Un ransomware golpea a Chile y Colombia, Las Vegas bajo ataque y una semana cargada de zero-days
Ataque de ransomware contra IFX Networks afecta empresas y dependencias del Estado, MGM y Caesars Palace bajo ataque y Adobe, Microsoft y Google arreglan exploits y Lazarus roba 54 millones.
SecOps es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
8>15 sept
🍄 Chile y Colombia afectados por un ransomware a IFX: MarioLocker
Un ciberataque contra IFX Networks, una proveedora de telecomunicaciones que opera principalmente en Chile y Colombia, dio de baja sitios de empresas y dependencias estatales.
En Colombia algunos dominios afectados son la Superintendencia de Salud, de Industria y Comercio y el Consejo Superior de la Judicatura, que incluso decidió suspender operaciones y trámites judiciales en todo el país. Por este motivo, activaron un protocolo de emergencia.
El incidente en IFX, también Netglobalis en Chile, fue reportado por el CSIRT del país trasandino. La empresa emitió un comunicado oficial en el que aseguran que el ataque fue contra “algunas máquinas virtuales” y aseguraron que “no se han evidenciado vulnerabilidades en la información, privacidad y seguridad de los datos alojados en la nube”.
Al ser proveedor de otros clientes, el ataque se enmarca en lo que se conoce como un ataque a la cadena de suministro (Supply Chain Attack).
En cuanto al actor de amenazas, se cree que quien está detrás es Ransom House, a partir de información que circuló en grupos privados de directivos de distintas empresas de América Latina. Sin embargo, el cartel no confirmó el ataque en su sitio y sólo circuló una imagen de MarioLocker, nombre que Trend Micro le dio a un ransomware que es usado por Ransom House.
Este actor de amenazas comparte información vía torrents y en su sitio en la dark web. Los expertos están a la espera de más novedades, ya que tanto las TTP del actor de amenazas como las potenciales consecuencias de un ataque de este tipo podrían implicar serios problemas para ambos países.
Colombia, de hecho, tiene elecciones elecciones regionales el próximo 29 de octubre.
Un detalle no menor lo apuntó el ministro del Ministerio de Tecnologías de la Información y Comunicaciones de Colombia, Mauricio Lizcano, quien dijo en Twitter que son 762 las organizaciones afectadas por este ataque, no solo en Colombia y Chile, sino también en Argentina.
🔒 MGM y Caesars Palace, hackeados con ransomware en Las Vegas
Dos gigantes de la hotelería mundial cayeron esta semana ante un ataque de ransomware: MGM Resorts International y Caesars Entertainment fueron víctimas de un robo de 6 TB de información. Según trascendió en versiones periodísticas (Bloomberg, Forbes), Caesars pagó decenas de millones de dólares (se habla de 30).
Más allá de esta información, que el medio financiero dice que está confirmada por “dos personas familiarizadas con el asunto” sin proporcionar más datos, Caesars emitió un comunicado 8-K ante la SEC, la comisión reguladora de Wall Street en Estados Unidos.
Y allí, en el comunicado, el hotel dice que “se tomaron los pasos necesarios para que la información robada sea borrada por el actor no autorizado”, de lo cual puede inferirse, por la lógica del negocio del ransomware, que se cedió ante las presiones y se pagó el rescate.
Allí aseguraron que la intrusión fue “a partir de un ataque de ingeniería social contra un vendor de soporte IT usado por la compañía”.
El ataque al Caesars ocurrió semanas antes del ataque al MGM Resorts que, desde este domingo por la noche, causó estragos en las operaciones de MGM, obligando a los huéspedes a esperar horas para registrarse y paralizando los pagos electrónicos, tarjetas digitales, máquinas tragamonedas, cajeros automáticos y sistemas de estacionamiento pago.
El sitio web y la aplicación móvil de la empresa estuvieron fuera de línea durante casi cuatro días.
El ataque fue llevado adelante por Scattered Spider (así lo llama CrowdStrike, 0ktapus para Group-IB), un actor de amenazas afiliado al conocido cartel de ransomware Black Cat (ALPHV). Sobre sus tácticas, técnicas y procedimientos (TTP), escribió Will (@BushidoToken):
CrowdStrike presentó Scattered Spider en diciembre de 2022 y compartió una actualización en enero de 2023. Estos actores de amenazas angloparlantes con motivaciones financieras son conocidos por su estilo único de ataques, que suelen comenzar todos de la misma manera, ya sea a través de un mensaje de phishing SMS para recopilar credenciales o a través de una llamada de vishing de ingeniería social de la vieja escuela (aunque sigue siendo muy eficaz) para obtener credenciales o conseguir que el objetivo descargue software malicioso y proporcione acceso.
Entre sus ataques conocidos se encuentra el hackeo a los sistemas de Riot Games (desarrolladores de League of Legends) y Reddit, en enero y febrero de este año, respectivamente.
El analista arriesga en su blog una hipótesis de afiliación a Black Cat:
Debido a la naturaleza irregular de las campañas de Scattered Spider hasta principios de 2023, el grupo ha decidido cambiar de táctica y unirse a la comunidad cibercriminal de operadores de ransomware de habla rusa.
La agencia de noticias Reuters aseguró que se comunicó con un miembro del grupo vía Telegram y que le confirmaron que por el momento no publicarán la información.
