Lima, 21 de mayo de 2020...Medios de propagación USB, disco, red, correo, navegación de internet...

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 21 de mayo de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Filtran registros de usuarios de la aplicación Wishbone ............................................................................... 3

Vulnerabilidad de ejecución remota de código abierto en Apache Tomcat ................................................. 4

Vulnerabilidad de Cross Site Scripting en el núcleo Drupal . ......................................................................... 5

Vulnerabilidad de inyección de SQL en SCHNEIDER ELECTRIC ...................................................................... 6

Vulnerabilidad en el agente de transporte de correo Qmail ........................................................................ 7

Vulnerabilidades en Elementor Pro Plugin en sitios de Wordpress .............................................................. 8

Nueva extensión del navegador BotSight identifica Bots en Twitter ............................................................ 9

Ciberataque a Mitsubishi Electric podría filtrar datos de un nuevo misil ...................................................10

Filtración del kit de exploits “Ghostdns” .....................................................................................................11

Nuevo ransonmware para encriptar archivos “Paradox” ...........................................................................12

Ramsay , el malware que ataca las redes aisladas ......................................................................................13

Malware COMpfun realiza ataque Man in The Middle ...............................................................................14

Ransomware “Ragnar Locker” implementa una máquina virtual con Windows XP para esquivar la

seguridad y atacar a sus víctimas ................................................................................................................15

Vulnerabilidades en el sistema operativo de Microsoft Windows ..............................................................18

Página web falsa de Interbank empresarial ................................................................................................20

Índice alfabético ..........................................................................................................................................21

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 047

Fecha: 21-05-2020

Página: 3 de 21

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Filtran registros de usuarios de la aplicación Wishbone

Tipo de ataque Divulgación no autorizada de información Abreviatura DivNoActInfoPer

Medios de propagación Internet

Código de familia A Código de sub familia A01

Clasificación temática familia Acceso no autorizado

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la aplicación Wishbone fue víctima de filtración de aproximadamente 40 millones de registros de usuarios, el incidente inicialmente habría ocurrido la última semana del mes de enero del presente año y fue filtrada hace unos días en los foros de los ciberdelincuentes.

2. Detalles de la alerta:

Wishbone es una aplicación popular para los sistemas operativo para dispositivos móviles de iOS y Android que permite a los usuarios crear comparaciones entre dos imágenes para que las personas puedan votar.

Un ciberdelincuente ha filtrado aproximadamente de 40 millones de registros de usuarios de Wishbone que contiene información personal, por lo tanto, representa un riesgo para los usuarios, debido a que posteriormente podría ser utilizada para algún tipo de delito informático.

Según investigación previas por parte de especialista en ciberseguridad, el incidente habría ocurrido la última semana del mes de enero del presente año. Para poder confirmar de forma independiente que los datos son legítimos, se realizó una entrevista a algunos usuarios de la aplicación, en la cual han confirmado la veracidad de sus datos.

Asimismo, los datos expuestos incluyen nombres de usuario, direcciones de correo electrónico, contraseñas hash MD5, números móviles, tokens de acceso de Facebook y Twitter, género, fecha de nacimiento, MD5, imágenes de perfil y mucho más.

Al parecer, el objetivo inicial del ciberdelincuente era vender la base de datos al mejor postor, pero también hay otros ciberdelincuentes que la están ofertando a precios mucho más bajo, es así, que al final la información la está exponiendo de forma gratuita en foros de los ciberdelincuentes en la Deep web.

3. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Realizar cambio de contraseñas periódicamente en las aplicaciones que se tienen acceso.

Utilizar contraseñas que sean seguras y complejas.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 21-05-2020

Página: 4 de 21

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad de ejecución remota de código abierto en Apache Tomcat

Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC

Medios de propagación Red, navegación de internet

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada a través de la red social de Twitter por el usuario “@haxf4rall”, sobre una vulnerabilidad de ejecución remota de código en Apache Tomcat, esta vulnerabilidad fue reportada por Jarvis Threedr3am de investigación de seguridad pdd, el identificador asignado a esta vulnerabilidad es el CVE-2020-9484.

2. Esta vulnerabilidad, se debe a una validación incorrecta de los datos deserializados, el cual podría permitir que un atacante autenticado a distancia ejecute código arbitrario en el sistema, ya que, si puede controlar el contenido y el nombre de un archivo en el servidor, puede ejecutar código arbitrario, mediante la deserialización del archivo bajo su control, el cual se envía mediante una solicitud específicamente diseñada.

