Boletín semanal de ciberseguridad 6–12 de marzo

La botnet FluBot detrás de la campaña de suplantación a empresas de mensajería

El pasado viernes, investigadores de Threat Fabric ponían nombre a la amenaza detrás de la campaña de suplantación de empresas de mensajería por SMS. En concreto hablan del malware Cabassous, un troyano bancario descubierto en diciembre de 2020 y cuya afectación estaría muy centrada en España. Por su parte, el investigador de malware de ESET Lukas Stefanko, confirmaba también la vinculación entre las campañas de SMS fraudulentos en España y Polonia que suplantan a empresas de mensajería, y el malware FluBot (aka Cabassous), y facilitaba el enlace a un informe de Prodaft (Proactive Defense Against Future Threats) donde se analiza la actividad ligada a la botnet FluBot. En el informe se recogen algunas de las estadísticas ligadas a la botnet, hablándose de más de 60.000 dispositivos infectados, con un 97% de las víctimas localizado en España. El total de números de teléfono recolectados podría superar los 11 millones (en el momento de la redacción del informe). El objetivo del troyano es la recolección de credenciales bancarias de los usuarios. Sin embargo, además de este objetivo principal y, a diferencia de otros troyanos bancarios, FluBot cuenta con la capacidad de robar la agenda de contactos de sus víctimas y de enviar SMS fraudulentos desde los dispositivos comprometidos. Esta capacidad es la que ha fomentado su rápida y efectiva propagación. Ese mismo día, los Mossos d’Esquadra informaban del desmantelamiento de un grupo criminal especializado en campañas de smishing. Dentro del anuncio de los Mossos no se especificaba que los detenidos eran los operadores de la botnet FluBot, conocida ese mismo día por la mañana gracias a un informe detallado de la firma Prodaft. Sin embargo, uno de los investigadores de Prodaft confirmaba, vinculando el anuncio de los Mossos, que los arrestados eran los operadores de FluBot y que el C&C estaba caído ya desde primera hora de la mañana. Uno de los artículos en prensa que se hacen eco de la desarticulación, El Periódico indica que la investigación, que seguiría aún abierta, habría dado comienzo el pasado mes de octubre de 2020 a raíz de la denuncia de un usuario de la recepción de un sms fraudulento. Estas noticias podrían permitir plantear que la campaña de smishing tan agresiva que venimos viendo en las últimas semanas, podría darse por finalizada. Sin embargo, continúa reportándose en redes sociales la recepción de sms fraudulentos pasado el momento de la desarticulación, por lo que no podemos descartar que el desmantelamiento haya sido únicamente de una parte de la infraestructura.

Más información: https://twitter.com/m3karadag/status/1367769424502136832

Fuga de información en diversas aerolíneas debido a un ciberataque contra el proveedor IT SITA

El 24 de febrero, SITA, una empresa internacional de telecomunicaciones que provee servicios tecnológicos a empresas de la industria aeronáutica, fue víctima de un incidente de seguridad que afectó a determinados datos de pasajeros almacenados en los servidores de SITA Passenger Service System (SITA PSS). Esta plataforma gestiona los sistemas de compra de billetes, embarque y otras transacciones de usuarios  para grandes aerolíneas. Según ha confirmado un representante de SITA a medios digitales, entre las entidades afectadas se encuentran Lufthansa, Air New Zealand, Singapore Airlines, SAS, Cathay Pacific, Jeju Air, Malaysia Airlines y Finnair. En total, se estima que más de dos millones de usuarios finales podrían haberse visto afectados por este incidente. En su propio comunicado, SITA indica que está tomando medidas para ponerse en contacto con todos los clientes de SITA PSS afectados, además de iniciar otras medidas de contención específicas, La investigación sobre el origen del incidente sigue en curso.

Info completa: https://www.sita.aero/pressroom/news-releases/sita-statement-about-security-incident/

Boletín de seguridad de Microsoft

Microsoft ha publicado su boletín mensual de seguridad para este mes de marzo en el que ha corregido 84 vulnerabilidades, entre las que se encuentran dos vulnerabilidades de día cero, así como otras diez vulnerabilidades de criticidad alta. Los zero-days corregidos son: CVE-2021-27077, elevación de privilegios en Windows Win32k; y CVE-2021-26411, vulnerabilidad de daños de memoria en Internet Explorer. Se tiene constancia de que esta última vulnerabilidad, con criticidad alta, ha sido explotada por el grupo norcoreano Lazarus en el pasado mes de enero. Finalmente, destacar que Microsoft ha lanzado actualizaciones de seguridad para servidores de Microsoft Exchange que actualmente no tienen soporte y que son vulnerables a los ataques de ProxyLogon (CVE-2021-26855), los cuales no son compatibles con los parches lanzados a principios del mes de marzo.  

Más detalles: https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

Incendio en varios centros de datos de OVH

Octave Klava, fundador de OVH anunciaba a las 3:42 de la madrugada vía Twitter la detección de un incendio en uno de sus centros de datos ubicado en Estrasburgo. En concreto el incendio se iniciaba en el centro SBG2 y acababa afectando también a parte de SBG1 poco después, luchando los bomberos por conseguir un aislamiento efectivo de los SBG3 y SBG4. A primera hora de la mañana, Klava anunciaba que el fuego estaba ya controlado pero que no se tenía acceso en esos momentos a ninguno de los cuatro centros. En una nueva actualización realizada a las 10 de la mañana, se anuncia la intención de restaurar durante el día de hoy al menos el servicio prestado desde SBG3 y SBG4, y quizá el de SBG1. En su anuncio inicial del incidente, Klava recomendaba a sus clientes recurrir al plan de recuperación ante desastres de la firma, creado para evitar problemas mayores debidos a la incapacidad de funcionar del servicio. Como consecuencia del incendio, existe una grave afectación en numerosas páginas web alojadas por OVH en estos momentos.

Toda la info: https://twitter.com/olesovhcom/status/1369478732247932929

Novedades acerca de ProxyLogon, las vulnerabilidades en Exchange

Desde que saliera a la luz la semana pasada la explotación activa de 4 vulnerabilidades 0-day de Microsoft Exchange por parte del actor de origen chino Hafniun, se han publicado nuevas noticias en las que se ha conocido que entre las víctimas de estos ataques se encontraría la Autoridad Bancaria Europea (EBA). Además investigadores de ESET han tenido conocimiento de la explotación de estas vulnerabilidades por otras organizaciones cibercriminales, estando entre estas los operadores del ransomware DearCry. Por su parte Microsoft publicó actualizaciones para corregir estas vulnerabilidades advirtiendo si bien, de la necesidad de seguir correctamente las indicaciones debido a que podrían estarse instalando sin reparar las vulnerabilidades; también ha lanzado actualizaciones de seguridad para servidores sin soporte que son vulnerables. Además, Microsoft ha lanzado un script con el fin de buscar IoCs asociados a estas vulnerabilidades en el sistema, y ha actualizado su herramienta Microsoft Safety Scanner que detecta y elimina webshells. Adicionalmente, el CERT de Letonia ha desarrollado un script que detecta webshells pero sin eliminar los archivos infectados.

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.