Informe Mensual de Amenazas de agosto de 2024: Un mes de impacto global
Introducción
El Informe Mensual sobre Amenazas de Hornetsecurity te ofrece información mensual sobre las tendencias de seguridad M365, las amenazas basadas en el correo electrónico, información sobre los actores de las amenazas y comentarios sobre los acontecimientos actuales en el espacio de la ciberseguridad. Esta edición del Informe Mensual sobre Amenazas se centra en la información del mes de julio de 2024.
Resumen ejecutivo
- El incidente de CrowdStrike sigue teniendo repercusiones en el sector de la ciberseguridad.
- Microsoft está avanzando con algunos cambios sobre el acceso al kernel como respuesta directa al incidente de CrowdStrike
- Durante el último mes han surgido algunos debates sobre la normativa de ciberseguridad y si algo como el incidente de CrowdStrike puede volver a ocurrir.
- Hay un nuevo tipo de ataque jailbreak, el Skeleton Key, que permite a los usuarios generar contenido normalmente censurado
- Hay una nueva vulnerabilidad crítica que afecta al hipervisor VMware ESXi y permite eludir la autenticación. Broadcom ha publicado un parche
- HealthEquity, proveedor estadounidense de cuentas de ahorro para la salud (HSA), sufrió una filtración de datos confidenciales de 4,5 millones de personas.
- El informe de este mes incluye información sobre el grupoAnonymous Sudan, incluidas sus tácticas, técnicas y procedimientos.
- Este informe también incluye algunos comentarios sobre la ciberseguridad de los pasados Juegos Olímpicos.
Incidentes graves y noticias del sector
CrowdStrike
Como sabemos, CrowdStrike dominó las noticias tecnológicas el mes pasado. Aunque ahora hay indicios de que no se trató de un incidente exclusivo de Windows, la prensa tecnológica solo mencionó que “sólo” el 1% de las máquinas Windows se vieron afectadas, según Microsoft. Pero resulta que las máquinas que componían ese 1% son MUY importantes. Como CrowdStrike es un paquete de software destinado al área empresarial, algunos nombres bastante relevantes se vieron gravemente afectados, entre ellos:
- Delta Airlines
- American Airlines
- Air-France-KLM
- The Royal Surrey Hospital in the UK
- UK National Health Service (NHS)
- Allianz
- NBC Universal
- Y mucho más
El impacto fue tan grave que Delta Airlines tuvo que cancelar más de 5000 vuelos, y el director general de Delta afirma que los daños han ascendido a más de 500 millones. El Royal Surrey Hospital tuvo que suspender los tratamientos de radioterapia, mientras que el NHS declaró que la mayoría de las consultas médicas se vieron afectadas. En pocas palabras, este problema ha tenido graves repercusiones.
Entonces, ¿qué ha pasado?
El 19 de julio, Crowdstrike envió una actualización de Falcon Sensor, parte de la plataforma Falcon Crowdstrike, que sirve como detección y respuesta de amenazas de puntos final (EDR). Según Crowdstrike, había un error en la actualización que causaba una lectura de memoria fuera de límites y que provocaba una BSOD. Citando a CrowdStrike:
Cuando el sensor las recibió y las cargó en el Intérprete de Contenido, el contenido problemático del Channel File 291 provocó una lectura de memoria fuera de límites que desencadenó una excepción. Esta excepción inesperada no se pudo controlar correctamente, lo que llevó aun bloqueo del sistema operativo Windows (BSOD o pantalla azul).
CrowdStrike opera a nivel del Kernel dentro del sistema operativo Windows, y como tal, cualquier fallo de esta magnitud tiene malas implicaciones para el sistema en funcionamiento. Para recuperar los sistemas afectados, se tuvo que trabajar manualmente en MUCHAS máquinas y realizar operaciones de recuperación.
CrowdStrike tiene que cargar con la culpa no sólo porque es su nombre el que aparece en el producto, sino porque muchas voces en el sector han cuestionado las pruebas de control de calidad y si se realizaron correctamente en esta actualización. Por su parte, CrowdStrike se defiende de estas acusaciones y afirman que fue un bug en el software que utilizan para las pruebas de control de calidad lo que permitió que el parche de software defectuoso se desplegara.
