Lima, 18 de mayo de 2021
13
Transcript of Lima, 18 de mayo de 2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 18 de mayo de 2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Contenido Vulnerabilidad Crítica en la Plataforma “Moodle” ........................................................................................ 3
Falso sitio web de MSI es utilizado para distribuir Malware ......................................................................... 4
Hackers de ransomware atacan sistemas de Toshiba ................................................................................... 5
Nueva campaña de malware distribuye el troyano “Bizarro” para robar credenciales de usuario .............. 7
Múltiples vulnerabilidades en el software de análisis Rosemount X-STREAM de Emerson ......................... 9
Suplantación de identidad en NETFLIX. .......................................................................................................10
Índice alfabético ..........................................................................................................................................12
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 120
Fecha: 18-05--2021
Página: 3 de 12
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad Crítica en la Plataforma “Moodle”
Tipo de ataque Explotación de Vulnerabilidades Abreviatura EVC
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
El 18 de mayo de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que la plataforma de formación educativa, Moodle, ha publicado una actualización de seguridad que soluciona varias vulnerabilidades, entre las que se encuentran algunas con severidad alta, que permitirían llevar a cabo ataques de SQL injection (SQLi), exportación en CSV con más información de la debida, o provocar una condición de denegación de servicio.
La actualización de seguridad corrige varias vulnerabilidades, entre las cuales están las siguientes:
• Exportando un foro en formato CSV, se podría recibir un CSV de foros de otros cursos.
• Riesgo de inyección SQL en los sitios con MNet habilitado y configurado, a través de una llamada XML-RPC desde el connected peer host. Esto requería el acceso del administrador del sitio.
• Riesgo de denegación de servicio en el área de archivos de borrador, debido a que no se respetan los límites de carga de archivos de los usuarios.
• Actualización de la biblioteca H5P PHP incluida en Moodle para incluir una corrección de seguridad.
Se recomienda:
• Actualizar Moodle a la última versión disponible.
• Verificar que la dirección sea la correcta, siendo esta de la fuente oficial.
• En caso de presentar algún problema de acceso, comunicar al equipo de TI correspondiente a su institución.
• No divulgar credenciales, por medios sociales ni supuestos asesores de soporte falsos.
Fuentes de información hxxps://www.incibe.es/protege-tu-empresa/avisos-seguridad/moodle-ha-corregido-varias-vulnerabilidades-actualiza
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 120
Fecha: 18-05--2021
Página: 4 de 12
Componente que reporta GRUPO DE OPERACIONES EN EL CIBERESPACIO DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Falso sitio web de MSI es utilizado para distribuir Malware
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código Malicioso
Descripción
El 18 de mayo de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento que de acuerdo con un comunicado efectuado por el fabricante de hardware informático MSI, un sitio web está suplantando una plataforma oficial de la compañía de tarjetas gráficas y el software Afterburner, con el fin de distribuir malwares a los usuarios desprevenidos.
Es preciso indicar, que el software malicioso se aloja ilegalmente en un sitio web sospechoso que se hace pasar por el sitio web oficial de MSI empleando el dominio “hxxps://afterburner-msi.spac”. Cabe mencionar, que el sitio web aloja variantes de softwares maliciosos como virus, troyanos bancarios, keyloggers, entre otros.
Recomendaciones:
• La compañía solicita a los usuarios no descargar nada proveniente de dicho sitio web.
• De igual forma, los usuarios deben asegurarse de que los programas a instalar sean legales y auténticos, para tal fin deberán ser descargados desde sitios oficiales o tiendas reconocidas.
Fuentes de información hxxps://noticiasseguridad.com/seguridad-informatica/hackers-usan-falso-sitio-web-de-msi-para-distribuir-malware-entre-usuarios-de-software-gpu/
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 120
Fecha: 18-05--2021
Página: 5 de 12
Componente que reporta GRUPO DE OPERACIONES EN EL CIBERESPACIO DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Hackers de ransomware atacan sistemas de Toshiba
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C01
Clasificación temática familia Codigo malicioso
Descripción
El 18 de mayo de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento que Toshiba Tec Corp fue víctima de un ciberataque empleando la variante de ransomware DarkSide.