3. Las versiones afectadas de Apache Tomcat:

Apache Tomcat desde la 7.0.0, hasta la 7.0.103;

Apache Tomcat desde la 8.5.0, hasta la 8.5.54;

Apache Tomcat desde la 9.0.0.M1, hasta la 9.0.34;

Apache Tomcat desde la 10.0.0-M1, hasta la 10.0.0-M4.

4. Se recomienda:

Actualizar a Apache Tomcat 7.0.104 o posterior.



Actualizar a Apache Tomcat 10.0.0-M5 o posterior.

Fuentes de información https[:]//twitter.com/haxf4rall/status/1263468643876311041 https[:]//tomcat.apache.org/security.html

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 21-05-2020

Página: 5 de 21

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad de Cross Site Scripting en el núcleo Drupal .

Tipo de ataque Ataque por injection de scripts maliciosos Abreviatura AinjScmal

Medios de propagación Red, internet, redes sociales

Código de familia L Código de sub familia L01

Clasificación temática familia Vandalismo

Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de las vulnerabilidades “CVE-2020-11022” y “CVE-2020-11023” en la empresa Drupal (es un sistema de gestión de contenidos) que permite publicar artículos, imágenes, archivos y que también ofrece la posibilidad de otros servicios añadidos como foros, encuestas, votaciones, blogs, administración de usuarios y permisos. Esta vulnerabilidad es crítica ya que ataca al módulo de jQuery (biblioteca multiplataforma de JavaScript).

2. Estas vulnerabilidades pueden ser explotables en algunos sitios de Drupal con el método de Cross Site Scripting (XXS) que tiene lugar cuando se accede a una web. Si un usuario visita una web para introducir información de inicio de sesión, el navegador envía un formulario con datos al servidor. El servidor concede el acceso al sitio web, si los datos son correctos. Un ataque de cross site scripting tiene lugar exactamente entre estas dos webs y éstas no tienen por qué ser diferentes sitios con URL diferentes. Más bien, la técnica XXS se utiliza para que los sitios generados dinámicamente se interpongan entre el cliente y el servidor mientras se introducen los datos. Las respuestas del servidor son imitadas para enviar los datos introducidos por el usuario a una dirección, que el atacante determina.

3. Se recomienda:

Actualizar el programa según el siguiente detalle:

o Si está utilizando Drupal 8.8, actualice a Drupal 8.8.6 .

o Si está utilizando Drupal 8.7, actualice a Drupal 8.7.14 .

o Si está utilizando Drupal 7, actualice a Drupal 7.70 .

o Las versiones de Drupal 8 anteriores a la 8.7 son al final de la vida útil y no reciben cobertura de seguridad. Los sitios en 8.6 o anteriores deberían actualizarse a 8.7.14.

Fuentes de información https[:]//www.drupal.org/sa-core-2020-002

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 047

Fecha: 21-05-2020

Página: 6 de 21

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad de inyección de SQL en SCHNEIDER ELECTRIC

Tipo de ataque Interrupción de servicios tecnológicos Abreviatura Intservtec

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia F Código de sub familia F02

Clasificación temática familia Disponibilidad del servicio

Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó vulnerabilidades que afectan el producto EcoStruxure Operator Terminal Expert detectado por especialistas de seguridad informática en la nube de la compañía SCHNEIDER ELECTRIC, el 18 de mayo del 2020, que podría permitir la inyección de SQL, entre otros escenarios de riesgo.

2. La vulnerabilidad permite de una forma remota a los atacantes de la web ejecutar consultas SQL arbitrarias en una base de datos expuesta, esta falla es debido a la desinfección insuficiente de la entrada del usuario al analizar los parámetros "load_extension" (esta interfaz permite cargar librerías de consultas de una determinada base de datos con extensiones SQL)

3. Esta falla también permite a los atacantes comprometer un sistema vulnerable debido a la firma en la que se manejan los archivos VXDZ (este tipo de archivo se asocian más comúnmente con archivos auxiliares de aplicaciones, tales como archivos de controlador de dispositivo virtual de Windows o archivos de controlador de valor agregado.), ya que la aplicación carga bibliotecas DLL de manera insegura, los atacantes maliciosos podrían engañar a la víctima para que abra un archivo .dll especialmente diseñado, ejecutando un código arbitrario en el sistema de destino.

4. También esta falla permite realizar ataques de escalado de directorio y existe debido a un error de validación entrante al procesar secuencias de directorio y daña el acceso remoto para obtener la escritura del sistema. Por tanto, un hacker, al percibir estas fallas, puede dañar a un usuario objetivo para que abra un archivo VXDZ especialmente diseñado para que pueda ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación que permitiría realizar modificaciones de escritura y eliminar o modificar información en la base de datos y obtener un control completo sobre la aplicación afectada.

