Lima, 20 de mayo de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 20 de mayo de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Campaña de phishing sobre bono de combustible de Shell ......................................................................... 3

Vulnerabilidad física en las memorias DRAM, Rowhammer ......................................................................... 4

Vulnerabilidades en BIND 9 ........................................................................................................................... 5

La nueva vulnerabilidad de DNS permite a los atacantes lanzar ataques DDoS a gran escala. .................... 6

Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus ............................................................................. 7

Vulnerabilidades de XSS en Zoho Manageengine Servicedesk Plus .............................................................. 8

Vulnerabilidades en el editor de PDF Nitro Pro para ejecutar código de forma remota en host. ................ 9

Aerolínea Easyjet sufre ciberataque y expone 9 millones de datos de clientes .........................................10

Nuevo troyano “WolfRAT” afecta a usuarios de WhatsApp y Facebook Messenger .................................11

Vulnerabilidad en la compañía Palo Alto ....................................................................................................12

Compañía Apple, tiene vulnerabilidad critica en sus equipos .....................................................................13

Ransomware “NetWalker” utiliza nuevas técnicas para evitar la detección ..............................................14

Phishing, a través de página falsa de telefónica movistar. .........................................................................16

Índice alfabético ..........................................................................................................................................18

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 046

Fecha: 20-05-2020

Página: 3 de 18

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL Nombre de la alerta Campaña de phishing sobre bono de combustible de Shell Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales Código de familia G Código de sub familia G02 Clasificación temática familia Fraude

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una campaña de “Phishing” que se está difundiendo a través de la aplicación de mensajería instantánea WhatsApp con contenido falso, el cual intenta suplantar la identidad de la compañía Shell.

2. Detalles de la alerta:

El mensaje falso proviene de la empresa Shell que se viene difundiendo a través de la aplicación de mensajería WhatsApp, el cual muestra el siguiente contenido: “sin más espacio para almacenar petróleo, Shell inicio programa de donación de combustible, seguidamente de un enlace: hxxp://shell.club/“.

Si el Usuario ingresa al citado enlace, le redirige a la dirección web hxxp://bono-combustible.club/shell, donde muestra una página web falsa similar a la empresa Shell. En ella se le muestra el siguiente mensaje: “En virtud de las medidas de aislamiento social para contener la propagación del nuevo coronavirus, nuestros tanques de almacenamiento de combustible han alcanzado su LÍMITE MÁXIMO DE CAPACIDAD. La solución encontrada por la compañía fue ofrecer 3 MESES DE COMBUSTIBLE GRATIS a todos que regresen a sus actividades laborales o académicas.”

Seguidamente, solicita a la víctima introducir su nombre completo y ocupación. Al pulsar sobre Consultar, se nos informa de que tenemos acceso a cuatro tanques llenos gratis. Bastaría con pulsar ahora sobre “Solicitar Bono” para conseguir la supuesta ayuda de combustible.

Sin embargo, tras completar todos los pasos, se solicita a la víctima realizar un paso más para acceder al bono, el cual consiste en compartir el mensaje recibido con 15 contactos de WhatsApp.

El objetivo de los ciberdelincuentes es distribuir la campaña de mensajes fraudulentos a mayor cantidad de usuarios, con la finalidad de robar información personal y posteriormente explotarla para algún tipo de delito informático.

3. Indicadores de compromiso (IoC):

URL Comprometida : hxxp://shell.club/

URL Re-direccionada : hxxp://bono-combustible.club/shell

Asunto : Shell - Bono de Combustible

Direcciones IP : 103[.]136[.]43[.]128

SHA256 : d83cf09c58b6a673a2d845b03817aed39d8c020e628363046e64a9708e415f02

4. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Evaluar el bloqueo preventivo de los indicadores de compromisos.

No llenar formularios con datos personales en páginas web de dudosa procedencia.

Evitar difundir información que no esté verificada.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 20-05-2020

Página: 4 de 18

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad física en las memorias DRAM, Rowhammer

Tipo de ataque Exploits Abreviatura Exploits

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de sub familia C01

Clasificación temática familia Acceso comprometido

Descripción

1. El 20 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una vulnerabilidad “CVE-2020-10255” descubierto por Project Zero de Google que ha dado a conocer la que puede convertirse en una de las vulnerabilidades más curiosas de los últimos tiempos. En esta ocasión el problema no radica en ningún software, sino en la forma que se fabrican las memorias DRAM más modernas.

