Boletín semanal de Ciberseguridad, 28 de enero – 3 de febrero

Telefónica Tech    3 febrero, 2023

LockBit Green: nueva variante de LockBit

Recientemente, investigadores de vx-underground han detectado que los gestores del ransomware LockBit están utilizando una nueva variante de ransomware, denominada LockBit Green.

Esta nueva variante sería la tercera empleada por el grupo, tras su inicio con Lockbit Red, y su evolución posterior a LockBit Black (también denominado LockBit 3.0). Varios investigadores han analizado las muestras disponibles de LockBit Green, pudiendo observar que esta nueva variante se basa en el código fuente de Conti.

De su análisis destacan que la nota de rescate empleada es la de LockBit 3.0, y que ya no se utiliza la extensión .lockbit, sino una aleatoria, al cifrar los archivos en el sistema de la víctima.

Asimismo, por parte del equipo de PRODAFT han compartido Indicadores de Compromiso (IoCs) y una regla Yara de la nueva variante.

Más info

* * *

GitHub revoca certificados comprometidos para Desktop y Atom

Github ha tomado la decisión de revocar una serie de certificados utilizados para sus aplicaciones Desktop y Atom después de que se vieran comprometidos en un incidente de seguridad en diciembre.

Según la propia compañía, el acceso no autorizado ocurrido en diciembre no habría afectado a los servicios de la plataforma, sin embargo, un grupo de certificados se habría exfiltrado como resultado.

Estos certificados están protegidos por contraseña, y por el momento no se habría detectado ningún uso malicioso de los mismos. La anulación de estos certificados invalidará las versiones de GitHub Desktop para Mac 3.0.2 a 3.1.2 y Atom 1.63.0 a 1.63.1.

Se recomienda a los usuarios de estas versiones actualizar a la más reciente en caso de Desktop, y volver a versiones anteriores en caso de Atom. Los cambios entrarán en vigor el día 2 de febrero.

Más info

* * *

PoC disponible para vulnerabilidad en KeePass

KeePass ha descubierto recientemente una vulnerabilidad en su software para la cual ya se ha lanzado un PoC. El fallo, identificado como CVE-2023-24055, permite a los actores amenaza con acceso de escritura en un sistema, alterar el archivo de configuración XML e inyectar malware para exportar la base de datos con los usuarios y contraseñas en texto plano.

Cuando un usuario accede a KeePass e introduce la contraseña maestra para abrir la base de datos, se activa en segundo plano la regla de exportación y el contenido se guarda en un archivo al cual tienen acceso los atacantes.

Si bien KeePass describió el problema en 2019 sin calificarlo como vulnerabilidad, los usuarios solicitan que el producto incluya un mensaje de confirmación antes de exportar o poder deshabilitar la función. Desde Bleeping Computer recomiendan asegurarse de que los usuarios sin privilegios no tengan acceso a ningún archivo de la aplicación y crear un archivo de configuración.

Más info

* * *

​Dos nuevas vulnerabilidades en dispositivos CISCO

Investigadores de Trellix han alertado de dos vulnerabilidades en dispositivos Cisco. La primera de ellas, identificada como CVE-2023-20076 y con un CVSS según fabricante de 7.2, permitiría a un atacante no autenticado inyectar comandos de forma remota en diversos dispositivos.

El segundo error, por ahora identificado con el ID de error de Cisco CSCwc67015, permitiría a un atacante ejecutar código de forma remota y sobrescribir archivos existentes.

Si bien ambos fallos se identificaron originalmente en los routers de Cisco ISR 4431, afectarían igualmente a otros dispositivos: 800 Series Industrial ISRs, CGR1000 Compute Modules, IC3000 Industrial Compute Gateways, dispositivos basados en IOS-XE configurados con IOx; routers IR510 WPAN Industrial y Cisco Catalyst Access points (COS-APs). Cisco habría lanzado actualizaciones de seguridad para la primera vulnerabilidad mencionada, y los investigadores urgen a las organizaciones afectadas a actualizar a la última versión de firmware disponible, además de deshabilitar el framework IOx de no ser necesario su uso.

Más info

* * *

​Campaña de Lazarus contra empresas energéticas y del sector sanitario

La empresa WithSecure ha publicado una extensa investigación sobre la última campaña de la APT Lazarus, supuestamente respaldada por Corea del Norte. La campaña ha recibido el nombre de “No Pineapple!” y en ella el grupo ha conseguido robar 100GB de datos de empresas de investigación médica, ingeniería y energía, entre otras.

Según WithSecure Lazarus aprovechó las vulnerabilidades CVE-2022-27925 y CVE-2022-37042 en Zimbra para colocar una webshell en el servidor de correo de las víctimas. Una vez dentro del sistema usaron diversas herramientas como el backdoor Dtrack y una nueva versión del malware GREASE, que abusa de la vulnerabilidad PrintNightmare.

WithSecure pudo atribuir la campaña a Lazarus, además de por repetir TTPs asociadas al grupo, gracias a que descubrió que las webshells se comunicaban con una IP localizada en Corea del Norte.

Más info (PDF) →

​Foto de apertura: Brecht Corbeel / Unsplash