Noticias de Ciberseguridad: Boletín semanal 28 de noviembre – 4 de diciembre

Nueva versión del malware TrickBot

Los operadores de la botnet TrickBot han agregado una nueva capacidad que les permite interactuar con la BIOS o el firmware UEFI de un equipo infectado. Este nuevo módulo de TrickBot permitiría aumentar la persistencia del malware y lograr que TrickBot sobreviva incluso a reinstalaciones del sistema operativo. Otras aplicaciones de este nuevo módulo serían bloquear de forma remota un dispositivo a nivel de firmware, evitar los controles de seguridad como BitLocker, configurar ataques de seguimiento aprovechando vulnerabilidades de Intel CSME o revertir actualizaciones que parchearon vulnerabilidades de CPU, entre otras. Hasta el momento, el módulo TrickBot solamente estaría comprobando el controlador SPI para verificar si la protección contra escritura de la BIOS está habilitada o no, y no se ha visto que esté modificando el firmware en sí. Sin embargo, el malware ya contiene código para leer, escribir y borrar firmware, lo que sugiere que sus creadores planean usarlo en ciertos escenarios futuros.

Más info: https://eclypsium.com/2020/12/03/trickbot-now-offers-trickboot-persist-brick-profit/

El fabricante de chips Advantech víctima de ransomware

Los operadores del ransomware Conti afirman haber comprometido a la empresa Advantech, uno de los fabricantes de chips para entornos industriales (IIoT) con mayor presencia internacional, y estarían exigiendo un rescate de $14 millones para descifrar los sistemas afectados y detener la filtración de datos internos robados. El pasado 26 de noviembre, el grupo comenzó a publicar parte de estos datos internos en su página de la Deep Web, con un archivo de 3.03GB que se corresponde con el 2% de los datos que indican poseer. Los operadores de Conti afirman además que disponen de puertas traseras implementadas en la red de la empresa que eliminarán cuando se pague el rescate. Advantech, de momento, no ha emitido ninguna declaración pública sobre este ataque.

Todos los detalles: https://www.bleepingcomputer.com/news/security/iiot-chip-maker-advantech-hit-by-ransomware-125-million-ransom/

Venta de accesos a cuentas de correo de ejecutivos de alto nivel

Un actor amenaza ha puesto a la venta contraseñas para acceder a cuentas de correo electrónico de ejecutivos de alto nivel en un conocido foro underground. Las credenciales dan acceso a Office 365 y Microsoft y sus precios oscilan entre 100$ y 1.500$, dependiendo del tamaño de la empresa y el cargo del usuario. Entre las cuentas comercializadas se encuentran las de directores ejecutivos (CEO), directores financieros (CFO), presidentes, vicepresidentes y otros responsables de similar categoría. Un investigador de ciberseguridad que prefiere mantenerse en el anonimato ha confirmado la validez de los datos puestos a la venta mediante la adquisición de varias credenciales pertenecientes al CFO de una empresa de retail Europea y el CEO de una empresa de software estadounidense. Se desconoce con certeza el origen de las credenciales pero cabe la posibilidad de que provengan de datos recuperados de infecciones por AZorult, ya que el mismo actor amenaza había expresado con anterioridad interés en acceder a este tipo de información.

Para saber más: https://www.zdnet.com/article/a-hacker-is-selling-access-to-the-email-accounts-of-hundreds-of-c-level-executives/

Crutch, herramienta de ciberespionaje de Turla

Investigadores de seguridad de ESET han descubierto un nuevo malware con capacidades de infostealer y puerta trasera vinculado al grupo de ciberespionaje de habla rusa APT Turla. El malware es en realidad un conjunto de herramientas denominado “Crutch” que puede eludir las medidas de seguridad al abusar de plataformas legítimas, incluido el servicio de intercambio de archivos Dropbox, para esconderse detrás del tráfico normal de la red. Este malware, utilizado desde 2015 hasta principios de 2020, habría sido diseñado con el objetivo de exfiltrar documentos confidenciales y otro tipo de archivos a diferentes cuentas de Dropbox controladas por los operadores de Turla. Además, Crutch parece desplegarse no como puerta trasera de entrada sino después de que los atacantes ya hayan comprometido la red de sus víctimas. Los investigadores afirman haber encontrado este software malicioso en la red de un Ministerio de Asuntos Exteriores en un país de la Unión Europea, lo que sugiere que el uso de Crutch se dirige a objetivos muy específicos.

Información completa: https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/

Vulnerabilidad crítica de los firewalls y VPN de ZYXEL

Los equipos de seguridad de Zyxel han confirmado el hallazgo de una vulnerabilidad crítica con afectación para sus soluciones de firewall y puntos de acceso VPN que permitiría a los actores amenaza ejecutar código remoto en el sistema de la víctima. Identificada como CVE-2020-25014, se trata de un fallo de desbordamiento de búfer que puede conducir a problemas de corrupción de memoria mediante el envío de un paquete Http especialmente diseñado. La vulnerabilidad ha sido asignada con una criticidad de 8.5/10 en base a CVSSv3 y los expertos consideran que es altamente fácil de explotar, aunque se desconocen detalles adicionales. Todos los productos Zyxel afectados por la falla son compatibles con la función WiFi de Facebook, los fallos han sido solventados en las versiones V4.39 del firmware ZLD y en las versiones V6.10 y posteriores de la serie Unified y Standalone.

Más detalles: https://www.zyxel.com/support/Zyxel-security-advisory-for-buffer-overflow-vulnerability.shtml

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.