2. La vulnerabilidad, bautizado como Rowhammer es extremadamente curioso. Es un problema con algunas memorias DRAM modernas por el cual el acceso repetido a una fila de memoria puede provocar cambios de bits (que pasen de 0 a 1 y viceversa) en las filas adyacentes (un proceso llamado bit flipping). Está claro, el acceso a una dirección de memoria no debe tener efectos colaterales en los datos almacenados en otras direcciones. Sin embargo, la tecnología DRAM cada vez produce memorias con menores dimensiones y mayor capacidad, por esto las células de memoria están cada vez más cercanas una de otra, lo que complica el aislamiento y hace que células DRAM sean más sensibles a interferencias eléctricas e interactúen eléctricamente entre sí. Se ha conseguido demostrar como la lectura de la misma dirección DRAM, puede corromper los datos en las filas vecinas. Se ha comprobado este fenómeno en sistemas Intel y AMD mediante un programa que genera múltiples accesos a la memoria DRAM. En las pruebas realizadas por este equipo de investigación consiguieron provocar errores en la mayoría de los módulos DRAM testados (110 de 129) de tres grandes fabricantes.

3. Se recomienda:

Las soluciones y/o contramedidas se presentan complicadas. Se trata de un problema en las propias memorias y es complicado de atacar. Aun así, se plantean posibles medidas para evitar los cambios de bits inducidos por rowhammer, mediante cambios en la DRAM, en los controladores de memoria o en ambos.

Un sistema deberá evitar que un determinado periodo de refresco, no active demasiadas filas sin comprobar, así mismo deberá comprobar que las filas vecinas se actualicen. Para ello podría incluir una serie de contadores en el controlador de memoria o en la propia DRAM para el recuento de activaciones.

También se propone la posibilidad de que los fabricantes realicen actualizaciones del BIOS para mitigar este problema, cambiando la forma en que el BIOS configura el controlador de memoria de la CPU y el aumento de la frecuencia de refresco. Por último, otra posibilidad sería emplear los contadores de rendimiento de las CPUs para monitorizar el posible uso de este ataque.

Fuentes de información h[tt]ps://unaaldia.hispasec.com/2015/03/rowhammer-vulnerabilidad-fisica-en-las-

memorias-dram.html h[tt]ps://www.ccn-cert.cni.es/seguridad-al-dia/vulnerabilidades/view/31532.html

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 20-05-2020

Página: 5 de 18

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidades en BIND 9

Tipo de ataque Denegación de servicio DoS Abreviatura DoS

Medios de propagación Red, correo, navegación de internet

Código de familia F Código de sub familia F02

Clasificación temática familia Intento de intrusión

Descripción

1. El 20 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada a través de la red social de Twitter por el usuario “@threatintelctr”, sobre dos vulnerabilidades que fueron reportadas por varios investigadores al ISC, el cual es de criticidad alta en BIND 9 de ISC.

2. La vulnerabilidad con identificador CVE-2020-8616, es debido a una limitación insuficientemente restrictiva en el número de búsquedas mientras se procesa una respuesta, el cual un atacante puede explotar esta falla para causar una denegación de servicio o utilizar este comportamiento para utilizar el servidor recurrente como reflector en un ataque de reflexión con un alto factor de amplificación.

3. La vulnerabilidad con identificador CVE-2020-8617, es un error en el código BING que verifica la validez de los mensajes que contienen registros de recursos TSING, para desencadenar una falla en el tsig.c, el cual podría permitir que un atacante remoto, generar una condición de denegación de servicio (DoS).

4. Las versiones afectadas:

BIND desde la 9.0.0, hasta la 9.11.18;

BIND desde la 9.12.0, hasta la 9.12.4-P2;



BIND desde la 9.17.0, hasta la 9.17.1 de la rama de desarrollo experimental 9.17;

Todas las versiones obsoletas de las ramas de desarrollo 9.13 y 9.15;

Todas las versiones de BIND Supported Preview Edition, desde la versión 9.9.3-S1, hasta la 9.11.18-S1.

5. Se recomienda:

Actualizar a las siguientes versiones, BIND 9.11.19, BIND 9.14.12, BIND 9.16.3.

Actualizar BIND Supported Preview Edition a la version BIND 9.11.19-S1.

