Category: Butlletins

Nou butlletí quinzenal, en què us comentem les principals notícies relacionades amb el món de la ciberseguretat.

Comencem amb dues notícies que afecten el sector educatiu, i més concretament la Universitat Oberta de Catalunya i 8.000 escoles de tot el món. En els dos casos, un ransomware va interrompre temporalment l’accés dels usuaris al Campus Virtual i a altres plataformes acadèmiques. Com que es tracta d’un servei essencial, l’educació es troba entre els objectius favorits dels cibercriminals.

Al mateix temps, T-Mobile va informar d’un atac per ransomware que va desembocar en una filtració de dades. En aquest cas, els ciberdelinqüents van aconseguir accedir a diferents dades (noms de compte de facturació, números de telèfon i de compte, dades del pla contractat…), així com a targetes SIM, la qual cosa els ha permés canviar els números de telèfon associats i obtindre’n el control total.

Per un altre costat, cal destacar la funcionalitat del malware RedLine Stealer. Aquest malware permet robar contrasenyes i vulnerar comptes d’usuari, atacant la funció d’administració de contrasenyes, la qual sol estar deshabilitada per defecte. Afecta diversos navegadors, concretament, aquells basats en Chromium (Chrome, Opera o Edge) i Gecko (Firefox i altres).

Així mateix, s’ha descobert una estafa perpetrada per diversos ciberdelinqüents que es feien passar per corredors de borsa. Aquests cibercriminals van aconseguir desviar uns 50 milions USD en més de deu anys, i solien anunciar falses oportunitats d’inversió amb la finalitat de demanar diners als usuaris interessats. Els seus llocs web fraudulents van arribar a aparéixer entre els principals resultats en les cerques de Google.

Per part nostra, hem de destacar la finalització de la campanya “Deu recomanacions de ciberseguretat per a equips domèstics”, que ha tingut com a objecte conscienciar els usuaris sobre els perills i les mesures necessàries per a protegir els seus equips i la informació valuosa que contenen.

 

Pel que fa a alertes i actualitzacions, les més rellevants són:

• • • L’error de Microsoft Exchange que bloqueja correus electrònics. El desbordament de la variable d’emmagatzematge de les dates de les anàlisis de l’antivirus FIP-FS de Microsoft d’Exchange va provocar que els correus electrònics es quedaren en cua sense eixir del servidor.

• • • Múltiples vulnerabilitats en Microsoft Teams. Es descobreixen diverses vulnerabilitats de tipus server-side request forgery (SSRF) que permeten a un atacant realitzar peticions HTTP als dominis de la seua selecció des del servidor de l’aplicació. Aquestes vulnerabilitats SSRF poden ser utilitzades per a escanejar ports i serveis HTTP interns i enviar peticions payload de Log4Shell a tots ells, i tractar d’explotar els serveis que no estan exposats a Internet.

• • • Múltiples vulnerabilitats en router Netgear Nighthawk RAX43. S’identifiquen sis vulnerabilitats de severitat crítica (CVE-2021-20166; CVE-2021-20167; CVE-2021-20168; CVE-2021-20169; CVE-2021-20170; CVE-2021-20171).

• • • Actualitzacions de seguretat de Microsoft. S’identifiquen diverses vulnerabilitats crítiques que requereixen actualitzacions per a recursos com: .Net Framework, Microsoft Dynamics, Microsoft Certificates, entre altres. Les vulnerabilitats publicades es corresponen amb atacs DoS, escalada de privilegis, divulgació d’informació…

• • • Actualització de seguretat 5.8.3 per a WordPress. S’han publicat quatre vulnerabilitats de tipus Store XSS, Object Injection i SQL Injection.

Hui acomiadem l’any i donem la benvinguda al 2022 amb un resum de les notícies més importants relacionades amb el món de la ciberseguretat. El 2021 ha sigut un any marcat per la introducció de malware en tota mena de plataformes, la popularitat del ransomware, les violacions i fugides d’informació, i l’aprofitament de la pandèmia com mitjà per a llançar campanyes de falsedat i desinformació. Un resum breu de les notícies més destacades seria el següent:

• • L’atac a SolarWinds, que es va confirmar com un dels més greus de la història de la computació. Aquest atac va derivar en l’accés a un codi font de software de Microsoft que va afectar informació de prop de 18.000 empreses de tot el món, inclosa Espanya.