5. Se recomienda:

Actualizar la aplicación del producto EcoStruxure Operator Terminal Expert desde su página oficial.

Fuentes de información

https[:]//www.securitynewspaper.com/2020/05/18/sql-injection-other-vulnerabilities-in-schneider-electric-ecostruxure-operator-terminal-expert-affect-thousands-of-manufacturing-plants/

https[:]//noticiasseguridad.com/vulnerabilidades/la-inyeccion-sql-y-otras-vulnerabilidades-en-schneider-electric-ecostruxure-operator-terminal-expert-afectan-a-miles-de-fabricas/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 21-05-2020

Página: 7 de 21


Nombre de la alerta Vulnerabilidad en el agente de transporte de correo Qmail

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet



Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 20 de mayo del 2020 a través de la red social Twitter por el usuario “@FOSSForce”, sobre una nueva manera de explotar una vulnerabilidad conocida en Qmail, permite la ejecución remota de código (RCE) y la ejecución de código local. Afecta a las versiones de Qmail anteriores a v1.50.

2. Qmail es un servidor de correo electrónico hecho para Unix. Utiliza el formato maildir para almacenar mensajes, distribuido como código fuente, escrito en lenguaje C.

3. Investigadores de “Qualys”, como prueba de concepto desarrollaron un explotación confiable, local y remota (para CVE.1015.1513) contra el paquete Qmail de Debian en su configuración predeterminada. Esta prueba permite a un atacante web ejecutar comando shell arbitrario como cualquier usuario, excepto root.

4. Las vulnerabilidades también afectan el proceso local de Qmail, al que se puede acceder de forma remota y no está limitado por la memoria de forma predeterminada.

5. Se recomienda:

Actualizar Qmail, a la última versión disponible v1.50.

Tener siempre actualizado el SO y el programa antivirus.

Fuentes de información https[:]//twitter.com/FOSSForce/status/1263451480603967489 https[:]//lwn.net/Articles/820969/rss

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 21-05-2020

Página: 8 de 21


Nombre de la alerta Vulnerabilidades en Elementor Pro Plugin en sitios de Wordpress

Tipo de ataque Interrupción de servicios tecnológicos Abreviatura Intservtec


Código de familia F Código de sub familia F02

Clasificación temática familia Disponibilidad del Servicio

Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de especialistas de seguridad informática de la organización de Wordpress, el 20 de mayo del 2020 detectaron una vulnerabilidad identificada como “CVE-2020-13125” que afectan el conjunto de aplicaciones con otra vulnerabilidad presente en Ultimate Addons for Elementor,

2. Esta vulnerabilidad está presente en Addons for Elementor, este es un plugin que funciona como extensión de Elementor, agregando múltiples widgets adicionales, uno de estos widgets agrega un formulario de registro en cualquier sitio de WordPress, la falla permite a los usuarios registrarse incluso si esta función está inhabilitada o si el widget del formulario no es usado de forma activa.

3. También cuando un plugin es configurado con capacidad de cargar archivos, siempre se deben incluir medidas de seguridad adecuadas para evitar que usuarios no autorizados carguen archivos o esquiven cualquier filtro de archivo o de privilegios en el sitio. Por desgracia, la funcionalidad de carga de “Ícono Personalizado” en Elementor Pro no cuenta con las medidas de seguridad apropiadas. Un actor de amenazas podría aprovecharse de esta condición para cargar archivos maliciosos, como shells o backdoors.

4. Acorde a investigación el Elementor Pro registra un Endpoint AJAX utilizado para activar la función de carga de iconos. Ni la acción AJAX ni la función de carga cuentan con comprobación de permisos, lo que permitiría a cualquier usuario autenticado la capacidad de activar involuntariamente la función y cargar un archivo Zip.

5. Se recomienda:

Instalar las actualizaciones de plugin lanzadas por los desarrolladores en páginas oficiales.

Fuentes de información

https[:]//www.securitynewspaper.com/2020/05/20/2-zero-day-vulnerabilities-in-elementor-pro-plugin-affect-1-million-wordpress-websites/

https[:]//noticiasseguridad.com/vulnerabilidades/dos-vulnerabilidades-de-dia-cero-en-elementor-pro-plugin-afectan-a-1-millon-de-sitios-de-wordpress/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 21-05-2020

Página: 9 de 21


Nombre de la alerta Nueva extensión del navegador BotSight identifica Bots en Twitter

Tipo de ataque Pishing Abreviatura Pishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de sub familia G01

Clasificación temática familia Fraude

Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información publicada el 15 de mayo del 2020, referente a la nueva extensión del navegador llamada “BotSight” que tiene como objetivo revelar qué cuentas de Twitter son bots o humanos reales para que pueda juzgar la veracidad de sus tweets. Las redes sociales se han convertido en un hervidero de campañas de desinformación difundidas mediante el uso de bots que responden automáticamente a los tweets con información falsa que se ajusta a una narrativa particular. Ya sea que esta información falsa esté relacionada con la política, la economía, la epidemia de COVID-19 o incluso campañas de desprestigio, el objetivo de estos bots es lograr que suficientes personas crean creencias falsas para que comiencen a difundirlas. Esto no quiere decir que todos los bots se crean para difundir información falsa, ya que muchos bots se utilizan para publicar contenido legítimo de manera automatizada.

