Lima, 23 de mayo de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 23 de mayo de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Compañía BlockFi sufre el robo de datos de sus clientes ............................................................................. 3

Vulnerabilidad de almacenamiento de texto sin cifrar en productos de Sensormatic Electronic ................ 4

Vulnerabilidad del kernel de Linux CVE-2019-19062 .................................................................................... 5

Hackers usan instaladores de zoom falsos para instalar malware ................................................................ 6

Hackers intentaron usar Sophos Firewall con Exploit para distribuir Ransomware ..................................... 7

El error crítico de Cisco, virus informático en Unified CCX ........................................................................... 8

Suplantan una página web de la compañía Repsol ....................................................................................... 9

Roban datos personales de todos los usuarios de la aplicación “Wishbone” .............................................10

Modificación de página web del Municipio de Juárez, México ...................................................................11

Exposición de credenciales del Ministerio de Energía y Minas de Nicaragua .............................................12

Vulnerabilidad en el software Microsoft Windows. ....................................................................................13

Vulnerabilidad en aplicación de mensajería “Signal”. .................................................................................15

Suplantación de entidad de la empresa Netflix ..........................................................................................17

Phishing, a través de mensajería instantánea WhatsApp ...........................................................................19

Índice alfabético ..........................................................................................................................................21

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 049

Fecha: 23-05-2020

Página: 3 de 21

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Compañía BlockFi sufre el robo de datos de sus clientes

Tipo de ataque Robo de información Abreviatura RobInfo

Medios de propagación Red, internet, medios extraíbles y correo electrónico

Código de familia K Código de subfamilia K01

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la compañía BlockFi ha sido víctima de un ciberataque, en la cual un ciberdelincuente obtuvo ilegalmente datos de los clientes, el incidente ocurrió el 14 de mayo del presente año.

2. Detalles de la alerta:

BlockFi es una compañía que cuenta con una plataforma de préstamos que permite a los usuarios pedir prestados fondos y usar criptomonedas como garantía.

La compañía a través de un comunica informa sobre el incidente de seguridad sufrido el 14 de mayo del presente año, en el cual experimentó una violación de datos temporal que expuso información personal de sus clientes.

Asimismo, la compañía detalló que el incidente fue iniciado aproximadamente a las 07:17 hasta las 08:43 del 14 de mayo de 2020. El número de teléfono de un empleado de BlockFi fue vulnerado y utilizado por un tercero no autorizado para acceder a una parte del sistema de back office encriptado de BlockFi. Este tipo de incumplimiento se conoce comúnmente como un puerto SIM. El tercero no autorizado pudo hacer esto al obtener acceso no autorizado al teléfono y al correo electrónico del empleado a través de una vulnerabilidad de la red de telefonía celular. Según las acciones de terceros no autorizados, parece que el autor intentó realizar retiros no autorizados de fondos de clientes utilizando la plataforma BlockFi, pero no lo logró. Sin embargo, el tercero no autorizado pudo acceder a la información del cliente de BlockFi que normalmente utiliza BlockFi para fines de marketing minorista durante la duración de este incidente.

Además, indica que no se expusieron fondos, contraseñas, números de seguro social, números de identificación fiscal, pasaportes, licencias, información de cuentas bancarias ni información de identificación no pública similar; Pero, el atacante si tuvo acceso a datos confidenciales como nombres, direcciones de correo electrónico, historial de actividades y direcciones físicas de al menos la mitad de los clientes minoristas registrados en su sistema.

Como medidas reactivas al detectar el incidente, la compañía inmediatamente activa sus protocolos de seguridad; tomando una serie de acciones como el bloqueó las credenciales del empleado afectado, suspendió el acceso del empleado afectado a todos los sistemas BlockFi, se activaron controles de identidad adicionales para todos los empleados de BlockFi para confirmar de inmediato el control total de sus cuentas, auditó el alcance del ataque y evitó un segundo intento de ataque por parte de un tercero no autorizado.

Finalmente, tomo acciones en respuesta a las vulnerabilidades encontradas como las actualizaciones de seguridad de los sistemas BlockFi, actualizaciones de seguridad de los teléfonos móviles de los empleados para evitar aún más el riesgo de ataques de ciberdelincuentes, auditorías de seguridad mejoradas y pruebas de penetración, y las actualizaciones de protocolo de respuesta a incidente sea más rápido.

3. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Implementar y promover las mejores prácticas de ciberseguridad.

Contar con protocolos ante incidentes de seguridad digital.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 23-05-2020

Página: 4 de 21

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad de almacenamiento de texto sin cifrar en productos de Sensormatic Electronic

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 23 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada a través de la red social de Twitter por el usuario “@threatintelctr”, sobre una vulnerabilidad de almacenamiento de información confidencial en texto claro, que afecta a varios productos de Sensormatic, LLC, Johnson Controls notificó esta vulnerabilidad de una subsidiaria de su empresa ha CISA, el identificador asignado a esta vulnerabilidad es el CVE-2020-9045.

