06 de julio, 2023

Boletín
Ciberseguridad
CLARO EMPRESAS

BOLETÍN SEMANAL #93

La gestión moderna de los endpoints
garantizan el futuro impulsado por la IA
Microsoft publica en su artículo que la estrategia
correcta de administración de endpoints puede
ayudar a proporcionar la señal más amplia posible
para los modelos de lenguaje grande de IA y hacer
que su organización sea más segura y productiva en
los años venideros.
La gestión de los endpoints ayudará a reforzar la
seguridad a través de Zero Trust y garantiza que los
grandes modelos de lenguaje que sustentan la IA
sean tan poderosos como sea posible al obtener los
mejores y más consistentes datos de una sola
fuente.
Fuentes:
https://thehackernews.com/2023/06/3-reasons-saas-security-is-imperative.html
la IA se puede usar tanto para defender como para
atacar a las organizaciones, por lo que la
implementación adecuada de Zero Trust ayuda a
que las defensas se mantengan lo más sólidas
posible
La administración de puntos finales puede ayudar
a proporcionar datos para ayudar a personalizar sus
modelos de IA, lo que permite que su organización
sea más segura y productiva más rápido.
Finalmente, estas estrategias ayudarán a reducir
significativamente las amenazas que enfrentan los
usuarios finales.
Índice
1. Malware 4
1.1 Akira ransomware apunta múltiples sectores y se extiende en
sistemas Linux
1.2 Nuevo malware Stealer apunta a gestores de contraseñas en
sistemas Windows

2. Vulnerabilidades 09
2.1 Vulnerabilidad crítica en sistema y arquitectura SAP

3. Phishing 12
3.1 BlackCat distribuye ransomware a través de sitios phishing
de WinSCP

4. Adversarios 16
4.1 Actor de amenazas Neo_Net roba datos bancarios de usuarios
de Europa y América

5. Indicadores de Compromiso 18

6. Fuentes 21

Prioridad
Crítica Alta Media

02
 01

Malware
 ALTA Malware

1.1 Akira ransomware apunta múltiples sectores y se extiende en

sistemas Linux
Según Cyble Research and Intelligence Labs Todavía no se ha descubierto el vector de ataque
(CRIL) el ransomware Akira que anteriormente que utiliza Akira, sin embargo, la cantidad de
apuntaba a sistemas Windows, ahora amplia sus víctimas anunciadas recientemente hace que la
ataques en sistemas Linux, desde su aparición amenaza sea más grave para las organizaciones
en abril de 2023, este ransowmare ha compro- de todo el mundo.
metido a 46 víctimas divulgadas públicamente,
la mayoría de estas víctimas son de Estados
Unidos.

Akira tiene como objetivo diferentes tipos de

industrias que abarcan sectores tales como: edu-
cación, banca, servicios financieros y seguros
(BFSI), manufactura, servicios profesionales y
más.

Akira también dirige sus ataques a servidores

VMware ESXi permitiendo cifrar muchos servi-
dores que se ejecutan como máquinas virtuales
en una sola ejecución del cifrador de ransomwa-
re, los servidores VMware ESXi también es obje-
tivo de los grupos ransomware tales como:
Royal, Black Basta, LockBit, BlackMatter, Avos-
Locker, REvil, HelloKitty, RansomEXX y Hive.

04
 ALTA Malware

Recomendaciones:
› Ejecutar el bloqueo de los Indicadores de compromiso detallados en el ítem 5.
› Implementar controles de seguridad que garanticen el respaldo de la información y deben estar
fuera de línea y en redes separadas.
› Implementar un control de seguridad que realice actualizaciones periódicas en estaciones de traba-
jo, dispositivos móviles, portátiles y otros activos críticos de la organización.
› Implementar campañas de concientización asociado a malware &phishing para que los usuarios
puedan abstenerse de abrir enlaces y archivos adjuntos de correo electrónico que no sean de con-
fianza sin verificar su autenticidad.
› Implementar o tercerizar soluciones avanzadas de ciberseguridad tales como EDR/XDR que permi-
tan la identificación de amenazas basado en comportamiento.