Después de detectar el ataque, los equipos de seguridad de Toshiba decidieron cerrar sus redes entre Japón, Europa y sus subsidiarias con el fin de evitar la propagación de la infección, además de implementar los protocolos de recuperación y habilitación de copias de seguridad para mantener sus operaciones activas.
Sobre DarkSide, los expertos reportan que esta es una plataforma de ransomware como servicio (RaaS) que proporcionan a sus afiliados un acceso a esta peligrosa variante de ransomware a cambio de dividir las ganancias generadas por estas campañas maliciosas.
Los afiliados de DarkSide emplean la táctica conocida como doble extorsión, en la que las empresas primero reciben una demanda de rescate a cambio de una clave de descifrado para desbloquear los sistemas infectados. Si las organizaciones se niegan a pagar, se les amenaza con la divulgación pública de datos confidenciales y registros robados durante el acceso inicial al sitio de una fuga.
El registro, publicado el 13 de mayo, afirma que se robaron más de 740 GB de datos de Toshiba, aunque se espera que la compañía agregue alguna confirmación en los próximos días.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Recomendaciones:
• Implementar filtros de phishing para evitar emails falsos (una de las principales vías de entrada).
• Utilizar un antivirus antiransomware, instalar parches de seguridad con frecuencia.
• Realizar copias de seguridad periódicamente.
Fuentes de información hxxps://www.cibertip.com/ciberseguridad/hackers-de-ransomware-atacan-sistemas-de-toshiba-miles-de-registros-confidenciales-filtrados/
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 120
Fecha: 18-05--2021
Página: 7 de 12
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nueva campaña de malware distribuye el troyano “Bizarro” para robar credenciales de usuario
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
Resumen:
Investigadores de ciberseguridad de Kaspersky han identificado una nueva campaña de malware que distribuye el troyano bancario “Bizarro”. En esta campaña, el troyano se distribuye a través de paquetes MSI descargados por las víctimas por enlaces de correos electrónicos no deseados y dirigidos a usuarios en España, Portugal, Francia e Italia. Bizarro ha intentado robar las credenciales de clientes de más de 70 bancos de diferentes países europeos y sudamericanos. Asimismo, está utilizando afiliados y reclutando mulas de dinero para hacer operativos sus ataques.
Detalles:
Bizarro tiene módulos x64 y podría engañar a los usuarios para que ingresen códigos de autenticación de doble factor (A2F) en ventanas emergentes falsas. También podría utilizar la ingeniería social para convencer a las víctimas de que descarguen una aplicación para teléfonos inteligentes. El grupo detrás de Bizzaro utiliza servidores alojados en Azure y Amazon (AWS) y servidores de WordPress comprometidos para almacenar el malware y recopilar la telemetría.
Bizarro se distribuye a través de paquetes MSI descargados por las víctimas de enlaces en correos electrónicos no deseados. Una vez lanzado, Bizarro descarga un archivo ZIP de un sitio web comprometido. Se observó, además, servidores pirateados de WordPress, Amazon y Azure utilizados para almacenar archivos. El instalador de MSI tiene dos enlaces integrados de acuerdo con la arquitectura del procesador de la víctima. El archivo ZIP que se descarga contiene una DLL maliciosa escrita en Delphi, un ejecutable legítimo que es un programa de ejecución de secuencias de comandos de “AutoHotkey” (en algunos ejemplos se utiliza AutoIt en lugar de AutoHotkey) y un pequeño script que llama a una función exportada desde la DLL maliciosa. La DLL exporta una función que contiene el código malicioso. Los desarrolladores de malware han utilizado la ofuscación para complicar el análisis del código. El protector ha eliminado el código de las funciones exportadas. Los bytes que pertenecen a las funciones exportadas son restaurados por la función de punto de entrada de DLL en tiempo de ejecución.
Esta función de punto de entrada está muy ofuscada. Los trucos utilizados para complicar el análisis consisten en el despliegue constante y la inserción de código basura. En cuanto a los desarrolladores de malware, están mejorando constantemente la protección de los binarios. En versiones anteriores de Bizarro, solo se protegía la función de punto de entrada, mientras que en muestras más recientes el protector también se usa para ocultar las llamadas de las funciones API importadas.