Fuentes de información h[tt]ps://twitter.com/threatintelctr h[tt]ps://kb.isc.org/docs/cve-2020-8616 h[tt]ps://kb.isc.org/docs/cve-2020-8617

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 046

Fecha: 20-05-2020

Página: 6 de 18

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta La nueva vulnerabilidad de DNS permite a los atacantes lanzar ataques DDoS a gran escala. Tipo de ataque Denegación distribuida de servicio DDoS Abreviatura DDoS Medios de propagación Red, correo, navegación de internet Código de familia F Código de sub familia F01 Clasificación temática familia Disponibilidad de servicio.

Descripción

1. El 20 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de los investigadores israelíes de ciberseguridad, la falla que afecta el protocolo DNS (sistema de nombres de dominio) que puede explotarse para lanzar ataques DDoS (denegación de servicio distribuido), a gran escala para eliminar sitios web específicos. Publicada el día 20 mayo 2020 en la página de Twitter de The hacker News.

2. Esta vulnerabilidad es llamada NXNSAttack, funciona enviando una solicitud de un dominio controlado por el atacante (por ejemplo, "attacker.com") a un servidor de resolución de DNS vulnerable, que reenviaría la consulta DNS al servidor autorizado controlado por el atacante.

3. La falla depende del mecanismo de autorización de DNS, para obligar a los desarrolladores, que son los que resuelven la respuesta a la consulta del DNS, a generar más consultas DNS a los servidores autorizados de elección del atacante, lo que puede causar una interrupción a escala de botnet en los servicios en línea.

4. Se recomienda:

Actualizar el software de resolución DNS a la última versión.

Fuentes de información h[tt]ps://thehackernews.com/2020/05/dns-server-ddos-attack.html

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-05-2020

Página: 7 de 18

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus Tipo de ataque Interrupción de servicios tecnológicos Abreviatura Intservtec Medios de propagación USB, disco, red, correo, navegación de internet Código de familia F Código de sub familia F02 Clasificación temática familia Disponibilidad del servicio

Descripción

1. El 20 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó una vulnerabilidad identificada como “CVE-2020-13154” a través de especialistas de seguridad informática de la corporación ZOHO, el 19 de mayo de 2020, que afectan el software de ManageEngine ServiceDesk Plus el cual logra acceder al despliegue de ataques de scripts entre sitios (XSS Cross-site scripting, secuencia de comandos).

2. Esta vulnerabilidad reportada permite a los actores de amenazas remotos obtener acceso a información potencialmente confidencial en el sistema, esta falla es debido a la salida excesiva de datos por parte de la aplicación, por el cual el hacker malicioso remoto autenticado podría descubrir la contraseña en el sistema File Protection (Protección de archivos de Windows).

3. Asimismo, permite a los hackers remotos desplegar ataques de scripts entre sitios (XSS), esto es debido a una incorrecta desinfección de los datos proporcionados por el usuario lo que utiliza el sistema File Protección, ante esto el actor de amenazas remotamente podría inyectar y ejecutar código HTML arbitrario.

4. Esta falla descubierta logra permitir a los atacantes remotos hacer desplegar el acceso a escalada de directorios, debido a un error de validación de entrada en el proceso secuencias transversales de directorio, los atacantes de amenazas podrían enviar solicitudes HTTP especialmente diseñadas para leer archivos en el sistema objetivo de forma arbitraria.

5. Se recomienda:

Instalar y configurar las actualizaciones de XSS del software ManageEngine ServiceDesk Plus desde paginas oficiales.

Fuentes de información

h[tt]ps://noticiasseguridad.com/vulnerabilidades/vulnerabilidades-xss-y-path-traversal-en-zoho-manageengine-servicedesk-plus-asegure-sus-cuentas/

h[tt]ps://www.securitynewspaper.com/2020/05/19/xss-path-traversal-vulnerabilities-in-zoho-manageengine-servicedesk-plus-secure-your-accounts/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-05-2020

Página: 8 de 18

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades de XSS en Zoho Manageengine Servicedesk Plus Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC Medios de propagación Red, navegación de internet Código de familia H Código de sub familia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 20 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento sobre la vulnerabilidad a Zoho Manageengine Servicedesk Plus (software de ayuda a gestión integrada de activos y proyectos) que permite el despliegue de ataque de scripts a sitios (XSS), esta información fue publicada el 19 de mayo de 2020 por la web de Noticias de Seguridad Informática.