05
 MEDIA Malware

1.2 Nuevo malware Stealer apunta a gestores de contraseñas en

sistemas Windows
Según Uptycs, nos informa que un nuevo
malware llamado Meduza Stealer está robando
actividades de navegación del usuario y extrae
una amplia gama de datos relacionados con el
navegador, incluidas las credenciales de inicio de
sesión, historial de navegación y los marcadores,
también recopila una variedad de datos, incluida
la información del sistema, información del
administrador de contraseñas y extensiones 2FA,
información de registro relacionada con la mine-
ría, extensiones de billeteras criptográficas y la
información de los juegos instalados.
En la actualidad Meduza Stealer se ofrece a la
venta en foros clandestinos como XSS y
Exploit.in, también cuenta con un canal dedica-
do de Telegram como una suscripción recurrente
que cuesta $199 por mes, $399 por tres meses o
$1,199 por una licencia de por vida. La informa-
ción robada por el malware está disponible a
través de un panel web fácil de usar.

El malware impide la ejecución en el sistema de

la víctima si no se puede acceder al servidor de
Comando y Control del atacante. Los investiga-
dores de Uptycs, notaron que el Meduza Stealer
no emplea técnicas de ofuscación, pero el código
malicioso tiene una baja tasa de detección por
los controles de seguridad.

06
 MEDIA Malware

Recomendaciones:
› Ejecutar el bloqueo de los Indicadores de compromiso detallados en el ítem 5.
› Implementar soluciones avanzadas de ciberseguridad tales como EDR (Endpoint Detection &
Response) para detectar y responder en forma oportuna ante eventos y e incidentes de Ciberseguri-
dad sobre los activos críticos de la organización.
› Implementar soluciones avanzadas de multi factor authentication para correo electrónico, Active
Directory, aplicaciones web y dispositivos móviles.
› Implementar reglas YARA para escanear la memoria de los procesos recién iniciados y detectar cual-
quier presencia de cadenas sospechosas.
› Implementar campañas de concientización de phishing & malware para evitar que los usuarios
descarguen archivos o abran archivos adjuntos de correo electrónico, especialmente de fuentes
desconocidas.
› Implementar un control de seguridad que pueda monitorear las instalaciones de extensiones en los
navegadores web, sobre todo si son de fuentes no confiables.

07
 02

Vulnerabilidades
 CRÍTICA Vulnerabilidades

2.1 Vulnerabilidad crítica en sistema y arquitectura SAP

Fabian Hagg, investigador en ciberseguridad Por parte de Fabian Hagg, explica que además de
reportó la existencia de vulnerabilidades críticas implementar las actualizaciones a las versiones
dentro del software empresarial SAP. Éstas parchadas, también sería necesario realizar con-
podrían llevar a un compromiso total del siste- figuraciones complejas para mitigar y reducir la
ma, requiriendo solo el acceso a la red del siste- superficie de ataque. Al final, las versiones afec-
ma objetivo. tadas son varias las cuales se muestran como
› parte del artículo e igual se menciona los parches
Las vulnerabilidades se encuentran identifica- que corresponden y las recomendaciones a
das
› como CVE-2021-27610 y CVE-2023-0014, ejecutar.
que fueron descubiertas durante el análisis de
las
› funciones de llamada remota (RFC) afectando
a los productos que utilizan el componente SAP
Application Server for ABAP. Esto permitiría al
atacante obtener acceso ilegítimo y movimiento
lateral en entornos del sistema SAP.

09
 CRÍTICA Vulnerabilidades

Recomendaciones:
› Realizar las actualizaciones y recomendaciones de seguridad emitidos por SAP. Para más detalle
diríjase a la referencia del punto 6.4 del boletín.
› Implementar un programa de respaldo y recuperación que considere todos los activos críticos de la
organización.
› Implementar y mantener un programa de “Patch Management” (Actualizaciones de ciberseguridad)
que considere todos los activos que soporten el negocio de la organización.
› Desarrollar capacitaciones con frecuencia definida sobre la importancia de salvaguardar la informa-
ción de la organización.