• • Els atacs a Microsoft Exchange Server, producte de les múltiples vulnerabilitats de Zeroday revelades per Microsoft, i que donaven als atacants accés complet als correus electrònics i contrasenyes dels usuaris afectats, privilegis d’administrador en el servidor, així com accés als dispositius connectats en la mateixa xarxa. Va afectar més de 30.000 organitzacions públiques i privades de tot el món.

• • L’atac a Colonial Pipeline, que es va originar amb el robatori d’una contrasenya. El ciberatac va interrompre les operacions de Colonial Pipeline, l’oleoducte més gran dels EUA, i va provocar l’escassetat de subministrament durant diversos dies. Els ciberdelinqüents van aconseguir accedir a la xarxa a través d’un compte de VPN. La companyia va pagar prop de 5 milions de dòlars per a desfer-se del ransomware.

• • El ciberatac de REvil a Kaseya, empresa que ofereix software serveis IT en remot. En aquest sentit, la seua plataforma en el núvol “VSA”, que permet als seus clients actualitzar i mantindre solucions en remot, va ser colpejada pel ransomware Revil aprofitant la vulnerabilitat CVE-2021-30116. El ransomware va arribar al voltant d’un milió de sistemes informàtics a través d’una actualització falsa del seu software.

• • La fugida de dades que va patir Twitch, en la qual es van filtrar 125 GB de dades de pagaments a streamers, dades de clients i el codi font de la plataforma propietat d’Amazon.

• • La vulnerabilitat Log4Shell que va afectar la biblioteca Java Apache Log4j en les versions 2.0-beta9 fins a la 2.14.1. Aquesta vulnerabilitat permet als atacants accedir a la xarxa interna d’una organització executant qualsevol codi en un dispositiu de manera remota.

 

D’altra banda, Espanya també ha sigut objecte de múltiples atacs de ciberseguretat, alguns d’entitat reconeguda, com ara:

• • El ciberatac al SEPE. L’atac va ser produït per un ransomware que va afectar tant la web com la seu electrònica, i que va provocar que les oficines d’ocupació no pogueren treballar, fet que va portar a suspendre l’activitat i ajornar gestions, com les prestacions socials.

• • El ciberatac sincronitzat contra l’INE i els ministeris de Justícia, Economia o Educació. Es va tractar d’una sèrie d’atacs sincronitzats contra diferents administracions públiques que van provocar afectacions en les seues pàgines web. Els atacs van comportar la suspensió de serveis com el portafirmes, Cl@ve, Geiser o la plataforma d’intermediació. Els ciberatacants van intentar afectar la xarxa SARA.

 

Quant a aquest últim mes de desembre, cal destacar:

• • El «hacking» a Vulcan Forged, plataforma «crypto-gaming». Els cibercriminals van accedir a 96 carteres electròniques, que van provocar més de 140 milions de dòlars de pèrdues en actius virtuals.

• • Diversos ciberatacs a les mans de ransomware com en el cas de l’empresa Kronos que podria afectar serveis Cloud, la farmacèutica Uriach que ha suposat el segrest de gran quantitat d’informació emmagatzemada en els servidors del seu laboratori, MRW l’atac de la qual està afectant el sistema d’enviaments d’SMS maliciosos als clients, o la plataforma de fotografia Shutterfly que ha suposat el xifratge de milers de dispositius i exposat informació confidencial.

• • BotenaGo el malware que ataca routers i dispositius IoT, i que afecta principalment a routers amb Linux mitjançant botnets. Executa ordres shell remotes, o altres instruccions, en aquells dispositius amb vulnerabilitats explotades.

• • El malware desplegat arran de la pel·lícula d’Spider-Man, titulada “No Way Home”, i que suposa un reclam per a difondre amenaces i pàgines phishing amb l’objectiu de robar dades bancàries. Per a veure la pel·lícula abans de l’estrena, es demanava als usuaris que es registraren i introduïren les dades de la seua targeta de crèdit.

