Ejercito de Chile en alerta: institución sufrió sensible ataque informático en su red interna

El Ejército dispuso una serie de indicaciones a sus funcionarios para evitar que el malware se siga expandiendo y poniendo en mayor riesgo a la institución y la seguridad nacional.

El Ejército de Chile ha vuelto a prender las alarmas internas en su institución tras confirmarse que sus redes cibernéticas internas volvieron a ser objeto de una fuerte vulneración o ataque que pone en riesgo, información sensible para los intereses de ese país, y que comprometería eventualmente su seguridad nacional.


Si bien, esta no es la primera vez que el Ejército de Chile sufre un ataque cibernético en los últimos años, ello no representa que el ataque no deba ser tomado con el mayor de los rigores para evitar que la vulneración pueda resultar como una gran afectación.

La confirmación del nuevo ataque cibernético sufrido por el Ejército de Chile este lunes 29 de mayo, en una información recogida por medios locales de ese país, en los que además se aclara que la vulneración responde a las redes y a la información interna de la institución.
EjercitoRansomware-2-768x993 image

El comunicado, además, indica que se dispuso a aislar la red e iniciar las auditorías correspondientes por parte de los organismos de ciberseguridad para la recuperación y puesta en marcha de la red en forma segura. Claramente este párrafo habla de un ataque disruptivo tipo ransomware, lo que fue confirmado en paralelo también por el CSIRT de Gobierno.


El ataque ha sido atribuido al nuevo grupo de ransomware llamado Rhysida.


Adicionalmente, nuestro monitoreo detectó que durante el fin de semana los sitios web del Ejercito mantuvieron una disponibilidad intermitente, lo que podría indicar los trabajos internos por aislar y/o proteger la red corporativa.


Por su parte, los medios locales de ese país han apuntado que la vulneración a los sistemas internos habría comenzado desde el pasado fin de semana, lo que representa que los datos estuvieron expuestos durante una considerable ventana de tiempo, sin que aún se pusiera en marcha la medida de contingencia para defender los servidores afectados.

En consecuencia, el Ejército de Chile ordenó a sus efectivos el mantener apagados sus computadores, afirmando además que en medio de las medidas también se debía evitar cualquier tipo de conexiones de dispositivos externos, o USB en los dispositivos de la institución, para evitar que fueren eventualmente corridos los referidos virus, bots, o Malware que se hubiesen dispuesto por parte de los ciberdelincuentes para borrar o robar información sensible de la institución.

Parte de las medidas explicadas por medios locales, y ordenadas por los responsables de los sistemas y redes de información interna en el ejército chileno , también razan sobre la importancia de la desconexión de los cables de administración o alimentación del servicio de internet, así como la desconexión de otros elementos como impresoras, configuradas a través de las conexiones inalámbricas.


Los computadores de las unidades referidas internamente en Chile deberán evitar la activación de sus dispositivos electrónicos al menos hasta que, desde la misma institución de imparta un mensaje o parte de tranquilidad que dé nuevamente luz verde a la activación de dichos dispositivos.

Continúa leyendo aquí

Obtén más información aquí

Fuente: Semana & Cronup

AceCryptor: cómo funciona este popular cifrador utilizado por varios desarrolladores de malware

El equipo de investigación de ESET comparte detalles sobre AceCryptor, un cifrador muy popular que se ofrece como servicio (Cryptor-as-a-service) y que es utilizado por decenas de familias de malware.
preview-225095-DFBi0d9Ywo-high_0010 image

Desde las primeras apariciones conocidas de AceCryptor en 2016, muchos autores de malware utilizaron los servicios de este cifrador, incluso el popular malware Emotet cuando no usaba su propio cifrador. Durante 2021–2022, ESET detectó más de 80.000 muestras únicas de AceCryptor. Debido a la gran cantidad de familias de malware diferentes incluidas, asumimos que AceCryptor es comercializado en algún lugar bajo el modelo de “cryptor-as-a-service” (CaaS). Si bien no sabemos el precio exacto de este servicio, considerando la cantidad de archivos únicos detectados asumimos que las ganancias para los autores de AceCryptor no son para nada despreciables.

Debido al alto volumen de muestras en los últimos años, los siguientes datos estadísticos están enfocados solo en muestras detectadas durante 2021 y 2022. Las detección de AceCryptor se distribuyeron de manera bastante uniforme a lo largo de estos dos años, algo que es bastante lógico considerando que es un malware utilizado por una gran cantidad de actores de amenazas que no sincronizan sus campañas.
figure_1_AceCrypter_Events image

Considerando la variedad de malware que utiliza AceCryptor y la diversidad de intereses de los diferentes autores de malware, tiene sentido que la actividad de AceCryptor se vea en todo el mundo. Durante 2021 y 2022, la telemetría de ESET registró más de 240.000 detección para este malware, lo que equivale a más de 10.000 detecciones cada mes. A continuación, se pueden ver los países con mayor número de detecciones durante 2021 y 2022.
figure_4_AceCrypter_map image

Continúa leyendo aquí

Fuente: We Live Security by ESET

El troyano Sneaky DogeRATse hace pasar por aplicaciones populares y se dirige a los usuarios indios de Android

Un nuevo troyanode acceso remoto (RAT) de código abierto llamado DogeRATse dirige a los usuarios de Android que se encuentran principalmente en India como parte de una sofisticada campaña de malware.