10
 03

Phishing
 MEDIA Phishing

3.1 BlackCat distribuye ransomware a través de sitios phishing de

WinSCP
Bleeping Computer y The Hacker News mues-
tran en su investigación información sobre los
métodos de distribución de ransomware que
utilizan los actores de amenaza asociados a Blac-
kCat a través de sitios phishing de la herramienta
WinSCP.
La infección inicia cuando la víctima, al realizar la
búsqueda de la herramienta o es redirigido con
publicidad, ingresa al sitio phishing de la herra-
mienta WinSCP y descarga el archivo malicioso,
que al ser ejecutado instalará la herramienta y
un backdoor Cobal Strike que se conectará a uno
de sus servidores a través de C&C (Comand and
Control).
TTPs de MITRE ATT & CK
Es una lista estructurada para describir y clasifi-
car los comportamientos conocidos de los
atacantes en base a observaciones reales, expre-
sados en varias matrices.
Táctica: corresponden a qué intentan lograr los
adversarios.
Técnica: describe el cómo de la actividad real
realizada por el adversario.
Procedimiento: es la implementación específica
que utiliza el adversario para ejecutar las técni-
cas y/o sub-técnicas.

Finalmente, se menciona en el artículo que los

programas ejecutados durante la infección
generan persistencia evadiendo y degradando
las configuraciones de seguridad del dispositivo
infectado.

A continuación, se muestran las TTPs asociadas

al grupo de ransomware BlackCat.

12
MEDIA Phishing

TÁCTICA Técnica (ID) Nombre de la Técnica Mitigación

M1036
M1015
M1013
T1078 Cuentas válidas M1027
M1026
M1018
M1017
ACCESO INICIAL

M1048
M1050
Aprovechar la aplicación orientada al M1030
T1190
público M1026
M1051
M1016

M1049
M1040
M1045
Intérprete de comandos y
EJECUCIÓN T1059 M1042
secuencia de comandos
M1038
M1026
M1021

M1038
Debilitar las defensas: M1022
T1562.001
Deshabilitar o modificar herramientas M1024
M1018

EVASIÓN DE DEFENSA Debilitar las defensas: M1026

T1562.009
Arranque en modo seguro M1054

M1041
Eliminación del indicador:
T1070.001 M1029
Borrar registro de eventos de Windows
M1022

M1040
M1043
M1028
ACCESO A Volcado de credenciales del sistema
T1003.001 M1027
CREDENCIALES operativo: memoria LSASS
M1026
M1025
M1017

T1087 Descubrimiento de cuenta M1028

DESCUBRIMIENTO
T1135 Detección de recursos compartidos de red M1028

M1037
Servicios remotos: recursos compartidos M1035
MOVIMIENTO LATERAL T1021.002
de administración de SMB/Windows M1027
M1026

M1057
M1037
M1031
T1048 Exfiltración sobre protocolo alternativo M1030
M1022
EXFILTRACIÓN M1018

M1057
T1567 Exfiltración a través del servicio web
M1021

M1030
M1022
IMPACTO T1489 Parada de Servicio
M1024
M1018

13
 MEDIA Phishing

Recomendaciones:
› Ejecutar el bloqueo de los Indicadores de compromiso detallados en el ítem 5.
› Ejecutar las recomendaciones referentes a las técnicas de Mitre ATT&CK en las cuales se podrá
observar la mitigación para cada tipo de técnica y/o sub-técnica de ataque. Para más detalle diríjase
a la referencia desde el punto 6.6 hasta el punto 6.18 del boletín.
› Implementar políticas de instalación y uso de software en dispositivos designados a los usuarios de
la organización.
› Implementar un programa de capacitación que tenga como alcance todos los usuarios de la organi-
zación sobre temas identificación de phishing.
› Implementar un control de seguridad que tenga la capacidad de detectar y bloquear malware como
producto de la utilización de URLs maliciosas.
› Implementar una tecnología con capacidad de detección y respuesta a nivel de punto final para
evitar posibles infecciones de malware.
› Implementar una tecnología de DLP para el caso de prevención de fuga de información en el punto
final.