¿Microsoft incluido en la culpa?
Se ha hablado mucho en las noticias tecnológicas de que Microsoft también es culpable de este problema. Esto se debe a que permiten a terceros proveedores acceder al kernel y sin este acceso, este incidente, en concreto, no se habría producido. Microsoft ha culpado a la normativa de la Unión Europea de este requisito de acceso al núcleo. A pesar de estas acusaciones, está claro que hay algunas cosas que deben mejorarse para evitar otra interrupción de esta magnitud.
¿Qué han hecho CrowdStrike y Microsoft en respuesta?
En respuesta a este incidente, tanto CrowdStrike como Microsoft han anunciado una serie de cambios que deberían tener un resultado positivo.
Según mejoras de las pruebas que aparece en el Remediation Hub de Crowdstike, CrowdStrike hará:
- Mejorar las pruebas de Contenido de Respuesta Rápida utilizando tipos de pruebas como:
- Pruebas para desarrolladores locales
- Pruebas de actualización y retroceso de contenidos
- Pruebas de estrés, fuzzing e inyección de fallos
- Pruebas de estabilidad
- Pruebas de interfaz de contenidos
- Añadir comprobaciones de validación adicionales al Validador de Contenidos para el Contenido de Respuesta Rápida. Se está realizando una nueva comprobación para evitar que este tipo de >contenido problemático se despliegue en el futuro.
- Mejorar el tratamiento de errores existente en el Intérprete de Contenidos.
Las mejoras propuestas por Microsoft son las siguientes:
- Proporcionar orientación sobre la puesta en marcha segura, mejores prácticas y tecnologías para que sea más seguro realizar actualizaciones de los productos de seguridad.
- Reducir la necesidad de que los controladores del núcleo accedan a datos de seguridad importantes.
- Proporcionar mejoradas de aislamiento y antimanipulación con tecnologías como nuestros recientemente anunciados enclaves VBS.
- Habilitar enfoques de confianza cero como la atestación de alta integridad, que proporciona un método para determinar el estado de seguridad de la máquina basado en la salud de las características de seguridad nativas de Windows.
Caídas en la industria de la seguridad
Aunque el sector ha superado en gran medida este problema, ha habido y seguirá habiendo algunas secuelas. Por ejemplo, grupos de actores de amenazas ya están intentando aprovechar el caos y lo utilizan activamente como pretexto en esquemas de phishing. Sin embargo, dejando a un lado la amenaza de ataques relacionados, este incidente ha puesto en el punto de mira a la comunidad de ciberseguridad. Con el aumento de las pérdidas, ¿amenazará este incidente la confianza que los CIO, los CISO y los equipos directivos tienen en el software de seguridad? ¿Creerán algunos que es demasiado peligroso utilizarlo y que no merece la pena correr el riesgo?
Aunque, siendo realistas, es probable que cualquier conversación de este tipo dure poco, puedes estar seguro de que esas preguntas están presentes. Reforzar esa confianza depende de nosotros, los que estamos en el sector de la seguridad, y que pasen los días y las semanas. Además, puedes estar seguro de que algunos gobiernos ya están manteniendo el debate sobre la regulación. De hecho, ya se está conversando sobre esto en los círculos tecnológicos.
Más recursos sobre el incidente de CrowdStrike
Si quieres ver más contenido que puede ser relevante para este debate, tenemos un episodio del Podcast Security Swarm que trata sobre el afán de innovación en tecnología, y su impacto negativo en la seguridad. Es un debate aparte, pero importante dado este incidente de CrowdStrike.
Nuevo Ataque Jailbreak: Skeleton Key
Hoy en día circulan por la comunidad una serie de conocidos ataques “Jailbreaks” que permiten a los usuarios eludir algunos de los guardarraíles éticos de los modelos lingüísticos. El método “DAN” es el más conocido y el que lleva más tiempo circulando. Aunque hoy en día sigue funcionando ya no lo hace como antes. También existe el concepto de ataque “crescendo”. En un ataque in crescendo, se pide información poco a poco hasta que se facilita toda la información. En pocas palabras, pides fragmentos de información basándote en las respuestas de la IA, en lugar de obtener el objetivo final de una vez.