2. Esta vulnerabilidad permite a los hackers remotos desplegar ataques de scripts entre sitios (XSS), esto es debido a una incorrecta desinfección de los datos proporcionados por el usuario en los contratos de activos. Por lo que un actor de amenazas remoto podría inyectar y ejecutar código HTML arbitrario, además de scripts en el navegador de la víctima haciéndolo un sitio web vulnerable.

3. Asimismo, la explotación exitosa de esta vulnerabilidad permitiría a los actores de amenaza extraer información confidencial, modificar la apariencia del sitio web y realizar ataques de phishing.

4. Se recomienda:

Instalar actualizaciones de los desarrolladores del software publicadas en la página web oficial de la empresa.

Fuentes de información h[tt]ps://noticiasseguridad.com/vulnerabilidades/vulnerabilidades-xss-y-path-traversal-en-zoho-manageengine-servicedesk-plus-asegure-sus-cuentas/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-05-2020

Página: 9 de 18

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidades en el editor de PDF Nitro Pro para ejecutar código de forma remota en host.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, Internet

Código de familia H Código de Subfamilia H01


Descripción

1. El 20 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 20 de mayo de 2020 a través de la red social Twitter por el usuario “@digitpol_cyber”, sobre una vulnerabilidad en el editor de PDF Nitro Pro, clasificada como crítica (puntuación CVSS de 8.8) podría ser explotada por los atacantes para la ejecución remota de código.

2. Nitro Pro es una aplicación PDF diseñada para crear, leer, editar, firmar, convertir y proteger archivos PDF. El software forma parte del conjunto de herramientas empresariales de Nitro Software.

3. La vulnerabilidad de ejecución remota de código fue identificada con el código (CVE-2020-6074) y afecta a las versiones del editor de PDF de Nitro Pro anteriores a [13.9.1.155].

4. Un documento PDF especialmente diseñado puede causar un uso libre después de lo cual puede conducir a la ejecución remota de código. Un atacante puede proporcionar un archivo malicioso para desencadenar esta vulnerabilidad.

5. Se recomienda:

Actualizar Nitro Pro, a la última versión disponible [13.16.2.300].

Tener siempre actualizado el SO y el programa antivirus.

Fuentes de información h[tt]ps://twitter.com/digitpol_cyber/status/1262849435127762944 h[tt]ps://securityaffairs.co/wordpress/103498/hacking/nitro-pro-pdf-flaws.html

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 20-05-2020

Página: 10 de 18

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Aerolínea Easyjet sufre ciberataque y expone 9 millones de datos de clientes Tipo de ataque Captura de información confidencial Abreviatura CIC Medios de propagación Red, Internet Código de familia K Código de sub familia K02 Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 20 de mayo de 2020, mediante la búsqueda y monitoreo en el ciberespacio, se identificó el robo de datos de más de 9 millones de usuarios de la empresa EasyJet, y aproximadamente 2.208 clientes también habrían sido víctimas de este robo de información personal, el cual incluye los datos de su tarjeta de crédito, aunque no se accedió a los detalles del pasaporte, hasta el momento no se tiene conocimiento que los datos hayan sido ofrecidos en mercados de la Surface web o de la darkweb. Esta no sería la primera vez que la empresa EasyJet tiene este tipo de problemas, debido a eso actualmente se encuentra en una reestructuración de su equipo de TI y actualización de sus sistemas de seguridad. Los clientes afectados serán notificados antes del 26 de mayo.

2. Los datos de la tarjeta de crédito robada incluyeron los tres códigos de seguridad digital, conocidos como el número CVV, en el reverso de la tarjeta.

3. EasyJet indica que están notificando a los miles de clientes que sufrieron el robo de correo electrónico, con la finalidad de que permanezcan vigilantes, especialmente si reciben comunicaciones no solicitadas y que puedan contener ataques de phishing.

4. Se recomienda:

Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).

Adquirir un certificado de seguridad para proteger el sitio web.

Contratar un escáner de seguridad para el sitio web.

Realizar copias de seguridad del sitio web con frecuencia.

Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.

Tener softwares actualizados. o aplicación de parches.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-05-2020

Página: 11 de 18

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Nuevo troyano “WolfRAT” afecta a usuarios de WhatsApp y Facebook Messenger Tipo de ataque Troyanos Abreviatura Troyanos Medios de propagación USB, Disco, Red, Correo, Navegación de Internet Código de familia C Código de sub familia C01 Clasificación temática familia Código malicioso

Descripción

1. El 20 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un nuevo troyano denominado WolfRAT, dirigido a usuarios de aplicaciones de mensajería WhatsApp y Facebook Messenger para recopilar información.