Black Cat publicó un extenso comunicado durante las últimas horas del jueves, donde aseguran que siguen teniendo acceso a los sistemas de MGM:
Seguimos teniendo acceso a parte de la infraestructura de MGM. Si no se llega a un acuerdo, llevaremos a cabo ataques adicionales. Seguimos esperando que MGM tenga los huevos para contactarnos, ya que han demostrado claramente que saben cómo ponerse en contacto con nosotros.
👾 Adobe Acrobat, también con zero-days
Adobe dio a conocer este martes una vulnerabilidad que afectaba al conocido lector de PDFs Adobe Acrobat y productos Reader.
La vulnerabilidad, identificada como CVE-2023-26369, permite ser explotada para ejecutar código arbitrario. La empresa ya lanzó una actualización de seguridad para Windows y MacOS.
SecOps habló con un experto que matizó el alcance del exploit, en tanto “la gran mayoría de los usuarios lee PDFs dentro de un navegador web”, esto es, en un sandbox, sin descargar un archivo.
Los productos afectados son Acrobat DC, Acrobat Reader DC, Acrobat 2020 y Acrobat Reader 2020. Más tarde, Adobe identificó más fallas que permitían a los atacantes tomar control de un sistema ajeno.
Estos no son casos atípicos en tanto Adobe tiene un historial de programación defectuosa con una gran cantidad de bugs y exploits detectados en el pasado.
🔍 Google parchea un zero-day de Chrome reportado por Apple
Google lanzó una actualización de seguridad para su navegador Chrome en lo que ya es el cuarto zero-day en lo que va del año (CVE-2023-4863). Esta vez, el equipo de seguridad de Apple fue el encargado de reportarlo y está disponible in the wild.
Hasta el momento los detalles del ataque que se puede realizar a partir de esta vulnerabilidad no están disponibles, pero estaría vinculado a una librería de código WebP (Libwebp). Explicó Google:
El acceso a los detalles y enlaces de los fallos puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También mantendremos restricciones si el fallo existe en una biblioteca de terceros de la que dependen otros proyectos de forma similar, pero que aún no se ha corregido.
La empresa llamó a los usuarios a actualizar el navegador y corroborar que se está corriendo la versión 116.0.5845.187/.188 en Windows y la 116.0.5845.187 en Mac y Linux (Menú > Ayuda > Acerca de).
Luego del reporte de Chrome, Mozilla Firefox también parcheó su navegador, que se veía alcanzado por este bache de seguridad.
Chrome tiene más del 63% de la cuota del mercado de los navegadores.
🪟 Microsoft arregla dos zero-day y 59 fallas
Microsoft parcheó 59 fallas, cinco críticas, entre las que había dos zero-day en su martes de Patch Tuesday de esta semana. 24 eran RCE, ejecución remota de código, un tipo de falla que permite tomar control de un equipo de un tercero.
La empresa detalló las vulnerabilidades arregladas:
3 de bypass de funciones de seguridad
24 de ejecución remota de código (RCE)
9 de divulgación de información
3 de denegación de servicio
5 de suplantación de identidad (spoofing)
5 que afectaban a su navegador Edge
Las dos más graves, de día cero (es decir, que no tenían arreglo al momento de su descubrimiento), tienen que ver con una que escalaba privilegios locales para ganar acceso a sistemas (CVE-2023-36802) y otra que permitía robar hashes NTLM al abrir un documento -incluso en la previsualización (CVE-2023-36761)- descubierta por el mismo equipo de inteligencia de Microsoft.
🪙 Lazarus robó 54 millones de dólares del exchange CoinEx
Ciberdelincuentes norcoreanos del grupo Lazarus robaron 54 millones de dólares del exchange de criptomonedas CoinEx.
El ataque tuvo lugar el martes 12 de septiembre, según publicó CoinEx en un comunicado, en el que explicó que dijo que los hackers encontraron una filtración de algunas de sus claves privadas y las utilizaron para robar activos Ether, Tron y Matic de algunas de las carteras calientes de la compañía.
Quien vinculó al ataque con el grupo cibercriminal fue un investigador de blockchain, ZachBXT, quien conectó parte de los fondos robados yendo hacia la misma dirección que almacena los activos sustraídos en el reciente hackeo del sitio de juegos cripto Stake.com. El FBI ya había conectado a Stake.com con Lazarus, o ATP38.
Se cree que Lazarus ya lleva un botín de 300 millones de dólares en criptoactivos robados en 2023.
⚽ Aseguran que la Federación Holandesa de Fútbol (KNVB) pagó un rescate de ransomware
La Federación Holandesa de Fútbol (KNVB) sufrió un ataque de ransomware en abril de este año. Esta semana trascendió que la entidad habría pagado el rescate de la información para no revelar información interna de sus jugadores.
El ataque, llevado a cabo por Lockbit, fue auditado y, según trascendió, el resultado arrojó que entre los cientos de gigabytes robados había información confidencial sobre jugadores registrados -entre los que había menores de edad-, escaneos de documentos de identidad y pasaportes, además de detalles salariales e incluso información médica.
La KNVB publicó un comunicado con más detalles, en el que lamentan “profundamente” el incidente y piden disculpas a “todos los involucrados” que se vieron afectados.
🔗 Más info
Microsoft va a eliminar gradualmente drivers third party de impresoras
Sentencian a Rui Pinto, hacker detrás de los Football Leaks
Campaña de phishing masivo en Colombia, identificada por Check Point
Microsoft dice que un actor llamado Storm-0324 está llevando a cabo una campaña de phishing masivo vía Microsoft Teams
Kaspersky detectó que el grupo Cuba está activo con su ransomware