Las vulnerabilidades que está explotando Lazarus son las mismas que el grupo hacktivista Guacamaya utilizó para atacar a la Secretaría de la Defensa Nacional, en octubre de 2022: CVE-2022–27925 y CVE-2022–37042.
Lazarus es un grupo de amenazas que data desde 2009, que ha mostrado continuidad en sus ataques y que es respaldado por el gobierno de Corea del Norte. Los motivos de Lazarus son de espionaje, inteligencia y, principalmente, económicos pues representa una importante fuente de ingresos para el gobierno norcoreano. Algunos de los ataques destacados de Lazarus incluyen el robo de información del chip M1 de Apple, así como el robo de 100 millones de dólares en criptomonedas del sistema Horizon Bridge, de la empresa de blockchain Harmony.
Gobierno mexicano en peligro
El 5 de noviembre de 2022, la unidad de investigación de SILIKN emitió una alerta ya que encontró varias dependencias e instituciones de gobierno que están utilizando el sistema de correo de Zimbra.
Zimbra es un programa colaborativo de aplicaciones entre las cuales ofrece el servicio de correo electrónico, calendario, contactos, documentos, etcétera. Es un sistema basado en la web que está diseñado para la implementación organizacional, con el objetivo principal de integrar una gran cantidad de herramientas de colaboración.
Zimbra admite clientes de correo electrónico como Windows Outlook y tiene compatibilidad con sistemas informáticos Windows, Linux y Apple. Además, proporciona sincronización inalámbrica con sistemas operativos de dispositivos móviles como iOS y Android.
Las vulnerabilidades no gestionadas en Zimbra por el gobierno de México, permitieron que el grupo hacktivista Guacamaya pudiera extraer 6 terabytes de información de la Secretaría de la Defensa Nacional (Sedena), en un incidente dado a conocer en octubre de 2022.
La unidad de investigación de SILIKN ha examinado y cotejado los incidentes relacionados con este grupo de atacantes, lo cual ha dado como resultado encontrar actividades que han comenzado a través de un compromiso inicial y una escalada de privilegios, que se logró mediante la explotación de vulnerabilidades conocidas en los servidores de correo Zimbra que no tienen instalados los parches de seguridad.
Con estas acciones, Lazarus ha extraído alrededor de 120 gigabytes de información de los buzones de los servidores, por lo que se estima que este grupo seguirá apuntando hacia verticales de investigación, energía e infraestructura crítica.
Las vulnerabilidades que está explotando Lazarus son las mismas que el grupo hacktivista Guacamaya utilizó para atacar a la Secretaría de la Defensa Nacional, en octubre de 2022: CVE-2022–27925 y CVE-2022–37042, vulnerabilidades que ya habían sido reportadas por Zimbra (CVE-2022–27925, el 21 de abril 2022 y CVE-2022–37042, el 12 de agosto de 2022), pero que muchas organizaciones — incluyendo a la Sedena — no tomaron en cuenta y por lo mismo no habían instalado los parches de seguridad correspondientes.
Somos los únicos en México que garantizamos 100% la recuperación de sus datos por un ataque Ransomware, marca ahora y un asesor lo atenderá para resolver su caso. 4427777658
Posibles objetivos y recomendaciones
De acuerdo con la alerta emitida por la unidad de investigación de SILIKN el 5 de noviembre de 2022, se reportaron diversas dependencias e instituciones de gobierno que están utilizando Zimbra y que, si en este momento no han gestionado de forma adecuada las vulnerabilidades, podrían ser los próximos objetivos de Lazarus.
Algunas de las dependencias e instituciones involucradas están dentro de la categoría de seguridad nacional, mientras que otras están dentro de la categoría de infraestructura crítica. Nuevamente, compartimos la lista de las que podrían estar en riesgo:
- Gobierno de la Ciudad de México
- Servicios de Salud Pública de la Ciudad de México
- Gobierno del Estado de Jalisco
- Instituto Nacional de Psiquiatría
- Fiscalía General de Justicia del Estado de México
- Fiscalía del Estado de Tabasco
- Fiscalía de Zacatecas
- Instituto de Seguridad Social del Estado de Tabasco
- Instituto Nacional de Rehabilitación
- Poder Judicial del Estado de México
- Gobierno de Chiapas
- Gobierno Municipal de Irapuato, Guanajuato
- Poder Judicial del Estado de México
- Poder Judicial del Estado de San Luis Potosí
- Fiscalía General de Justicia del Estado de México
- DIF de Sonora
- Instituto Nacional de Enfermedades Respiratorias
- Consejería Jurídica y de Servicios Legales del Gobierno de la Ciudad de México
- Policía Auxiliar de la Ciudad de México
- Red de Transporte de Pasajeros de la Ciudad de México
- Sistema de Aguas de la Ciudad de México
- Congreso de la Ciudad de México
- Guardia Nacional
- Secretaría de Marina
- Secretaría de Desarrollo Agrario, Territorial y Urbano
- Secretaría de la Contraloría General de la Ciudad de México
- Secretaría Ejecutiva del Sistema Nacional Anticorrupción