2. El vector de infección del troyano WolfRAT es a través de enlaces de phishing y actualizaciones falsas enviados a los dispositivos de los usuarios haciéndose pasar por servicios legítimos, como aplicaciones de Google Play o actualizaciones de Flash mediante el uso de iconos, una vez instalado realizará funciones de espionaje incluida la recopilación de datos.

3. El Troyano WolfRAT es un malware que tiene la capacidad incluida de grabación y captura de pantalla, además de acceder a derechos de acceso privilegiados de las aplicaciones de Facebook Messenger, WhatsApp y Line en los dispositivos de las víctimas.

4. Se recomienda:

Evitar acceder a enlaces de dudosa procedencia.

Evitar descargar archivos de enlaces desconocidos.

Cambiar contraseñas regularmente.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-05-2020

Página: 12 de 18

Componente que Reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad en la compañía Palo Alto


Medios de propagación Red, internet

Código de familia H Código de sub familia H01


Descripción

1. El 20 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar en la red Social Twitter, al usuario con el nombre “Cert Totalsec”, (@Cert_Totalsec), quien publicó la vulnerabilidad crítica de un archivo temporal inseguro que ataca las trampas de redes de la empresa de ciberseguridad “Palo Alto Networks le”. Esta vulnerabilidad permite al ciberdelincuente convertirse en un usuario local autenticado, escalar privilegios o sobrescribir archivos en el sistema y tener el control de la información almacenada.

2. Se recomienda:

Las unidades y dependencias que hagan uso de los productos y servicios de la compañía “Palo Alto Networks”, deben identificar la vulnerabilidad y corregir, ya que viene a ser parte de un archivo temporal.

Fuentes de información h[tt]ps://twitter.com/Cert_Totalsec/status/1262428170743152640 h[tt]ps://security.paloaltonetworks.com/CVE-2020-1991

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-05-2020

Página: 13 de 18

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Compañía Apple, tiene vulnerabilidad critica en sus equipos


Medios de propagación Red, internet

Código de familia H Código de sub familia H01


Descripción

1. El 20 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar en la red Social Twitter, al usuario con el nombre “Cert Totalsec”, (@Cert_Totalsec), quien publicó una vulnerabilidad crítica (CVE – 2019- 8802) de la empresa “Apple Inc.”, esta vulnerabilidad permite al ciberdelincuente acceder remotamente como usuario y obtener privilegios del sistema Apple, debido a una falla en el componente de páginas de su manual digital.

2. Se recomienda:

Los usuarios que tengas dispositivos de la marca Apple, deberán realizar las actualizaciones recomendadas para minimizar los riesgos de la vulnerabilidad.

Fuentes de información h[tt]ps://twitter.com/Cert_Totalsec/status/1262428095040143365 h[tt]ps://www.exploit-db.com/exploits/48464

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-05-2020

Página: 14 de 18

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Ransomware “NetWalker” utiliza nuevas técnicas para evitar la detección

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de sub familia C09

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

Se ha tomado conocimiento que, los investigadores de Trend Micro han indicado que los ataques de ransomware “NetWalker” han comenzado a emplear nuevas técnicas para evitar la detección, ahora involucran malware que no se compila, sino que se escribe en PowerShell y se ejecuta directamente en la memoria, sin almacenar el binario de ransomware real en el disco. Esto hace que esta variante de ransomware sea una amenaza sin archivos, lo que le permite mantener la persistencia y evadir la detección al abusar de las herramientas que ya están en el sistema para iniciar ataques.

Los atacantes ahora están agregando la inyección reflectante de DLL en su arsenal de ransomware en un intento de hacer que sus ataques sean imposibles de rastrear y más difíciles de investigar por los analistas de seguridad. Estos tipos de ataques pueden afectar tremendamente a las víctimas y pueden ser muy difíciles de recuperar. El empleo de medidas preventivas adecuadas, como la aplicación de mejores prácticas, minimizará en gran medida el riesgo de infección.

El ransomware en sí mismo representa una amenaza formidable para las organizaciones. Como una amenaza sin archivos, el riesgo aumenta, ya que puede evadir más efectivamente la detección y mantener la persistencia. Las amenazas combinadas como esta hacen uso de múltiples técnicas, por lo que es necesario que las organizaciones utilicen varias capas de tecnologías de seguridad para proteger eficazmente sus puntos finales, como soluciones de seguridad que emplean monitoreo de comportamiento y detecciones basadas en el comportamiento.