2. Lanzado por NortonLifeLock Research Group (anteriormente conocido como Symantec Research Labs), la extensión del navegador BotSight mostrará un pequeño ícono y una puntuación porcentual junto a cada cuenta para indicar si está clasificada como una persona real o un bot. Por ejemplo, a continuación se muestra la cuenta de Twitter de BleepingComputer, que BotSight ha clasificado como operada por una persona real. Esta clasificación se muestra mediante el ícono humano y una puntuación que indica la probabilidad de que la cuenta sea humana.

3. Los bots, por otro lado, mostrarán un pequeño icono de robot, como se muestra a continuación. Por ejemplo, la cuenta a continuación ha sido clasificada por Twitter como un 93% de probabilidades de ser un bot. Para clasificar una cuenta, el algoritmo de aprendizaje automático analizará 20 características diferentes, incluida la cantidad de publicaciones que le han gustado a la cuenta, su tasa de adquisición de seguidores y la entropía de su nombre, según explica Daniel Kats, investigador principal de NortonLifeLock, asimismo afirmo que muchos investigadores existentes en la detección de bots usan un conjunto de datos más antiguo de actividad de bot conocida que no exhibe el comportamiento actual de los mismos. Para entrenar sus algoritmos contra las tácticas actuales, NortonLifeLock creó un nuevo conjunto de datos de 4TB de actividad de Twitter que pueden probar sus algoritmos de aprendizaje automático.

4. Se recomienda:

Cualquier usuario también pueden usarlo para detectar si una cuenta es un bot o si la información debe ser confiable, la extensión del navegador BotSight, esta disponible en Chrome, Brave y Firefox.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/new-botsight-browser-extension-reveals-twitter-bots/

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 21-05-2020

Página: 10 de 21

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Ciberataque a Mitsubishi Electric podría filtrar datos de un nuevo misil

Tipo de ataque Captura de información confidencial Abreviatura CIC


Código de familia K Código de sub familia K02

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 21 de mayo del 2020, mediante la búsqueda y monitoreo en el ciberespacio, se identificó que un grupo de hackers chinos habrían robado Información sensible sobre el desarrollo de un misil de ataque a la empresa japonesa MITSUBISHI ELECTRIC. Aunque los datos no fueron clasificados como secreto de alto nivel, todavía se trata de "información sensible relacionada con el futuro de las capacidades de defensa de Japón". El ciberataque fue perpetrado por el grupo de 'hackers' chinos Tick y por otro llamado Black Tech, presuntamente controlados por los militares chinos.

2. El prototipo del misil pirateado es el HGV, el cual es un planeador de velocidad utilizado por países como Estados Unidos, China y Rusia, que vuela a velocidades supersónicas a largas distancias y puede pasar a través de redes enemigas de defensa antimisiles para realizar ataques de precisión. El ciberataque tuvo lugar el 28 de junio de 2019, pero solo se hizo público este año. Mitsubishi reconoció el ciberataque y el posible robo de datos pertenecientes a aproximadamente 8,000 personas.

3. El misil prototipo avanzado fue diseñado para ser desplegado en las islas remotas de Japón como disuasión de las actividades militares realizadas por China en el área.

Fuentes de información Comandancia de Ciberdefensa, Osint.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 21-05-2020

Página: 11 de 21


Nombre de la alerta Filtración del kit de exploits “Ghostdns”

Tipo de ataque Exploits Abreviatura Exploits


Código de familia C Código de sub familia C01

Clasificación temática familia Código malicioso

Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un kit de explotación de enrutadores denominado GhostDNS que utiliza solicitudes de falsificación en sitios web, con la finalidad de cambiar la configuración de DNS y enviar a los usuarios a páginas de phishing para robar sus credenciales de inicio de sesión en diversos servicios en línea.

2. El vector de ataque de GhostDNS obliga a los usuarios ejecutar peticiones no deseadas en la web, una vez que el usuario realiza dicha petición comienza una búsqueda de la dirección IP interna del enrutador, para luego ser redireccionado a un sitio web malicioso.

