PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 07 de octubre de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Nueva botnet HEH puede borrar datos de enrutadores y dispositivos IoT .................................................. 3

Nueva variante de ransomware “Egregor” permite la filtración de datos .................................................... 4

Detección de una nueva Botnet denominada Heh. ...................................................................................... 5

Índice alfabético ............................................................................................................................................ 7

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 186

Fecha: 07-10-2020

Página: 3 de 7

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Nueva botnet HEH puede borrar datos de enrutadores y dispositivos IoT

Tipo de ataque Botnets Abreviatura Botnets

Medios de propagación Correo electrónico, red e internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que los investigadores de ciberseguridad, han detectado una nueva botnet denominada “HEH” está escrita en lenguaje Go y utiliza un protocolo P2P. Esta botnet contiene código que puede borrar todos los datos de los sistemas infectados, como enrutadores, servidores y dispositivos de internet de las cosas (IoT).

2. Detalles de la alerta:

La botnet HEH se propaga mediante el lanzamiento de ataques de fuerza bruta contra cualquier sistema conectado a internet que tenga sus puertos SSH (23 y 2323) expuestos en línea. Si el dispositivo utiliza credenciales SSH predeterminadas o fáciles de adivinar, la botnet obtiene acceso al sistema, donde descarga inmediatamente uno de los siete binarios que instalan el malware HEH.

De acuerdo a las investigaciones de expertos en ciberseguridad, en la cual indican que las únicas características presentes son una función que atrapa a los dispositivos infectados y los obliga a realizar ataques de fuerza bruta SSH a través de internet para ayudar a amplificar la botnet; una función que permite a los atacantes ejecutar comandos de Shell en el dispositivo infectado; y una variación de esta segunda característica que ejecuta una lista de operaciones Shell predefinidas que borran todas las particiones del dispositivo.

3. Indicadores de compromiso (IoC):

MD5

o 4c345fdea97a71ac235f2fa9ddb19f05

o 66786509c16e3285c5e9632ab9019bc7

o 6be1590ac9e87dd7fe19257213a2db32

o 6c815da9af17bfa552beb8e25749f313

o 984fd7ffb7d9f20246e580e15fd93ec7

o bd07315639da232e6bb4f796231def8a

o c1b2a59f1f1592d9713aa9840c34cade

o c2c26a7b2a5412c9545a46e1b9b37b0e

o 43de9c5fbab4cd59b3eab07a81ea8715

4. Recomendaciones:

Evaluar el bloqueo preventivo de los indicadores de compromiso.

Mantener firmas y motores de los antivirus actualizados.

Mantener un protocolo de actualizaciones de los sistemas operativos, aplicaciones y dispositivos de TI.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 186

Fecha: 07-10-2020

Página: 4 de 7

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva variante de ransomware “Egregor” permite la filtración de datos

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de subfamilia C09

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

Investigadores de la compañía Appgate, han descubierto una nueva variante de ransomware “Egregor” que implica varios tipos de técnicas antianálisis, incluida la ofuscación de código y cargas útiles empaquetadas, lo que significa que el código malicioso se "descomprime" en la memoria como una forma de evitar la detección por las herramientas de seguridad. Este tipo de ataques está dirigido a todas las organizaciones a nivel mundial, incluida la empresa de logística global GEFCO.

El grupo de amenazas detrás de este malware luego de robar datos confidenciales, ejecuta el ransomware Egregor para cifrar todos los archivos y de acuerdo a la nota de rescate, si la empresa no paga el rescate en 3 días, filtrará parte de los datos robados, además, amenazan con filtrar parte de la información a través de los medios de comunicación para que se haga público el ataque.

2. Detalles:

De acuerdo a las muestras analizadas, se ha detectado que tiene muchas técnicas antianálisis implementadas, como la ofuscación de código y cargas útiles empaquetadas. Además, en una de las etapas de ejecución, la carga útil de Egregor solo se puede descifrar si se proporciona la clave correcta en la línea de comando del proceso, lo que significa que el archivo no se puede analizar, ya sea manualmente o usando un sandbox, si el mismo comando No se proporciona la línea que los atacantes utilizaron para ejecutar el ransomware. Además, nuestro equipo encontró el sitio web "Egregor news", alojado en la deep web, que el grupo delictivo utiliza para filtrar datos robados.

Asimismo, los investigadores de seguridad de Appgate indicaron que el código parece ser un derivado del ransomware Sekhmet, un vínculo que también fue observado por otros investigadores. Dijeron, además, que han encontrado similitudes tanto en Sekhmet como en ransomware Egregor, como técnicas de ofuscación, funciones, llamadas API y cadenas, como% Greetings2target% y% sekhmet_data% cambiando a% egregor_data%. Además, la nota de rescate también es bastante similar".

La nota de rescate de Egregor también dice que, además de descifrar todos los archivos en caso de que la compañía pague el rescate, también brindarán recomendaciones para proteger la red de la compañía, "ayudándolos" a evitar ser atacados nuevamente, actuando como una especie de sombrero negro "equipo de Black Hat Pentest". Esto significa que el analista o investigador solo tiene acceso al archivo empaquetado, sin saber cómo se lanzó en el entorno afectado, la carga útil de Egregor no se podría descifrar, por lo tanto, si ejecutarlo.