Según los investigadores, “Cuando se inicia Bizarro, primero mata todos los procesos del navegador para terminar cualquier sesión existente con sitios web de banca en línea”. Luego. cuando un usuario reinicia los navegadores, se verá obligado a volver a ingresar las credenciales de la cuenta bancaria, que serán capturadas por el malware. Otro paso que toma Bizarro para obtener la mayor cantidad de credenciales es deshabilitar la función de autocomplar en un navegador.
La función principal del troyano es capturar y filtrar las credenciales bancarias en línea, sin embargo, la puerta trasera está diseñada para ejecutar 100 comandos desde un servidor remoto que le permite recolectar todo tipo de información de las máquinas Windows, controlar el mouse y el teclado de la víctima, registrar las pulsaciones de teclas, realizar capturas de pantalla y limitar la funcionalidad de Windows.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Indicadores de compromiso (IoC):
Ver IoC aquí. [hxxps://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/]
Solución:
• No descargar ningún archivo adjunto y analizarlo previamente con el antivirus.
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
Fuentes de información hxxps://securelist.com/bizarro-banking-trojan-expands-its-attacks-to-europe/102258/
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 120
Fecha: 18-05--2021
Página: 9 de 12
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Múltiples vulnerabilidades en el software de análisis Rosemount X-STREAM de Emerson
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
Resumen:
Investigadores de Emerson han reportado múltiples vulnerabilidades de severidad ALTA y MEDIA de tipo fuerza de encriptación inadecuada, carga sin restricciones de archivo de tipo peligroso, limitación incorrecta de un nombre de ruta a un directorio restringido, uso de cookies persistentes que contienen información confidencial, neutralización inadecuada de la entrada durante la generación de la página web y restricción inadecuada de capas o macros IU renderizados que afecta al software de análisis Rosemount X-STREAM de Emerson . La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto obtener información confidencial, modificar la configuración o afectar la disponibilidad del dispositivo.
Detalles:
• La vulnerabilidad registrada como CVE-2021-27457 se debe a que los productos afectados utilizan un algoritmo de cifrado débil para el almacenamiento de datos confidenciales, lo que podría permitir que un atacante obtenga las credenciales utilizadas para el acceso.
• La vulnerabilidad registrada como CVE-2021-27459 se debe a que el servidor web de los productos afectados permite que se carguen archivos no validados que un atacante podría utilizar para ejecutar código arbitrario.
• La vulnerabilidad registrada como CVE-2021-27461 se debe a que las aplicaciones del servidor web afectadas permiten el acceso a los datos almacenados que podría obtener mediante URL especialmente diseñadas.
• La vulnerabilidad registrada como CVE-2021-27463 se debe a que las aplicaciones afectadas utilizan cookies persistentes donde el atributo de cookie de sesión no se valida correctamente, lo que podría permitir a un atacante interceptar las cookies y obtener acceso a información confidencial.
• La vulnerabilidad registrada como CVE-2021-27465 se debe a que las aplicaciones afectadas no validan la entrada de la página web, lo que podría permitir a un atacante inyectar código HTML arbitrario en una página web. Esto permitiría a un atacante modificar la página y mostrar datos incorrectos o no deseados.
• La vulnerabilidad registrada como CVE-2021-27467 se debe a que la interfaz web del producto afectado permite que un atacante enrute el clic o la pulsación de una tecla a otra página proporcionada por el atacante para obtener acceso no autorizado a información confidencial.
Productos afectados:
• X-STREAM enhanced XEGP – todas las versiones;
• X-STREAM enhanced XEGK – todas las versiones;
• X-STREAM enhanced XEFD – todas las versiones;
• X-STREAM enhanced XEXF – todas las versiones.
Solución:
Emerson recomienda actualizar el firmware de los productos afectados a la última versión disponible. Además, se deben asegurar que los productos afectados estén conectados a una red bien protegida y segmentados adecuadamente de Internet.
Fuentes de información hxxps://us-cert.cisa.gov/ics/advisories/icsa-21-138-01
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 120
Fecha: 18-05--2021
Página: 10 de 12
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Suplantación de identidad en NETFLIX.
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre oros.