3. El malware GhostDNS realiza un escáner masivo que busca enrutadores expuestos en el internet público, para luego acceder al dispositivo y cambiar la configuración DNS, utilizando el ataque de fuerza bruta manejando un pequeño diccionario de 22 credenciales

4. Se recomienda:

Evitar acceder a enlaces de dudosa procedencia.

Comprobar la cabecera HTTP cuando se realice una petición.

Desactivar los scripts en el navegador o utilizar un complemento que los bloquee.

Actualizar la última versión de los navegadores.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 21-05-2020

Página: 12 de 21


Nombre de la alerta Nuevo ransonmware para encriptar archivos “Paradox”

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros



Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó de un nuevo ransonware denominado PARADOX que encripta todos los datos esenciales almacenados en diversos sistemas. El método de distribución del ransonware PARADOX es enviar correos electrónicos no deseados, los cuales contienen enlaces y notificaciones maliciosas, para posteriormente invitar a que los usuarios descarguen los archivos adjuntos o hagan clic en ciertos enlaces de descarga.

2. Una vez que el archivo está encriptado, ransonware PARADOX agrega la extensión ".paradox" para cada archivo, colocando una clave específica en las diferentes carpetas que contienen los datos cifrados, para luego mostrar un mensaje indicando que la información esta encriptada y la única manera de recuperar es usar la clave de cifrado especial.

3. El ransonware PARADOX también se presenta como un software legítimo, sugiriendo a los usuarios que realicen algunas actualizaciones de la aplicación para luego convencer a los usuarios que descarguen e instalen la infección de Paradox manualmente, a través del proceso de instalación del software.

4. Se recomienda:

Evitar abrir correos electrónicos de remitentes desconocidos.

Leer bien los términos y condiciones de las distintas aplicaciones antes de descargar.

Crear copias de seguridad de información relevante.

Tener softwares actualizados.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 21-05-2020

Página: 13 de 21

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Ramsay , el malware que ataca las redes aisladas

Tipo de ataque Programa malicioso Abreviatura Malware




Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los investigadores de la compañía de seguridad informática “ ESET”, han descubierto un malware denominado “Ramsay”, que es utilizado para extraer y recolectar documentos con información confidencial y es capaz de operar aprovechándose de las redes aisladas (conocidas como «pared de aire» son una medida de seguridad en la red empleadas en las computadoras para garantizar que la red informática sobre la que se aplica esté físicamente aislada de redes que no sean seguras, como podría ser la internet pública o una red local no segura).

2. Se recomienda:

Los administradores de red, deben implementar un firewall o cortafuegos y una red local denominada Zona desmilitarizada o DMZ para filtrar el tráfico de red entrante y saliente.

Fuentes de información https[:]//unaaldia.hispasec.com/2020/05/ramsay-el-malware-que-se-aprovecha-de-las-redes-aisladas-para-realizar-labores-de-ciberespionaje.html

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 21-05-2020

Página: 14 de 21

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Malware COMpfun realiza ataque Man in The Middle

Tipo de ataque Programa malicioso Abreviatura Malware




Descripción

1. El 21 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los investigadores de la compañía de seguridad informática “Kaspersky”, han descubierto un malware denominado “COMpfun”, que es utilizado para extraer y recolectar documentos con información confidencial y es capaz de conocer la geolocalización, realizar capturas de pantalla, registrar las pulsaciones de teclas (keylogger) y obtener información que redacta el objetivo mediante el ataque “man in the middle “(ataque que permite tener la capacidad de leer, insertar, modificar interceptar el tráfico de red entrante y saliente entre dos objetivos ).

2. Se recomienda:

Los usuarios deben mantener los sistemas y aplicaciones actualizados, nos referimos a los sistemas operativos, al navegador, así como cualquier otro tipo de herramienta que utilicemos.

Fuentes de información https[:]//unaaldia.hispasec.com/2020/05/el-malware-compfun-utiliza-codigos-de-error-http-como-comandos.html

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 21-05-2020

Página: 15 de 21

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Ransomware “Ragnar Locker” implementa una máquina virtual con Windows XP para esquivar la seguridad y atacar a sus víctimas

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros



Descripción

1. Resumen:

Se ha tomado conocimiento que los investigadores de Mitigación de Amenazas de SophosLabs, han detectado en un ataque reciente, el ransomware “Ragnar Locker” que se implementó dentro de una máquina virtual Oracle VirtualBox con Windows XP. La carga útil de ataque fue un instalador de 122 Mb con una imagen virtual de 282 Mb en el interior, todo para ocultar un ejecutable de ransomware de 49 kb.