• • Múltiples aplicacions infectades amb malware en Samsung Galaxy Store. Es recomana als usuaris de Samsung desinstal·lar aquestes aplicacions immediatament.

 

Finalment, i com en anys anteriors, CSIRT-CV continua treballant i aplegant esforços en el manteniment d’un espai cibersegur, promovent campanyes de conscienciació (l’última campanya d’enguany és la titulada “Deu recomanacions de ciberseguretat per a equips domèstics“), impulsant Plans de Ciberseguretat (Pla de xoc de ciberseguretat de les entitats locals), participant en fòrums de prestigi (XV Jornades STIC CCN-CERT amb el lema “Ciberseguretat 360º, Identitat i control de la dada”), o duent a terme l’execució de les Jornades de Ciberseguretat en els Centres de Secundària, incloses dins del Pla Valencià de Capacitació.

Acomiadem l’any 2021 amb els nostres millors desitjos de prosperitat i ciberseguretat per a tots vosaltres i us desitgem un Feliç Any 2022.

Com cada quinzena, posem a la vostra disposició un nou butlletí sobre les principals notícies relacionades amb el món de la ciberseguretat.

L’iniciem parlant del món de les aplicacions per a dispositius Android. S’ha detectat un troià, Joker, que ha aconseguit colar-se en descàrregues des de Google Play. El malware ha sigut trobat en 15 aplicacions, algunes d’aquestes amb més de 100.000 descàrregues. Aquest troià realitza fraus SMS a través de l’enviament de missatges a números no gratuïts. A més, pot subscriure els usuaris a llocs webs que ofereixen serveis de pagament, realitzant així també el frau mitjançant subscripcions prèmium.

Amb l’objectiu d’enfortir l’experiència de privacitat, s’ha inclòs una nova funció de protecció de contingut en Telegram, amb la qual els usuaris podran evitar que altres persones puguen guardar o reexpedir el material compartit en grups o canals de l’aplicació. D’aquesta manera, la plataforma garantirà que el contingut compartit en aquests grups romanga disponible solament per a les persones amb les quals va ser compartit inicialment.

També el sector automobilístic ha sigut notícia per un ciberatac a Volvo Cars amb robatori de dades de disseny i informació confidencial. L’actor d’amenaces, no identificat, va aconseguir accedir als seus sistemes de recerca i desenvolupament després d’atacar un conjunt de servidors. De moment, no hi ha indici que aquest incident puga tindre impacte en la integritat dels automòbils i la informació personal dels seus clients.

D’altra banda, volem posar l’accent que mai hem de recórrer a activacions de llicències no oficials, ja que en aquest cas, els usuaris que intenten activar Windows de manera pirata, s’estan trobant amb el malware CryptBot que tracta de robar les credencials de navegadors, carteres de criptomonedes, cookies, targetes de crèdit i captures de pantalla del sistema infectat. Per a la infecció, l’usuari només ha de fer un clic en uns dels enllaços maliciosos, descarregar KMSPico i punxar en l’executable. La instal·lació del KM és només una distracció mentre s’instal·la el malware, allargant l’espera de l’activació per a donar temps al malware a infectar el sistema.

Entorn de les criptomonedes, la plataforma de trading AscendEX ha patit un ciberatac millonario. Els ciberdelinqüents s’han pogut fer amb wallets amb un valor de 77 milions de dòlars, repartits de la manera següent:

• • • Ethereum ($60 milions).
    • BinanceSmartChain ($9.2 milions).
    • Polygon ($8.5 milions).

Els usuaris que s’hagen vist afectats per l’atac seran recompensats amb la devolució de la criptomoneda sostreta. A més, es realitzarà una investigació amb la resta de companyies i amb les forces de la llei.

Com podeu comprovar, els ciberatacs continuen formant part del nostre dia a dia, per això des de CSIRT-CV continuem conscienciant els nostres adolescents de la Comunitat Valenciana quant als riscos que comporta l’ús d’Internet. Les Jornades de conscienciació en els centres de secundària formen part del Pla Valencià de Capacitació, que estem duent a terme amb la intenció de millorar la conscienciació en l’ús d’Internet tant dels alumnes, com de les famílies i dels docents del centre. Aquestes jornades són gratuïtes i pots veure més informació des de la nostra web.