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de phishing, suplantando la identidad de NETFLIX (Servicio de trasmisión por suscripción, que permite a sus miembros ver series y/o películas en cualquier pantalla conectada a internet, mediante un pago mensual), con el objetivo robar credenciales de acceso al servicio, además de información financiera de la víctima.
Figura 1. Falso sitio solicita a la
víctima, iniciar sesión con las
credenciales de acceso del servicio.
Figura 2. Solicita realizar lo siguiente
“Asegure su cuenta. Actualice su
dirección de facturación. Confirma tu
método de pago”.
Figura 3. Solicita actualizar la
dirección de facturación.
Figura 4. Solicita confirmar el método
de pago proporcionando datos de la
tarjeta de crédito o débito.
Figura 5. Luego de ingresar los datos
financieros se indica lo siguiente “Se
actualizó la dirección de facturación.
Forma de pago confirmada”.
Figura 6. Una vez que el usuario hace clic
en el botón “Continuar”, es dirigido a la
página oficial de NETFLIX, aunque los
datos fueron capturados por los
Ciberdelincuentes.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La URL Maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo la siguiente información:
• URL Malicioso: hXXps[:]//nrcs[.]ekbana[.]net/wp-content/plugins/Netflix/Login391/
• Dominio: nrcs[.]ekbana[.]net
• Código: 200
• SHA-256: 226260a4696821a61b0123ab9626509910fca52833c5b5084436c99a6998cd1c
Lista negra | IP: 159[.]89[.]161[.]57
Cómo funciona el phishing:
• Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.
• Medios de propagación del phishing: WhatsApp, telegram, redes sociales, SMS entre otros.
• Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público o privado, entidad financiera, servicio técnico, etc.)
Referencia:
Phishing o suplantación de identidad: Es un método que los ciberdelincuentes, utilizan para engañar a los usuarios para conseguir que revele información personal, como contraseñas, datos de tarjetas de créditos, números de cuentas bancarias, entre otros.
Recomendaciones:
• Evitar acceder a enlaces que llegan inesperadamente por correo electrónico u otros medios.
• No proporcionar datos personales (contraseñas, tarjetas, cuentas bancarias, etc.) por correo, teléfono o SMS.
• Contar con una solución de seguridad confiable tanto en los dispositivos de escritorio como en teléfonos.
• Ante cualquier sospecha de haber caído en el engaño del phishing, accede a tu cuenta y cambia la contraseña.
• Cambia la contraseña con frecuencia en todas tus cuentas.
Fuentes de información Análisis propio de redes sociales y fuente abierta
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Página: 12 de 12
Índice alfabético
Código malicioso ................................................................................................................................................................ 7 Correo electrónico ............................................................................................................................................................. 5 Correo electrónico, redes sociales, entre otros ................................................................................................................ 5 Explotación de vulnerabilidades conocidas ....................................................................................................................... 9 Fraude .............................................................................................................................................................................. 10 Intento de intrusión ....................................................................................................................................................... 3, 9 internet ............................................................................................................................................................................ 10 IoC ...................................................................................................................................................................................... 8 IOC ..................................................................................................................................................................................... 8 keyloggers .......................................................................................................................................................................... 4 malware ......................................................................................................................................................................... 4, 7 Malware ......................................................................................................................................................................... 4, 7 phishing ................................................................................................................................................................. 6, 10, 11 Phishing ..................................................................................................................................................................... 10, 11 ransomware ................................................................................................................................................................... 5, 6 Ransomware ...................................................................................................................................................................... 5 Red, internet ...................................................................................................................................................................... 9 redes sociales ............................................................................................................................................................... 1, 11 Redes sociales .................................................................................................................................................................. 10 servidor .......................................................................................................................................................................... 7, 9 servidores .......................................................................................................................................................................... 7 software ......................................................................................................................................................................... 4, 9 Suplantación .................................................................................................................................................................... 10 troyanos ............................................................................................................................................................................. 4 URL ............................................................................................................................................................................... 9, 11 USB, disco, red, correo, navegación de internet ....................................................................................................... 3, 4, 7 Vulnerabilidad.................................................................................................................................................................... 3 Vulnerabilidades ................................................................................................................................................................ 3