- Secretaría de Salud de la Ciudad de México
- Secretaría de Salud de Jalisco
- Secretaría de Salud de Sonora
- Secretaría de Salud de Coahuila
- Secretaría de Administración y Finanzas de la Ciudad de México
- Secretaría de Seguridad Pública del Estado de Guerrero
- Secretaría de Educación del Gobierno de Chiapas
- Secretaría de Administración del Gobierno de Zacatecas
- Secretaría Municipal de Seguridad Pública y Tránsito de Cancún, Quintana Roo
- Secretaría de Movilidad de la Ciudad de México
- Secretaría de Educación y Cultura del Gobierno de Colima
- Procuraduría Federal de la Defensa del Trabajo
- Alcaldía de Xochimilco de la Ciudad de México
- Alcaldía de Iztacalco de la Ciudad de México
- Alcaldía de Tláhuac de la Ciudad de México
- Alcaldía de Tlalpan de la Ciudad de México
- Alcaldía La Magdalena Contreras de la Ciudad de México
- Gobierno del Estado de Tlaxcala
- Municipio de Tecámac del Estado de México
- Comisión Nacional para el Conocimiento y Uso de la Biodiversidad
- Unidad Estatal de Telecomunicaciones del Estado de Guerrero
- Consejo Estatal de Seguridad Pública del Estado de Campeche
- Ayuntamiento de Morelia, Michoacán
- Fideicomiso Fondo Nacional de Fomento Ejidal
- Instituto de Control Vehicular
- Comisión Nacional de Vivienda
- Instituto Nacional del Suelo Sustentable
- Caja de Previsión de la Policía Auxiliar de la Ciudad de México
- Auditoría Superior del Estado de Nuevo León
- Consejo de Ciencia y Tecnología del Estado de Tabasco
- Servicios de Educación Pública de Nayarit
- Fondo para el Desarrollo Social de la Ciudad de México
- Centro Estatal de Tecnologías de Información y Comunicaciones de Michoacán
- Organismo Operador de Agua Potable, Alcantarillado y Saneamiento de Morelia
Somos los únicos en México que garantizamos 100% la recuperación de sus datos por un ataque Ransomware, marca ahora y un asesor lo atenderá para resolver su caso. 4427777658
La recomendación es que estos organismos actúen urgentemente y puedan revisar sus activos tecnológicos, sus respectivos controles, así como gestionar las actualizaciones y parches de seguridad más recientes, las cuales Zimbra ha lanzado y dado a conocer a través de la página web: https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
¡Comparte esta entrada, elige tu plataforma!
Relacionados
“Solo 12% de las empresas que sufrió ataques en el último año implementó medidas preventivas de ciberseguridad”
Las violaciones de datos están en aumento y ninguna organización está a salvo de ciberataques, fugas o manipulaciones de información Por Ricardo Arellano de Cybertrust Latam Las violaciones de datos están en aumento y ninguna organización está a salvo de ciberataques, fugas o manipulaciones de información. Esto se debe, en parte, a la movilidad de
Ransomware Akira: La amenaza que evoluciona en las sombras
No podía pasar por alto mi artículo semanal, y como ya es costumbre, hoy te traigo un análisis detallado sobre uno de los actores de amenazas más notorios en el ámbito de la ciberseguridad: el ransomware Akira. Desde su aparición en marzo de 2023, estos ciberdelincuentes han logrado extorsionar alrededor de 42 millones de dólares
Crecen más de 60% los ataques de ransomware en México
El nuevo informe de Palo Alto Networks, descubrió que los ataques de ransomware se han convertido cada vez más en una forma sofisticada de delito cibernético que puede poner en peligro a grandes empresas, agencias gubernamentales e infraestructuras críticas. El estudio de Unit 42, grupo de investigadores de amenazas, personal de respuesta ante incidentes y consultores de seguridad
2 MANERAS EN QUE TU TARJETA SIM PUEDE SER HACKEADA (Y CÓMO PROTEGERLA)
Probablemente sepas que el sistema operativo de tu smarpthone debes actualizarlo regularmente para protegerlo contra vulnerabilidades de seguridad. Pero tu tarjeta SIM también puede ser una fuente de vulnerabilidades de seguridad. Aquí te mostraré algunas formas en que los hackers pueden usar las tarjetas SIM para obtener acceso a los dispositivos, y consejos sobre cómo puedes
Los usuarios “descuidados” son la primera causa de perdida de datos
Los resultados de un estudio ponen de manifiesto que los empleados despistados o malintencionados son responsables de la gran mayoría de los incidentes relacionados con los datos en las organizaciones. El estudio elaborado por Proofpoint Data Loss Landscape analiza cómo los enfoques actuales de prevención de pérdida de datos (DLP) y amenazas internas están adaptándose a los
Chilango Leaks: hackers de Mexican Mafia ‘desnudan’ al gobierno de CDMX
Piratas informáticos robaron correos de dependencias como el Heroico Cuerpo de Bomberos, Secretaría de Obras y Servicios, Procuraduría Social, entre muchas otras El gobierno de la Ciudad de México fue atacado a través de una vulnerabilidad que desde 2019 se advirtió y que, pese a constantes avisos, no se resguardó de manera adecuada. De esta manera, hackers