Destaquem les alertes i actualitzacions més rellevants de la quinzena:

• • • Actualitzacions de seguretat de Microsoft de desembre de 2021: 67 fallades de seguretat, de les quals set són crítiques i la resta estan catalogades com a gravetat alta. Una de les més crítiques és una vulnerabilitat que suplanta la identitat de l’instal·lador d’AppX que afecta Microsoft Windows. Els atacants han estat aprofitant aquesta vulnerabilitat per a instal·lar paquets que inclouen algunes famílies de malware com són Emotet, TrickBot o Bazaloader.

• • • Actualitzacions de seguretat de SAP de desembre de 2021, algunes d’aquestes són crítiques. Són diversos els recursos que s’han vist afectats i requereixen una actualització per a corregir les vulnerabilitats.

• • • El dia 9 de desembre, un exploit 0-day va ser trobat en la llibreria de Java «log4j» que permetia a un atacant l’execució de codi remot registrant una determinada cadena en els sistemes vulnerables.

• • • Vulnerabilitat crítica en Desktop Central de ManageEngine, que permet l’execució de codi de manera remota en el servidor. Es requereix actualitzar com més prompte millor els recursos afectats.

Tornem una quinzena més amb un nou butlletí sobre les principals notícies relacionades amb el món de la ciberseguretat.

Comencem amb la notícia de  l’estafa de suplantar la identitat en Facebook per a demanar diners. El modus operandi és el mateix: quan els ciberdelinqüents han pres el control del compte robat, es posen en contacte amb els coneguts de l’usuari afectat per a demanar-los diners.

Al mateix temps, GoDaddy va informar que un atacant va accedir als seus sistemes a través d’una contrasenya compromesa del servei WordPress, exposant informació d’1,2 milions d’usuaris: : adreces de correu electrònic, contrasenyes d’usuaris actius, accés a la base de dades i sFTP (números d’identificació de clients) i, fins i tot, claus privades SSL.

D’altra banda, Pfizer denuncia un robatori de dades intern que ha suposat una filtració d’informació molt sensible per part d’un dels empleats, abans que aquest abandonara la companyia per a treballar en una empresa rival. La filtració va ser detectada gràcies a les mesures de monitoratge establides per l’empresa en relació a les accions dels usuaris, la difusió de fitxers i la pujada de fitxers al núvol.

També s’ha descobert un nou programari maliciós (malware) per al robatori de NFT i criptomonedes. Aquesta campanya té com a objectiu distribuir el programari maliciós “Babadeba”. Aquest programari maliciós permet robar informació i instal·lar troians d’accés remot, així com el programari de segrest (ransomware) LockBit. La manera d’actuar dels ciberdelinqüents és la següent: suplantar els usuaris interessats en criptomonedes i NFT a través de missatges privats, en els quals se’ls sol·licita descarregar una aplicació per a accedir a funcions i beneficis extres. Adopten mesures addicionals com la ciberocupació d’URL dels llocs web cimbell perquè s’assimilen a altres webs legítims.

Així mateix, s’ha descobert una altra campanya de programari maliciós en la qual s’intenta suplantar l’Agència Tributària espanyola. L’Agència Tributària no envia factures, sinó que són els ciberdelinqüents els encarregats d’enviar correus electrònics fraudulents amb l’assumpte “Notificació Urgent”. El correu conté un arxiu .zip amb un arxiu .vbs que descarrega un troià que permet robar informació i realitzar accions malicioses en els equips.

A més, ha aparegut un nou programari de segrest (ransomware) que cifra fitxers amb WinRAR per a eludir proteccions. Xifra els fitxers de l’equip amb contrasenya i elimina els fitxers originals. Per al xifratge, els ciberdelinqüents utilitzen la versió lliure de WinRAR. L’amenaça es dirigeix als equips Windows, i gràcies a Nmap, Npcap o MimiKatz, els atacants aconsegueixen moure’s lateralment en la xarxa per a continuar infectant maquinaris.