Los actores de amenaza detrás de Ragnar Locker roban los datos de redes específicas antes de lanzar el ransomware, para obligar a sus víctimas a pagar el rescate, y exigir el pago en criptomoneda Bitcoin, de lo contrario amenazan con filtrar los datos si el rescate no es pagado.

2. Detalles

En ataques anteriores, el grupo Ragnar Locker ha utilizado ataques de proveedores de servicios administrados o ataques en las conexiones del Protocolo de escritorio remoto (RDP) de Windows para establecerse en las redes específicas. Después de obtener acceso de nivel de administrador al dominio de un objetivo y el robo de datos, han utilizado herramientas administrativas nativas de Windows como PowerShell y Windows Group Policy Objects (GPO) para moverse lateralmente a través de la red a clientes y servidores de Windows.

En el ataque detectado recientemente, los actores de Ragnar Locker han utilizado una tarea de GPO para ejecutar Microsoft Installer (msiexec.exe), pasando parámetros para descargar e instalar de manera oculta un paquete MSI diseñado y sin firmar de 122 Mb desde un servidor web remoto. Los contenidos principales del paquete MSI fueron:

Una instalación en funcionamiento de un antiguo hipervisor Oracle VirtualBox: en realidad, Sun xVM VirtualBox versión 3.0.4 del 5 de agosto de 2009 (Oracle compró Sun Microsystems en 2010).

Un archivo de imagen de disco virtual (VDI) llamado micro.vdi, una imagen de una versión simplificada del sistema operativo Windows XP SP3, llamada MicroXP v0.82. La imagen incluye el ejecutable del ransomware Ragnar Locker de 49 kB.

El software de virtualización y la imagen del disco virtual se copian en la carpeta C: \ Archivos de programa (x86) \ VirtualAppliances.

Además de los archivos de VirtualBox, el MSI también implementa un ejecutable (llamado va.exe), un archivo por lotes (llamado install.bat) y algunos archivos de soporte. Después de completar la instalación, el instalador de MSI ejecuta va.exe, que a su vez ejecuta el script por lotes install.bat.

La primera tarea del script es registrar y ejecutar las extensiones necesarias de la aplicación VirtualBox VBoxC.dll y VBoxRT.dll, y el controlador VirtualBox VboxDrv.sys.

http://www.gob.pe/



www.gob.pe

[email protected]

Luego, el script detiene el servicio de detección de hardware de Shell de Windows y deshabilita la funcionalidad de notificación de reproducción automática de Windows, seguidamente ejecuta un comando para eliminar las instantáneas de volumen de la PC de destino, por lo que las víctimas no pueden restaurar versiones antiguas de sus archivos sin cifrar.

El script install.bat en seguida enumera todos los discos locales, las unidades extraíbles conectadas y las unidades de red asignadas en la máquina física, para que se puedan configurar para acceder desde la máquina virtual.

La máquina virtual (VM) está configurada con 256 Mb de RAM, 1 CPU, un solo archivo HDD de 299 MB micro.vdi y un adaptador de red Intel PRO / 1000 conectado a NAT.

Después de que el entorno virtual está preparado, el script install.bat revisa una lista de nombres de procesos y los finaliza para que cualquier archivo que tengan abierto se desbloquee y sea accesible para el cifrado. Esta lista de 50 entradas consta principalmente de aplicaciones de línea de negocio, bases de datos, aplicaciones de gestión remota y copias de seguridad, y se almacena en un archivo de texto. Otro archivo de texto contiene nombres de servicios. Estos se adaptan al entorno de red de la organización de la víctima, incluidos los nombres de procesos y servicios que pertenecen al software de protección de punto final. Finalmente, con el entorno preparado, el script install.bat inicia la máquina virtual mediante una línea de comandos.

Ilustración del proceso de instalación capturado por Sophos Intercept X

Los siguientes pasos se pueden identificar en los registros del análisis de causa raíz (RCA):

El instalador de Microsoft (msiexec.exe) se ejecuta.

Se descarga el paquete MSI.

bat se ejecuta: cmd.exe /c “C:\Program Files (x86)\VirtualAppliances\install.bat”

Intenta terminar el proceso de Antivirus: taskkill / IM SavService.exe / F

Intenta detener el servicio antivirus y otros procesos: sc stop mysql

Monta redes accesibles compartidas con letras de unidad disponibles: mountvol E: \\? \ Volume {174f8ec6-d584-11e9-8afa-806e6f6e6963} \

Inicia VirtualBox en modo sin cabeza: C: \ Archivos de programa (x86) \ VirtualAppliances \ app64 \ VBoxHeadless.exe ”–startvm micro -v off

Elimina instantáneas: vssadmin delete shadows /all /quiet

La VM invitada es una edición MicroXP del sistema operativo Windows XP y está incluida en un solo archivo llamado micro.vdi. El ejecutable del ransomware se encuentra en C: \ vrun.exe. El ransomware se compila exclusivamente por la víctima, ya que la nota de rescate contiene el nombre de la víctima.