14
 04

Adversarios
 ALTA Adversarios

4.1 Actor de amenazas Neo_Net roba datos bancarios de usuarios

de Europa y América
Según la investigación de Sentinel One, publica Por último, se menciona que los datos recopila-
en su artículo que se observó recientemente una dos son validados por agentes anexos a Neo_Net
campaña de robo de credenciales a usuarios de y se encuentran a la venta desde su canal de Tele-
distintas entidades financieras de Europa, Ocea- gram donde también ofrece otros servicios como
nía y América a través de mensajes de texto spyware para android. Y aunque los ataques se
disfrazados de mensajes de autenticación o encuentran apuntando a 9 países, se sugiere que
notificaciones de operaciones no autorizadas. las operaciones principales se realizan desde
México.
Según muestra la investigación, el actor de ame-
nazas Neo_Net se encuentra activo desde princi-
pios del año 2021, vendiendo y filtrando infor-
mación de los usuarios víctimas de sus distintas
campañas. Estos datos son obtenidos en su
mayoría por campañas de SMS phishing dónde
los usuarios, al abrir los enlaces del mensaje,
ingresaban sus datos bancarios en sitios
phishing de las distintas entidades bancarias
que fueron suplantadas.

16
 ALTA Adversarios

Recomendaciones:
› Ejecutar el bloqueo de los indicadores de compromiso detallados en el ítem 5.
› Implementar o tercerizar un servicio de MDR con alcance 24x7x365 con el propósito de detectar y
responder en el menor tiempo posible ante cualquier intento de ataque de un actor de amenazas.
› Implementar un programa de capacitación que tenga como alcance todos los usuarios de la organi-
zación sobre temas identificación de SMS phishing y Vishing.
› Tercerizar un servicio de Deception con alcance de detección y contención de amenazas contra la
organización.
› Implementar políticas de seguridad que considere la autenticación y autorización según correspon-
da el uso de los recursos de los usuarios.
› Implementación de una tecnología XDR que alcance todos los activos críticos de la organización.

17
Indicadores de compromiso

Indicadores de compromiso
5.1 IPs
77.105.147[.]140 (Ítem Malware: 1.2)
77.105.147[.]92 (Ítem Malware: 1.2)
77.105.147[.]86 (Ítem Malware: 1.2)

5.2 DOMINIO
bbva.info-cliente[.]net (Ítem Adversarios: 4.1)
santander.esentregas[.]ga (Ítem Adversarios: 4.1)
bbva.esentregas[.]ga (Ítem Adversarios: 4.1)
correos.esentregas[.]ga (Ítem Adversarios: 4.1)

5.3 EMAIL
emaildecryptors@avast.com.iocs (Ítem Malware: 1.1)

5.4 Hashes
(Ítem Malware: 1.1)
SHA256: 1d3b5c650533d13c81e325972a912e3ff8776e36e18bca966dae50735f8ab296
MD5: 302f76897e4e5c8c98a52a38c4c98443

(Ítem Malware: 1.1)

SHA256: 678ec8734367c7547794a604cc65e74a0f42320d85a6dce20c214e3b4536bb33
MD5: d25890a2e967a17ff3dad8a70bfdd832

(Ítem Phishing: 3.1)

SHA256: 67d1f4077e929385cfd869bf279892bf10a2c8f0af4119e4bc15a2add9461fec
MD5: 07e71cd54f3ac00b2a34c7955e5c41a8

(Ítem Phishing: 3.1)

SHA256: 0a609fa2db910615b2c1ad235ca46562ff4034800c44802a63a28826669a7eee
MD5: 73b5dfc20005166103434eb1cdd8a3f1

(Ítem Phishing: 3.1)

SHA256: cda37b13d1fdee1b4262b5a6146a35d8fc88fa572e55437a47a950037cc65d40
MD5: d5d4dd13900a1fef828d4a0193ce05a2

18
Indicadores de compromiso

(Ítem Phishing: 3.1)

SHA256: bacedbb23254934b736a9daf6de52620c9250a49686d519ceaf0a8d25da0a97f
MD5: 87f9dd02e0c6346e6d1ca3957a83709a

(Ítem Adversarios: 4.1)

SHA256: 90d0f35bafaa0c99fc8ca6a07a90dd0ef69ce9dcfa4c521c1bc1e8dbbe825830
MD5: acd79c2c79e1bac5b3b564bb7a62bcd8

(Ítem Adversarios: 4.1)

SHA256: 24fb177ff570f2805100d256722cf698d082f9872b0fa17b7a39683c68fb9928
MD5: a8d63eacc50288b577caba3cd5a2ace8

(Ítem Adversarios: 4.1)

SHA256: dba9f77877c932ad093267ceca66128cd88ee3979fc2441b0903ab84808a79d4
MD5: edbb63ba9d70e5c66a7002986810dbc6

(Ítem Adversarios: 4.1)