3. Recomendaciones:

No abrir correos electrónicos que contienen archivos adjuntos o enlaces web maliciosos enviados desde direcciones de correos desconocidos y sospechosos.

Solo se debe descargar software y herramientas de sitios web oficiales y confiables y no a través de enlaces directos o acortados.

El software instalado debe actualizarse a través de herramientas y/o funciones implementadas proporcionadas por desarrolladores oficiales.

Contar con una solución de seguridad.

Mantener las aplicaciones y los sistemas operativos en ejecución al nivel de parche publicado en la actualidad.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática y los peligros que representa.

Fuentes de información hxxps://www.appgate.com/news-press/appgate-labs-analyzes-new-family-of-

ransomware-egregor hxxps://threatpost.com/egregor-ransomware-mass-media-corporate-data/159816/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 186

Fecha: 07-10-2020

Página: 5 de 7

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección de una nueva Botnet denominada Heh.

Tipo de ataque Botnets Abreviatura Virus

Medios de propagación IRC, USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 07 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio “The Hacker News”, se informa sobre la detección de una nueva botnet denominada “Heh”, también conocida como “Je” (escrita en el lenguaje de programación Go y con un protocolo peer-to-peer o P2P), dirigido a arquitecturas de CPU como x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III), PowerPC (PPC) y dispositivos IoC, el cual tiene como finalidad infectar el sistema de la víctima y borrar todo el contenido de enrutadores domésticos, servidores Linux o de cualquier dispositivos inteligentes de internet de las cosas (IoT).

2. Detalles:

La botnet Heh, se distribuye mediante el lanzamiento de ataques de fuerza bruta contra cualquier sistema conectado a internet que tenga puertos SSH (23 y 2323) expuestos en línea.

Heh Bot, contiene tres módulos funcionales como:

o Módulo de propagación. - La Botnet es descargado y ejecutado por un script de Shell malicioso llamado "wpqnbw.txt", luego usa el script de Shell para descargar programas fraudulentos para todas las diferentes arquitecturas de CPU desde un sitio web ("pomf.cat").

o Módulo de servicio HTTP local. - La muestra HEH iniciando un servidor HTTP luego inicializando un módulo P2P que realiza un seguimiento de los pares infectados y permite al atacante ejecutar comandos de shell arbitrarios, incluida la capacidad para borrar todos los datos del dispositivo comprometido activando un comando de autodestrucción.

o Módulo P2P o peer-to-peer. – Heh ejecuta la tarea de fuerza bruta contra el servicio Telnet para los dos puertos 23 y 2323 de manera paralela.

Los actores de la amenaza de la Botnet Heh para su ejecución usan un diccionario de contraseñas con 171 nombres de usuario y 504 contraseñas para intentar tomar el control de dispositivos, como enrutadores, que ejecutan telnet.

Heh, también borra el firmware o sistema operativo del dispositivo infectado; esto provocaría el bloqueo temporal o definitivo de dichos dispositivos.

Imagen: Diagrama de flujo del esquema de ejecución de la Botnet Heh.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso (IoC).

o Archivos analizados: Nombre: classes.dex

Tipo: Android

Tamaño: 456.22 KB (467168 bytes)

MD5: 81a39b9edd27e5c7eeb6bf3f999d345e

SHA-1: a0f5395ad04e804303b3ffce701fab1112e6fecf

SHA-256: 1d32886b1de87148e18592b20d3ed0208ca0204a8dbfb18c5485fb1ec0c4ce11

Nombre: classes.dex

Tipo: Android

Tamaño: 456.22 KB (467168 bytes)

MD5: d4f0b8257df81ec81e9a69bae2c2fbcd

SHA-1: 915b4d429329c75c031e1de379b0d85f1701a819

SHA-256: 866811378150630cb1c6de83aa55737f00c35c06c854e3a197cbf2d0efe586fb

3. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//thehackernews.com/2020/10/p2p-iot-botnet.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 7 de 7

Índice alfabético

Bot ..................................................................................................................................................................................... 5 botnet .................................................................................................................................................................... 2, 3, 5, 6 Botnets........................................................................................................................................................................... 3, 5 Código malicioso ........................................................................................................................................................ 3, 4, 5 Correo electrónico ......................................................................................................................................................... 3, 4 Correo electrónico, redes sociales, entre otros ................................................................................................................ 4 fuerza bruta ................................................................................................................................................................... 3, 5 internet .......................................................................................................................................................................... 3, 5 IoT .............................................................................................................................................................................. 2, 3, 5 IRC, USB, disco, red, correo, navegación de internet ........................................................................................................ 5 malware ......................................................................................................................................................................... 3, 4 ransomware ................................................................................................................................................................... 2, 4 Ransomware ...................................................................................................................................................................... 4 redes sociales ..................................................................................................................................................................... 1 servidor .............................................................................................................................................................................. 5 servidores ...................................................................................................................................................................... 3, 5 software ............................................................................................................................................................................. 4