Para iniciar el ransomware, un archivo por lotes llamado vrun.bat se encuentra en C: \ Documents and Settings \ Administrator \ Start Menu \ Programs \ Startup \.

http://www.gob.pe/



www.gob.pe

[email protected]

Este script monta las unidades compartidas configuradas en micro.xml en la máquina host, dentro de la máquina virtual invitada. Esto significa que el ransomware en el entorno invitado ahora puede acceder por completo a los discos locales del host, la red asignada y las unidades extraíbles. Ahora todas las unidades están montadas, se ejecuta el ransomware vrun.exe.

El programa vrun.exe ransomware tiene un par de posibles opciones de línea de comando:

-backup

-list

-force

-vm

Esta configuración utiliza la última, y en este modo el ransomware cifra los archivos en todas las unidades de red mapeadas disponibles. Luego, el ransomware suelta la nota de rescate personalizada:

Dado que la aplicación de ransomware vrun.exe se ejecuta dentro de la máquina virtual invitada, su proceso y sus comportamientos pueden ejecutarse sin obstáculos, ya que están fuera del alcance del software de seguridad en la máquina host física. Los datos en los discos y unidades accesibles en la máquina física son atacados por el proceso "legítimo" VboxHeadless.exe, el software de virtualización VirtualBox.

3. Recomendaciones:

Realizar regularmente copias de seguridad de datos críticos para mitigar los efectos de un ataque de ransomware.

No abrir archivos adjuntos o enlaces web que en correos electrónicos recibidos que son irrelevantes, y/o enviados desde direcciones desconocidas y sospechosas.

Todo el software y los archivos deben descargarse de sitios web oficiales y confiables y a través de enlaces directos.

No se deben utilizar otras fuentes, herramientas como descargadores de terceros (e instaladores) redes punto a punto como torrents, eMule, sitios web no oficiales, etc. Es común que los ciberdelincuentes los usen para alojar archivos maliciosos.

El software instalado debe actualizarse a través de herramientas y/o funciones implementadas proporcionadas por desarrolladores oficiales. Lo mismo se aplica a la activación de software con licencia.

Contar con herramientas de seguridad. Se debe tener instalado un buen antivirus para prevenir la entrada de malware que pueda poner en riesgo nuestro sistema. Será necesario tener por tanto software de seguridad que nos permita realizar análisis y evitar amenazas.

Se debe escanear el sistema operativo regularmente en busca de amenazas mediante el uso de un software anti-spyware o antivirus de buena reputación y mantenerlo siempre actualizado.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información hxxps://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/?cmp=30728

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 21-05-2020

Página: 18 de 21

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Vulnerabilidades en el sistema operativo de Microsoft Windows

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC




Descripción

1. El 20 de mayo del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en el sitio web “Zero Day Initiative”, se informa sobre múltiples vulnerabilidades existentes en el sistema operativo de Microsoft Windows (conjunto de programas que posibilita la administración de los recursos de una computadora). Se informa que las vulnerabilidades encontradas son de criticidad alta y baja.

2. Descripción de vulnerabilidades:

CVE-2020-0916:

o Dicha vulnerabilidad fue registrada dentro del proceso host del controlador de impresora en modo de usuario splwow64.exe. (archivo ejecutable), debido a la falta de validación adecuada de un valor proporcionado por el usuario antes de desreferenciarlo como puntero, el cual permite a los ciberdelincuentes escalar privilegios de baja integridad y ejecutar código en el contexto del usuario actual con integridad media.

Vectores de Acceso Local

Complejidad de Acceso Alto

Privilegios Requeridos Bajo

Interacción del Usuario Ninguno

Alcance Sin cambios

Impacto de Confidencialidad Alto

Impacto de Integridad Alto

Impacto de Disponibilidad Alto

CVE-2020-0915:

o La falla de seguridad existe dentro del proceso host del controlador de impresora en modo de usuario splwow64.exe (archivo ejecutable), debido a la falta de validación adecuada de un valor proporcionado por el usuario antes de desreferenciarlo como puntero, el cual permite a los atacantes locales revelar información sobre las instalaciones afectadas de Microsoft Windows.