2. Detalles

Este tipo de amenaza aprovecha una técnica llamada inyección de biblioteca reflexiva de enlace dinámico (DLL), también conocida como carga reflectante de DLL. La técnica permite la inyección de una DLL desde la memoria en lugar de desde el disco. Esta técnica es más sigilosa que la inyección DLL normal porque, además de no necesitar el archivo DLL real en el disco, tampoco necesita ningún cargador de Windows para que se pueda inyectar. Esto elimina la necesidad de registrar la DLL como un módulo cargado de un proceso, y permite la evasión de las herramientas de monitoreo de carga de DLL.

La infección comienza con un script de PowerShell muy ofuscado y cifrado detectado como Ransom.PS1.NETWALKER.B.

Una vez decodificado y ofuscado, identifica la arquitectura del sistema para determinar si se debe usar un binario de 32 bits o de 64 bits. El binario relevante, incrustado en el script de PowerShell en formato hexadecimal, se decodifica y se inyecta en la memoria del legítimo proceso de explorer.exe.

El script también realiza la función de eliminar las copias de Shadow Volume para evitar la recuperación de sus archivos cifrados. La carga útil de NetWalker funciona de manera similar a las versiones anteriores. Primero mata los procesos y servicios relacionados con documentos de usuario, software de respaldo y programas antivirus. El ransomware detiene los procesos relacionados con el software de seguridad para evadir la detección y finalización de sus actividades

http://www.gob.pe/



www.gob.pe

[email protected]

maliciosas. Además, finaliza los procesos relacionados con los datos y documentos del usuario, así como el software para crear copias de seguridad. Luego procederá a cifrar los archivos creados a través de esas aplicaciones.

NetWalker se dirige principalmente a los archivos de los usuarios, como documentos de Office, PDF, imágenes, videos, audio y archivos de texto, entre otros. Además, evita el cifrado de archivos críticos como ejecutables, bibliotecas de enlaces dinámicos, registros u otros archivos relacionados con el sistema. Finalmente, se realiza el cifrado y se emite una nota de rescate que proporciona instrucciones para pagar el rescate a cambio de descifrado.

Esta variante de NetWalker es similar a sus predecesores en términos de comportamiento. Cambia el nombre de los archivos cifrados con 6 caracteres aleatorios como extensión y dejan caer notas de rescate en varias carpetas del sistema, y abre una después de que ha cifrado los datos y documentos de la víctima.

3. Indicadores de compromiso (IoC):

SHA-256

f4656a9af30e98ed2103194f798fa00fd1686618e3e62fba6b15c9959135b7be, Ransom.PS1.NETWALKER.B.

4. Recomendaciones:

Realizar regularmente copias de seguridad de datos críticos para mitigar los efectos de un ataque de ransomware.

No descargar o abrir archivos adjuntos que recibamos en nuestro e-mail. Tampoco acceder a posibles links fraudulentos que puedan poner en riesgo nuestros sistemas. Estos enlaces fraudulentos pueden llegar también a través de las redes sociales o incluso aplicaciones de mensajería instantánea como puede ser WhatsApp.

Utilizar una solución de seguridad Endpoint con protección contra amenazas de archivos, y mantenerla siempre actualizada para que pueda detectar los últimos tipos de malware.

Bloquear los indicadores de compromisos (IoC) mostrados, en los dispositivos de seguridad de su infraestructura.

Aplicar los últimos parches y actualizaciones de software del sistema operativo y de terceros.

Implementar la lista blanca de aplicaciones en sus puntos finales para bloquear todas las aplicaciones desconocidas y no deseadas.

Asegure el uso de PowerShell aprovechando su capacidad de registro para monitorear el comportamiento sospechoso.

Use los comandos de PowerShell como “Constrained Language Mode” para proteger los sistemas contra el código malicioso.

Configure los componentes del sistema y desactive los no utilizados y desactualizados para bloquear posibles puntos de entrada.

Ejercer buenas prácticas de seguridad de correo electrónico y sitio web.

Proporcione a su equipo de SOC acceso a la última Inteligencia de amenazas, para mantenerse actualizado con las nuevas y emergentes herramientas, técnicas y tácticas utilizadas por los actores de amenazas y los ciberdelincuentes.