Un nuevo ataque LLC jailbreak ha salido a la luz en una reciente investigación de Microsoft, conocido como ataque skeleton key. Este ataque consiste en hacer creer al modelo que estas dentro del sector educativo/académico y que, para hacer una investigación adecuada, necesitas obtener resultados no censurados. Cuando aparece algo que sería censurado, se pide al modelo que lo proporcione de todos modos, pero añadiendo “Advertencia” al principio.
Estos jailbreaks siguen poniendo de relieve el hecho de que la IA generativa sigue siendo fácilmente explotada por los actores de amenazas 18 meses después de su lanzamiento general. De hecho, en Hornetsecurity hemos organizado varios webinars sobre las formas en que los actores de amenazas utilizan la IA Generativa mediante jailbreaks como éste y, lo que es más importante, lo que esto significa para los equipos de seguridad.
Vulnerabilidad importante de ESXi
Broadcom, CISA y Microsoft están advirtiendo de una nueva vulnerabilidad de ESXI que se ha visto in the wild. CVE-2024-37085 es un fallo de elusión de autenticación que permite a los actores de amenazas obtener acceso no autorizado a hosts ESXi previamente gestionados por AD, recreando un grupo de AD que previamente había tenido acceso, como “ESX ADMINS”. Aunque esta cadena de ataque requiere que el actor de la amenaza haya obtenido suficiente acceso para llegar al directorio activo, el riesgo sigue siendo alto debido a la cantidad de daño que se puede hacer en la capa del hipervisor para la mayoría de las organizaciones.
Según Microsoft, el grupo de actores de amenazas Storm-0506 ya ha utilizado este exploit. Citando sus conclusiones:
Microsoft observó que el actor de la amenaza creó el grupo “ESX Admins” en el dominio y le añadió una nueva cuenta de usuario, tras estas acciones, Microsoft observó que este ataque provocó la encriptación del sistema de archivos ESXi y la pérdida de funcionalidad de las máquinas virtuales alojadas en el hipervisor ESXi.
Los hosts virtuales son objetivos especialmente importantes para los atacantes que quieren introducir ransomware en una red. Cuando se cifra la totalidad del almacenamiento del host, el impacto empresarial es mucho mayor que el de un solo sistema. Normalmente, se ven afectadas varias máquinas virtuales alojadas, lo que aumenta la presión sobre la organización objetivo.
Es muy recomendable que instales el parche de seguridad si aún no lo has hecho.
Filtración de datos de HealthEquity
Otra filtración de datos de registros privados a gran escala en el sistema sanitario estadounidense. Health Equity, un proveedor de cuentas de ahorro para la salud (HSA, por sus siglas en inglés), fue blanco de una amenaza, que pudo extraer los registros de 4,5 millones de personas de “un repositorio de datos no estructurados fuera de nuestros sistemas centrales”. Esto significa que utilizaron algún tipo de almacenamiento en la nube para guardar los datos, pero aún no se ha identificado al proveedor.
Aunque este tipo de filtración de registros es frecuente, merece la pena mencionarlo porque pone de relieve una vez más que las empresas dependen de las integraciones con terceros para ser seguras. Todos y cada uno de los proveedores que se integran en los sistemas informáticos de las empresas deben ser rigurosamente investigados y supervisados para garantizar que los datos empresariales permanezcan seguros. Es probable que este caso sea otro de una larga lista de referencias cuando Estados Unidos adopte nuevas medidas reguladoras para las empresas tecnológicas que operan allí.
Análisis de amenazas
Breve reseña de Anonymous Sudan
En Hornetsecurity rastreamos e investigamos a los grupos de actores de amenazas. Uno de estos grupos que hemos estado investigando es Anonymous Sudan.
Anonymous Sudán es un colectivo de ciberactivistas que surgió en enero de 2023. Se hicieron conocidos por una serie de ataques dirigidos contra diversas instituciones y empresas, en respuesta a acciones percibidas como hostiles al Islam o favorables a Rusia. El grupo toma su nombre del famoso colectivo de hackers Anonymous, aunque su afiliación real con este grupo no está confirmada. El grupo es conocido por algunos ataques de gran repercusión, como el que paralizó la infraestructura de Microsoft en junio de 2023. Dicho ataque afectó a Azure, OneDrive y Outlook.com
Además, el grupo se ha atribuido otros grandes ataques, como el de ChatGPT en noviembre de 2023.