7.0

Nivel de riesgo

http://www.gob.pe/



www.gob.pe

[email protected]





Alcance Sin cambios

Impacto de Confidencialidad Bajo

Impacto de Integridad Ninguno

Impacto de Disponibilidad Ninguno

CVE-2020-0986:

o La vulnerabilidad existe dentro del proceso host del controlador de impresora en modo de usuario splwow64.exe (archivo ejecutable); el problema se debe a la falta de validación de un valor proporcionado por el usuario antes de ser desreferenciado como puntero, el cual puede ser aprovechado por lo ciberdelincuentes para escalar privilegios de baja integridad y ejecutar código en el contexto del usuario actual con integridad media.





Alcance Sin cambios

Impacto de Confidencialidad Alto

Impacto de Integridad Alto

Impacto de Disponibilidad Alto

3. Softwares vulnerables.

Sistemas operativos y componentes de Windows.

4. Algunas Recomendaciones.

Mantener el sistema operativo actualizado

Fuentes de información Análisis propio en redes sociales y fuentes abiertas

2.0

Nivel de riesgo

7.0

Nivel de riesgo

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 21-05-2020

Página: 20 de 21

Componente que reporta ÁREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ

Nombre de la alerta Página web falsa de Interbank empresarial

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales y correo electrónico.

Código de familia G Código de Subfamilia G02

Clasificación temática familia Fraude

Descripción

5. Comportamiento

El Área de Operaciones de ASBANC advierte sobre una campaña de phishing que se está difundiendo desde redes sociales y correo electrónico.

6. Indicadores de compromiso

URL de alojamiento: hxxps://empresas-lnterbanrk-pe.com/login/

IP: 159[.]89[.171[.]51

Dominio: empresas-lnterbanrk-pe[.]com

Localización: India

7. Imágenes

8. Recomendaciones

Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).

Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.

Mantener actualizados los sistemas operativos de los equipos utilizados (Servidores, computadoras, smartphones).

Realizar concientización constante a los usuarios sobre:

o Ataques cibernéticos.

o Esquemas de Ingeniería social.

Aprenda a reconocer las características de los portales de su entidad financiera.

Fuentes de información Área de Operaciones de ASBANC

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 21 de 21

Índice alfabético

Acceso no autorizado ........................................................................................................................................................ 3 backdoors .......................................................................................................................................................................... 8 bot ...................................................................................................................................................................................... 9 Captura de información confidencial .............................................................................................................................. 10 Código malicioso ............................................................................................................................................ 11, 12, 13, 15 Correo electrónico ..................................................................................................................................................... 12, 15 Correo electrónico, redes sociales, entre otros ........................................................................................................ 12, 15 Disponibilidad del servicio ................................................................................................................................................. 6 exploits ........................................................................................................................................................................ 2, 11 Exploits ............................................................................................................................................................................ 11 Explotación de vulnerabilidades conocidas ................................................................................................................. 7, 18 Fraude .......................................................................................................................................................................... 9, 20 fuerza bruta ..................................................................................................................................................................... 11 Intento de intrusión ........................................................................................................................................... 4, 7, 14, 18 internet .................................................................................................................................................................. 4, 11, 13 Interrupción de servicios tecnológicos .......................................................................................................................... 6, 8 malware ..................................................................................................................................................... 2, 11, 13, 14, 17 Malware ................................................................................................................................................................. 2, 13, 14 phishing ..................................................................................................................................................................... 11, 20 Phishing ........................................................................................................................................................................... 20 ransomware ......................................................................................................................................................... 15, 16, 17 Ransomware .......................................................................................................................................................... 2, 12, 15 ransonware ...................................................................................................................................................................... 12 Red, internet ...................................................................................................................................................... 5, 7, 10, 18 Red, internet, redes sociales ............................................................................................................................................. 5 redes sociales ..................................................................................................................................................... 1, 9, 19, 20 Redes sociales .............................................................................................................................................................. 9, 20 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 9 servidor ................................................................................................................................................................ 4, 5, 7, 15 servidores ........................................................................................................................................................................ 15 software ......................................................................................................................................................... 12, 15, 16, 17 spyware ........................................................................................................................................................................... 17 URL ............................................................................................................................................................................... 5, 20 USB, disco, red, correo, navegación de internet ......................................................................................... 6, 8, 11, 13, 14 Uso inapropiado de recursos ........................................................................................................................................... 10 Vandalismo ........................................................................................................................................................................ 5 Vulnerabilidad.................................................................................................................................................... 2, 4, 5, 6, 7 Vulnerabilidades ...................................................................................................................................................... 2, 8, 18

http://www.gob.pe/


Lima, 21 de mayo de 2020...Medios de propagación USB, disco, red, correo, navegación de internet...

Documents

Transcript of Lima, 21 de mayo de 2020...Medios de propagación USB, disco, red, correo, navegación de internet...