SHA256: 30c804492ca939db5041444399db46d341927d5d2dea936d1543aa6aa36788ce
MD5: 771d87329a3ab246797a031d9f0c535e

(Ítem Adversarios: 4.1)

SHA256: 67e96978fb69f3d83159bef19689a9773e30ef0eaf84a1c78413f98545cf093e
MD5: 727649a9a742f07a47f8e28d83ab8841

(Ítem Adversarios: 4.1)

SHA256: 95017ba97dd109c84b58722fd84aa77d9218dcbc666cd7c2ae034ae15e284d2f
MD5: e482edba31d29af02438a927dfd8649c

(Ítem Adversarios: 4.1)

SHA256: af6c68edd59caac782fa1db28e1eb197bf13233718c77067153c3f166dc41c96
MD5: d278bed659b74b4743e6eecf94887654

(Ítem Adversarios: 4.1)

SHA256: f7df017f5053149f08d505e5216394411098173b97674961b0235cc8aa83b2d0
MD5: e697d3840241ae4b2158169303cbdaca

(Ítem Adversarios: 4.1)

SHA256: 4b356c1054bd699fe5f3b5a1e87915105c521486d6a1e55b681f0a749f59acbe
MD5: c70b88e87c88a8ab5a84f50c763876f8

(Ítem Adversarios: 4.1)

SHA256: cdaaa4b0436752f642da8400dd86bb406d58b76f952a98e5703c018ff85daf46
MD5: b1ea71a3a79d4cfb73c9d2061b5c9c2b

(Ítem Adversarios: 4.1)

SHA256: 1b390636ec80fe950f72f2f36735d7ae196dc3f62df391bb3026dc8062ef088a

19
Indicadores de compromiso

MD5: 66549eea3459b225ee57310223dd9514

(Ítem Adversarios: 4.1)

SHA256: 94ad3c4978ddc0e9d45b76f40e4928b1e36747644b7223942684bc27573432fe
MD5: 8b01c0cc763d039e813774a074d94b54

(Ítem Adversarios: 4.1)

SHA256: 4ef6f069811ea5883eb94fb2f3399a457a0cbf1ba77b7e40d40d9658fa78aa89
MD5: 426cb8d13314c5b599e700ed9f24d641

(Ítem Adversarios: 4.1)

SHA256: a0b0a9682001d592687a8ecde2176b9f31387bd4bbfe355d20e4532471ebcb5e
MD5: d93624177200e9492ceb53b9a3119b60

20
Fuentes

Fuentes
6.1 https://blog.cyble.com/2023/06/28/akira-ransomware-extends-reach-to-linux-platform/
6.2 https://www.uptycs.com/blog/what-is-meduza-stealer-and-how-does-it-work
6.3 https://www.securityweek.com/details-disclosed-for-critical-sap-vulnerabilities-including-w
ormable-exploit-chain/?web_view=true
6.4 https://sec-consult.com/blog/detail/responsible-disclosure-of-an-exploit-chain-targeting-the
-rfc-interface-implementation-in-sap-application-server-for-abap/
6.5 https://thehackernews.com/2023/07/blackcat-operators-distributing.html
6.6 https://attack.mitre.org/techniques/T1078/
6.7 https://attack.mitre.org/techniques/T1190/
6.8 https://attack.mitre.org/techniques/T1059/
6.9 https://attack.mitre.org/techniques/T1562/001/
6.10 https://attack.mitre.org/techniques/T1562/009/
6.11 https://attack.mitre.org/techniques/T1070/001/
6.12 https://attack.mitre.org/techniques/T1003/001/
6.13 https://attack.mitre.org/techniques/T1087/
6.14 https://attack.mitre.org/techniques/T1135/
6.15 https://attack.mitre.org/techniques/T1021/002/
6.16 https://attack.mitre.org/techniques/T1048/
6.17 https://attack.mitre.org/techniques/T1567/
6.18 https://attack.mitre.org/techniques/T1489/
6.19 https://www.sentinelone.com/blog/neo_net-the-kingpin-of-spanish-ecrime/

21
Conozca las opciones de seguridad que Claro Empresas tiene para ofrecerle contactándose con su Consultor
Corporativo o escribiéndonos a claroempresas@claro.com.pe con el asunto “Ciberseguridad”.