Una vez instalado en el dispositivo de la víctima, el malware obtiene acceso no autorizado a datos confidenciales, incluidos contactos, mensajes y credenciales bancarias.


También puede tomar el control del dispositivo infectado, permitiendo acciones maliciosas como enviar mensajes de spam, realizar pagos no autorizados, modificar archivos e incluso capturar fotos de forma remota a través de las cámaras del dispositivo.


DogeRAT, como muchas otras ofertas de malware como servicio( MaaS ), es promovida por su desarrollador con sede en India a través de un canal de Telegram que tiene más de 2100 suscriptores desde que se creó el 9 de junio de 2022.


Esto también incluye una suscripción premium que se vende a precios muy económicos ($30) con capacidades adicionales como tomar capturas de pantalla, robar imágenes, capturar contenido del portapapeles y registrar pulsaciones de teclas.

El malware es capaz de rastrear la ubicación del dispositivo, grabar el micrófono, recuperar listas de contactos, acceder a registros de llamadas, SMS, portapapeles y notificaciones, ver aplicaciones instaladas, descargar y cargar archivos, ver el estado de conectividad y ejecutar comandos adicionales desde el servidor C2.

En un desarrollo relacionado, Doctor Web descubrió más de 100 aplicaciones que contenían un componente de software espía llamado SpinOk que se han descargado colectivamente más de 421 millones de veces a través de Google Play Store.


El módulo, que se distribuye como un kit de desarrollo de software (SDK) de marketing, está diseñado para recopilar información confidencial almacenada en los dispositivos, así como para copiar y sustituir el contenido del portapapeles.


Algunas de las aplicaciones más populares que contienen el troyano SpinOk son Noizz, Zapya, VFly, MVBit, Biugo, Crazy Drop, Cashzine, Fizzo Novel, CashEM y Tick.

Recomendaciones:


  • Evitar hacer clic en enlaces de mensajes de spam e ingresar en sitios web desconocidos.
  • Evitar a enlaces desconocidos que publican en las redes sociales promocionando apps.
  • Descargar las apps desde la página del desarrollador o desde GooglePlay.
  • Mantener actualizado el sistema operativo y tener un antivirus enlos dispositivos móviles.

Continúa leyendo aquí

Fuente: Centro Nacional de Seguridad Digital

Los videos de software pirateados de YouTube ofrecen una triple amenaza: Vidar Stealer, Laplas Clipper, XMRig Miner

FortiGuard Labs se encontró con una campaña de amenazas en curso dirigida a los espectadores de YouTube que buscaban software pirateado a principios de este mes.
screen-shot-2023-05-22-at-10 image

Los videos cargados atraen a los usuarios que buscan software pirateado mediante el uso de títulos como "Adobe Acrobat Pro dc Crack 2023 versión completa gratuita / Adobe Acrobat Free Download". Algunos videos muestran tutoriales para usar el software pirateado, aunque en la mayoría de los casos, simplemente muestran imágenes estáticas a menudo no relacionadas con el producto de software.

Las descargas publicitarias de videos de software "crackeado" (también conocido como pirateado) son cargadas por canales verificados de YouTube con una gran cantidad de suscriptores. Las víctimas son llevadas a ejecutar binarios maliciosos que instalan múltiples malware en sus sistemas centrados en la recolección de credenciales, cryptojacking y robo de fondos de criptomonedas de billeteras.

Para mayor credibilidad, la campaña de malware utiliza canales verificados de YouTube con un gran número de seguidores. De hecho, uno de los canales de YouTube observados tiene casi 3 millones de suscriptores. Como estos canales de YouTube han subido videos legítimos en el pasado, sospechamos que estas cuentas pueden haber sido comprometidas.