Altres notícies destacables són:

• • • Microsoft Defender utilitzarà la  IA per a previndre els programaris de segrest ( ransomware). Microsoft Defender ha afegit per a Endpoint una capa basada en la IA per a protegir i previndre els usuaris dels programaris de segrest. Es basa en el model actual de protecció en el núvol. Si existeix risc en un dispositiu per damunt d’un cert llindar, la protecció en el núvol canvia a “bloqueig agressiu”, la qual cosa podria portar a bloquejar per precaució alguns fitxers o processos que podrien ser maliciosos.

• • • CSIRT-CV promou la conscienciació a través de les seues publicacions en el portal concienciaT. T’animem a llegir el nostre post STOP Fake News! Tu pots parar les notícies falses, amb consells per a identificar i frenar les campanyes de desinformació i les notícies falses.

• • • Les Jornades de Ciberseguretat en centres de secundària promogudes des del Centre de Seguretat TIC de la Comunitat Valenciana, dins del Pla Valencià de Capacitació, i que són executades pel CSIRT-CV amb l’objectiu de millorar els coneixements en ciberseguretat dels ciutadans de la Comunitat Valenciana a Alacant, València o Castelló. Les jornades, de dos dies de duració, estan enfocades principalment a l’alumnat de 2n d’ESO, les seues famílies i l’equip docent del centre educatiu.

• • • La celebració de les XV Jornades STIC CCN-CERT sota el lema “Ciberseguretat 360º. Identitat i control de la dada”, en les quals grans professionals de la ciberseguretat, administracions públiques, empreses, universitats i d’altres institucions de l’Estat es reuneixen per a posar en comú i compartir informació. Cal destacar la ponència realitzada pels nostres companys del CSIRT-CV, Lourdes Herrero i José Vila, sobre la posada en marxa del Pla de Xoc de Ciberseguretat per a les Entitats Locals, així com la realitzada per Amparo Marco (alcaldessa de Castelló de la Plana) i Carmen Serrano (CSIRT-CV), “Gestió de crisi: ransomware a l’Ajuntament de Castelló”.

 

Respecte a les alertes i actualitzacions més rellevants de la quinzena:

• • • Múltiples vulnerabilitats en Avalanche de Ivanti. Avalanche, en versions anteriors a la 6.3.3, és objecte de cinc vulnerabilitats, quatre de severitat crítica i una d’alta. Les vulnerabilitats són les següents: CVE-2021-42127, CVE-2021-42132, CVE-2021-42129, CVE-2021-42130, CVE-2021-42128.

• • • Vulnerabilitat crítica d’execució remota de codi en QNAP QTS i QuTS hero. Es detecta una vulnerabilitat crítica que afecta les dues versions del sistema operatiu per a equips d’emmagatzematge connectat en xarxa (NAS) desenvolupat per QNAP (CVE-2021-28816).

• • • Quatre vulnerabilitats crítiques en solucions VPN industrials de proveïdors com HMS Industrial Networks, Siemens, PerFact i MB connect line. Aquestes vulnerabilitats permeten executar el codi a través d’un lloc web especialment dissenyat per a això.

• • • Un explotador (exploit) ZERO DAY permet adquirir privilegis d’administrador en Windows, afectant als S.O. Windows 10, Windows 11 i Windows Server. Aquesta bretxa de seguretat pot permetre l’obtenció de privilegis d’administrador, fent i desfent a plaer. La particularitat d’aquest nou exploit és que burla el pedaç número CVE-2021-41379, llançat per Microsoft en el Patch Tuesday de novembre.

• • • Fallada de seguretat en procesadors MediaTek que podría afectar a milions d’usuaris. Aquesta falla podria haver sigut utilitzada per a escoltar converses privades. Les vulnerabilitats descobertes en el microprogramari (firmware) DSP (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) ja han sigut corregides i seran publicades en el butlletí de MediaTek al desembre.

• • • Paquets maliciosos en el repositorio PyPI. PyPI (Python Package Index) és el repositori de programari oficial per a aplicacions de tercers en llenguatge Python, en el qual milers de programadors publiquen els seus desenvolupaments. Es van descobrir 11 paquets maliciosos allotjats, amb més de 40.000 descàrregues en total, que han sigut eliminats.