Tácticas / Herramientas
Anonymous Sudán favorece enormemente los ataques DDoS. Tampoco confían en un solo tipo de ataque DDoS. Se sabe que el grupo lleva a cabo ataques DDoS de diversos tipos, entre los que se incluyen:
- Inundaciones HTTP
- Inundaciones SYN
- Inundaciones UDP
- Inundaciones ICMP
Anonymous Sudan parece inclinarse hacia este tipo de ataque debido al gran impacto que tiene. Con la caída de un servicio lo suficientemente grande para aparecer en los medios, lo utilizarán para difundir su mensaje.
Técnicas
Como ya se ha mencionado, Anonymous Sudan prefiere los ataques DDoS. Para facilitarlos, se sabe que el grupo utiliza las botnets de Godzilla / Skynet. Estas botnets utilizan un gran número de dispositivos infectados en todo el mundo para enviar tráfico al objetivo, a menudo incorporando varios tipos de ataque, como los ya mencionados, para maximizar el daño y amplificar el ataque.
Procedimientos
Aunque no tenemos información específica sobre las estrategias internas que utiliza el grupo para lanzar sus ataques DDoS, podemos suponer que siguen una variación cercana a otros métodos conocidos de ataques DDoS. Si quieres saber más sobre esto, puedes echar un vistazo a nuestro blog.
Más información sobre Anonymous Sudan
Si te interesa obtener más información, el grupo fue el tema de un episodio de The Security Swarm Podcast.
¿Cómo los Juegos Olímpicos fueron objetivo de los actores de la amenaza?
Empieza a ser habitual que las ciberamenazas se conviertan en algo habitual con los Juegos Olímpicos. Hemos visto en años anteriores cómo las Olimpiadas han sido objetivo de amenazas que provenían de otros países. De hecho, incluso hemos visto casos de falsa bandera para culpar a otros países de estos ataques. Este año no parece diferente en este frente.
Como aquí no somos expertos en geopolítica, mantendremos la charla en temas de ciberseguridad. Estas operaciones se parecen mucho al resultado deseado como el que acabamos de mencionar con Anonymous Sudan. Los países utilizarán estos ataques contra los Juegos Olímpicos para enviar un mensaje, directa o indirectamente. Andy Syrewicze y Romain Basset, de nuestro equipo, comentan este tema con más detalle en el episodio del Podcast The Security Swarm que encontrarás a continuación:
Predicciones para los próximos meses
- Es probable que sigamos hablando de regulación de la ciberseguridad y de las dudas sobre la estabilidad de las aplicaciones de seguridad como consecuencia del incidente de CrowdStrike.
- Dada la gravedad de la reciente vulnerabilidad de ESXi, es posible que veamos más organizaciones afectadas.
Recomendaciones mensuales
- Dadas las noticias sobre CrowdStrike y el incidente con HealthEquity, es un buen momento para revisar tu lista de proveedores externos y realizar una revisión de seguridad de cada uno de ellos si no lo has hecho aún.
- Si utilizas ESXi en tu organización y no has instalado la actualización de seguridad para el reciente exploit, te aconsejamos que lo hagas.
Acerca de Hornetsecurity
Hornetsecurity es un proveedor líder mundial de soluciones de seguridad, cumplimiento normativo, backup y concienciación sobre seguridad de última generación, basadas en la nube y que ayuda a empresas y organizaciones de todos los tamaños en todo el mundo. Su producto estrella, 365 Total Protection, es la solución de seguridad en la nube para Microsoft 365 más completa del mercado. Impulsada por la innovación y la excelencia en ciberseguridad, Hornetsecurity está construyendo un futuro digital más seguro y una cultura de seguridad sostenible gracias a su galardonado portfolio. Hornetsecurity opera en más de 120 países a través de su red de distribución internacional de más de 12.000 partners y MSPs. Sus servicios premium son utilizados por más de 75.000 clientes. Para más información, visite www.hornetsecurity.com