framework .NET 4.0) está siendo ofrecida en foros frecuentados por cibercriminales por $350 USD. El malware es una variante de la familia Hidden Tear, y utiliza AES-256 para encriptar archivos locales.

Sectores vulnerables - 4 de mayo 
  • Minería: Riesgo bajo
  • Retail: Riesgo moderado
  • Salud: Riesgo moderado
  • Banca: Riesgo moderado

 

Boletín CIC: 27 de abril

Emerge “LovxCrypt”  ransomware, la nueva variante de CryptVault: La familia LovexCrypt de ransomware utiliza el software de código libre "GnuPG" para encriptar los archivos locales, y se distribuye por medio de archivos Microsoft Compiled HTML (CHM).

Ciber-criminales usan “tracking pixels” para vigilar a sus víctimas: Criminales cibernéticos han adoptado la técnica típicamente utiliza por servicios de marketing para vigilar y generar un perfil de sus víctimas, lo cual les permite diseñar campañas de phishing más efectivas.

Vulnerabilidad “Zero-day” en Magento permite ejecución de código remoto: La vulnerabilidad afecta a las plataformas de e-commerce Magento, ampliamente utilizadas por el sector de retail. Se estima que Magento es utilizado por al menos 200.000 retailers globalmente.

Sectores vulnerables - 27 de abril
  • Minería: Riesgo moderado
  • Retail: Riesgo alto
  • Salud: Riesgo moderado
  • Banca: Riesgo moderado 

Boletín CIC: 21 de abril

Vulnerabilidad Zero-day en MS Word explotada en ataques: Cibercriminales actualmente explotan la vulnerabilidad por medio de documentos RTF (Rich Text Format) con extensión .doc, los cuales contienen un objeto OLE2link el cual descarga un archivo .hta (HTML Application)

“EmbusteBot” malware amenaza a usuarios bancarios en Brasil: Malware escrito en Delphi que se enfoca en tomar control total del sistema afectado, utilizándolo para generar transacciones fraudulentas desde la cuenta bancaria de la víctima.

“Terror” exploit kit utilizado en campañas de malvertising: La campaña redirige a usuarios a páginas maliciosas que distribuyen Smoke Loader (downloader de malware), o inyectan scripts en iframes para redirigir al visitante a una página que contiene exploits para Internet Explorer, Adobe Flash y Microsoft Silverlight.

Sectores vulnerables - 21 de abril
  • Minería: Riesgo moderado
  • Retail: Riesgo alto
  • Salud: Riesgo alto
  • Banca: Riesgo alto 

Boletín CIC: 10 de Abril

Amenazas detectadas

Nueva versión de backdoor Carbon descubierta: La nueva versión ha sido asociada con el grupo Ruso “Turla”, quienes anteriormente han comprometido a múltiples organizaciones en distintas industrias.

“Felismus”, una nueva herramienta de administración remota: El malware es parte de una campaña que opera desde fines del 2016 y que permite a los cibercriminales terminar procesos, ejecutar código arbitrario, descargar archivos y deshabilitar herramientas de seguridad (como antivirus) en los sistemas afectados.

Vulnerabilidad en Apache Stratus explotada para entregar malware: CVE-2017-5638 está siendo explotada por cibercriminales para esparcir malware como Cerber (ransomware) y PowerBot (DDoS Bot).

Sectores vulnerables - 10 de abril
  • Minería: Riesgo bajo
  • Retail: Riesgo moderado
  • Salud: Riesgo alto
  • Banca: Riesgo alto  

El Cyber Intelligence Center de Deloitte Chile pertenece  a la red global de Cyber Intelligence Centers de Deloitte Global. Esta red opera las 24 horas del día y los 365 días del año ofreciendo un servicio altamente personalizado que ayuda a las organizaciones a prevenir, detectar y responder frente al panorama cambiante de las ciber amenazas. 

 

Did you find this useful?