Después de descargar el archivo RAR 2O23-F1LES-S0ft.rar a través de la URL proporcionada en la descripción del video de YouTube, la víctima debe descomprimir el archivo con la contraseña "1212", que aparece junto con la URL, y ejecutar el Launcher_S0FT-2O23.exe que contiene. El archivo también contiene varios archivos y directorios no utilizados, posiblemente para hacerse pasar por un instalador legítimo. En las siguientes secciones se proporciona un análisis detallado de cada componente.
screen-shot-2023-05-22-at-10 image

Continúa leyendo aquí

Fuente: Fortinet

Volt Typhoon: las autoridades internacionales de ciberseguridad detallan la actividad vinculada al actor de amenazas patrocinado por el estado chino

Varias autoridades internacionales de ciberseguridad de los Estados Unidos, el Reino Unido, Australia, Canadá y Nueva Zelanda emiten un aviso conjunto que detalla las tácticas, técnicas y procedimientos utilizados en los ataques recientes de un actor de amenazas patrocinado por el estado chino.
Blog-Research-SRT-Max-Quality_5 image

El 24 de mayo, varias agencias internacionales, incluida la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) en los Estados Unidos, el Centro Australiano de Seguridad Cibernética (ACSC), el Centro Canadiense de Seguridad Cibernética (CCCS) del Establecimiento de Seguridad de las Comunicaciones (CCCS), el Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NCSC-NZ) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK), emitieron un asesoramiento conjunto de ciberseguridad (CSA), AA23-144a, sobre Volt Typhoon, un actor de amenazas patrocinado por el estado de la República Popular China (RPC). Además de la CSA conjunta, el Equipo de Inteligencia de Amenazas de Microsoft publicó una publicación de blog separada que también destaca la actividad asociada con Volt Typhoon.

El actor de amenazas tiene un fuerte enfoque en la actividad "sigilosa" mediante el uso de lo que se conoce como técnicas de vida fuera de la tierra (LOTL) y actividad práctica en el teclado.


Las técnicas LOTL incluyen el uso de herramientas de red legítimas precargadas en los sistemas operativos para enmascarar sus actividades, como certutil, ntdsutil, xcopy y más. Hands-on-keyboard, como su nombre lo indica, implica que un atacante humano ejecute manualmente comandos en un sistema comprometido con "hands-on-keyboard" en lugar de usar herramientas automatizadas o programadas. Estas técnicas son empleadas por los actores de amenazas para evadir la detección por parte de soluciones de seguridad comunes, como la detección y respuesta de puntos finales (EDR).


Se sabe que Volt Typhoon se centra principalmente en el espionaje y la recopilación de información, y la actividad reciente del grupo se ha centrado en la infraestructura crítica, lo que llevó a la CSA conjunta a advertir a los defensores de la actividad del actor de amenazas, así como sus tácticas, técnicas y procedimientos.

Sí, el CSA conjunto destaca dos vulnerabilidades en los productos ManageEngine y FatPipe que se han relacionado con Volt Typhoon. Las agencias señalan que las vulnerabilidades explotadas por el actor de amenazas incluyen, entre otras, las siguientes:

Continúa leyendo aquí

Fuente: Tenable

Nuevo malware COSMICENERGY explota el protocolo ICS para sabotear las redes eléctricas

El 26 de mayo del 2023, a través del monitoreo y búsqueda de amenazas en el Ciberespacio, se tomó conocimiento de una nueva variedad de software malicioso denominado “COSMICENERGY” diseñado para penetrar e interrumpir sistemas críticos en entornos.

El malware está diseñado para causar interrupciones   en   la   energía   eléctrica   al interactuar con dispositivos IEC 60870-5-104(IEC-104), como unidades terminales remotas.

Las características de “COSMICENERGY” son comparables a las de Industroyer, que se ha atribuido al grupo Sandworm respaldado por el Kremlin, debido a su capacidad para explotar un protocolo de comunicación industrial llamado IEC-104 para emitir comandos a las RTU.

Aprovechando este acceso, un atacante puede enviar comandos remotos para afectar la actuación de los interruptores de la línea eléctrica y los interruptores automáticos para causar una interrupción del suministro eléctrico.


Esto se logra mediante dos componentes llamados PIEHOP y LIGHTWORK, que son dos herramientas de disrupción escritas en Python y C++, respectivamente, para transmitir los comandos IEC-104 a los equipos industriales conectados.


Otro aspecto notable del malware del sistema de control industrial (ICS) es la falta de capacidades de intrusión y descubrimiento, lo que significa que requiere que el operador realice un reconocimiento interno de la red para determinar las direcciones IP del dispositivo IEC-104 a las que se apunta.


Para llevar a cabo un ataque, un actor de amenazas tendría que infectar una computadora dentro de la red, encontrar un servidor Microsoft SQL que tenga acceso a las RTU y obtener sus credenciales.

Continúa leyendo aquí

Fuente: Centro Nacional de Seguridad Digital
Contáctanos

Central: +511 2259900 anexo 110

Equipo de Marketing: igrandez@bafing.com o al +51 969454618

Command Center y SOC: helpdesk@bafing.com o al +51 971500877



www.bafing.com

Facebook

Twitter

LinkedIn
LinkedIn Síguenos

Acerca de Bafing

Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.

El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
Bafing S.A.C. | Av. Del Parque Sur 560, Lima, 15036 Perú
Cancelar suscripción pbisso@bafing.com
Aviso de datos de Constant Contact
Enviado por bdigital@bafing.com alimentado por
Mensaje de correo electrónico confiable de ConstantContact
Try email marketing for free today!