Fuentes de información hxxps://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-

ransomware-injected-via-reflective-loading/ hxxps://exchange.xforce.ibmcloud.com/collection/a23229b625fa753d299be29129ff11b0

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-05-2020

Página: 16 de 18

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Phishing, a través de página falsa de telefónica movistar.

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de sub familia G02

Clasificación temática familia Fraude

Descripción

1. El 19 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de phishing, a través de la plataforma de mensajería Telegram, el cual suplantan la página web oficial de la compañía multinacional de telecomunicaciones Telefónica movistar, ofreciendo supuestas promociones de saldo con descuento por 12 meses, teniendo como requisito principal registrarse con el número telefónico y datos del titular.

Imágenes del de proceso de la estafa.

4 3

1 2

5

Solicita crear

una cuenta

movistar y

luego realizar

un pago vía

online.

http://www.gob.pe/



www.gob.pe

[email protected]

2. Para la realización de este tipo de phishing, se ha utilizado los siguientes IoC: URL

o hxxp://ofertas-movistar[.]com Análisis: No fue detectado como phishing.

o hxxp://ofertas-movistar[.]com/vericatcelular[.]php Análisis: Detectado como Phishing.

o IP: 107.180.48.116 Dominio: GoDaddy.com, LLC

ISP: GoDaddy.com, LLC

País: Estado Unidos

o Topología de IP.

hxxps://ofertas-movistar.com

o Topología de URL.

Referencia:

La página falsa que suplanta la página web oficial de la compañía multinacional de telecomunicaciones Telefónica movistar, es característico de un phishing, el cual tiene la finalidad de engañar al usuario a que piensen que es una página oficial y de esa manera ingresen sus datos personales y/o bancarios.

3. Se recomienda:

Verifica la información en los sitios web oficiales de la empresa.

No introduzcas datos personales en páginas sospechosas.

Preguntar a otros usuarios, sobre lo ofertado.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información Análisis propio en redes sociales y fuentes abiertas

Archivos que se

comunican con la IP

en un entorno

seguro

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 18 de 18

Índice alfabético

botnet ................................................................................................................................................................................ 6 Captura de información confidencial .............................................................................................................................. 10 Código malicioso ........................................................................................................................................................ 11, 14 Correo electrónico ........................................................................................................................................................... 14 Correo electrónico, redes sociales, entre otros .............................................................................................................. 14 DDoS .............................................................................................................................................................................. 2, 6 Denegación de servicio DoS .............................................................................................................................................. 5 Denegación distribuida de servicio DDoS .......................................................................................................................... 6 Disponibilidad del servicio ................................................................................................................................................. 7 exploits ............................................................................................................................................................................ 13 Exploits .............................................................................................................................................................................. 4 Explotación de vulnerabilidades conocidas ........................................................................................................... 9, 12, 13 Fraude .......................................................................................................................................................................... 3, 16 hxxp ............................................................................................................................................................................. 3, 17 Intento de intrusión ....................................................................................................................................... 5, 8, 9, 12, 13 internet .............................................................................................................................................................................. 8 Interrupción de servicios tecnológicos .............................................................................................................................. 7 malware ............................................................................................................................................................... 11, 14, 15 phishing ............................................................................................................................................. 2, 3, 8, 10, 11, 16, 17 Phishing ............................................................................................................................................................. 2, 3, 16, 17 ransomware ............................................................................................................................................................... 14, 15 Ransomware ................................................................................................................................................................ 2, 14 Red, correo, navegación de internet ............................................................................................................................. 5, 6 Red, internet .............................................................................................................................................................. 12, 13 redes sociales ......................................................................................................................................................... 1, 15, 17 Redes sociales .............................................................................................................................................................. 3, 16 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................................... 16 servidor .......................................................................................................................................................................... 5, 6 servidores .......................................................................................................................................................................... 6 software ................................................................................................................................................. 4, 6, 7, 8, 9, 14, 15 Troyanos .......................................................................................................................................................................... 11 URL ............................................................................................................................................................................... 3, 17 USB, disco, red, correo, navegación de internet ........................................................................................................... 4, 7 Uso inapropiado de recursos ........................................................................................................................................... 10 Vulnerabilidad...................................................................................................................................................... 2, 4, 7, 12 Vulnerabilidades .................................................................................................................................................... 2, 5, 8, 9

http://www.gob.pe/


Lima, 20 de mayo de 2020

Documents

Transcript of Lima, 20 de mayo de 2020