2. Esta vulnerabilidad existe debido a que las credenciales del usuario que realiza la instalación o actualización en el software de House CURE 9000 y American Dynamics victor video Management System, se guardan en un archivo. El archivo de registro de la instalación persiste después de la instalación. Un atacante remoto, podría aprovechar esta vulnerabilidad para obtener estas credenciales utilizadas para acceder a la aplicación y lanzar ataques contra el sistema afectado.

3. Los productos afectados son:

Software House C • CURE 9000: Versión 2.70.

Sistema de gestión de video American Dynamics victor: Versión 5.2.

4. Se recomienda:

Actualizar Software House C•CURE 9000 a la versión 2.80 o posteriores.

Actualizar American Dynamics victor Video Management System a la versión 5.3.

Eliminar los archivos de registro de c:\programdata\tyco\installertemp y cambiar la contraseña de la cuenta de Windows.

Fuentes de información https[:]//twitter.com/threatintelctr/status/1263490069660422146 https[:]//isssource.com/johnson-controls-fixes-cleartext-storage-issue/

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 23-05-2020

Página: 5 de 21

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad del kernel de Linux CVE-2019-19062

Tipo de ataque Backdoors Abreviatura Backdoors

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 23 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la vulnerabilidad “CVE-2019-19062” que aplica una pérdida de memoria en la función crypto_report () en crypto / crypto_user_base.c en el kernel de Linux a través de 5.3.11, que permite a los atacantes causar una denegación de servicio (consumo de memoria) al desencadenar fallas en crypto_report_alg (), también conocido como CID-ffdde5932042. Se considera que este problema tiene un impacto bajo debido a las condiciones previas necesarias para activar la ruta del código de limpieza de errores.

2. El impacto de un atacante local con acceso para inducir las condiciones de error puede usar esta falla para detener el sistema Traffic (Traffic Control (tc) es una utilidad de Linux muy útil que le brinda la capacidad de configurar el programador de paquetes del núcleo). El atacante puede simular el retraso y la pérdida de paquetes para aplicaciones UDP o TCP, o limitar el uso de ancho de banda de un servicio particular para simular conexiones de Internet (DSL, Cable, etc.). La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema.

3. Para determinar si su producto y versión es vulnerable, los componentes o características que están afectados por la vulnerabilidad, y para obtener información sobre las versiones, las versiones puntuales o las revisiones que abordan la vulnerabilidad, consulte la siguiente tabla.

4. Se recomienda:

Si su versión figura en la columna “Versiones que se sabe que son vulnerables”, debe actualizar a una versión que figura en las “correcciones introducidas en la columna”.

Para obtener más información sobre el control de versiones de avisos de seguridad, consulte: K51812227: Descripción del control de versiones de avisos de seguridad.

Fuentes de información https[:]//support.f5.com/csp/article/K84797753?utm_source=f5support&utm_medium=R

SS https[:]//www.ccn-cert.cni.es/seguridad-al-dia/vulnerabilidades/view/31545.html

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 23-05-2020

Página: 6 de 21

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Hackers usan instaladores de zoom falsos para instalar malware

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 23 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 22 de mayo de 2020 a través de la red social Twitter por el usuario “@icssindia”, sobre una nueva modalidad empleada por los piratas informáticos debido a la pandemia de COVID-19, quienes aprovechan las aplicaciones de videoconferencia como zoom para infectar sistemas con rutinas maliciosas.

2. Los investigadores de seguridad de “Trend Micro” observaron dos muestras de malware que se hacen pasar por instaladores de Zoom, pero cuando se decodifican contienen malware.

3. Con en análisis a las dos muestras de malware, una encontró la instalación de una puerta trasera que permite a los atacantes obtener acceso de forma remota. El malware mata todas las utilidades remotas en ejecución después de la instalación y abre el puerto TCP 5650 para obtener acceso remoto al sistema infectado.

4. La otra muestra observada por los investigadores instala Devil Shadow Botnet, la infección comienza con el instalador malicioso con el archivo llamado pyclient.cmd que contiene comandos maliciosos.

5. Se recomienda:

Descargar el instalador de Zoom desde el sitio web oficial.

Tener siempre actualizado el SO y el programa antivirus.

Fuentes de información https[:]//twitter.com/icssindiaa/status/1263737349810225154 https://gbhackers.com/fake-zoom-installers-2/amp/

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 23-05-2020

Página: 7 de 21

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Hackers intentaron usar Sophos Firewall con Exploit para distribuir Ransomware Tipo de ataque Troyano Abreviatura Troyano Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código Malicioso

Descripción

1. El 23 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado informacion del 21 de mayo de 2020 referente a hackers que intentaron explotar un “Día Cero”, conocido como una falla en el software o un ataque que tiene cero dias entre el momento en que se descubre la vulnerabilidad y el primer ataque, en el firewall de Sophos XG para distribuir ransomware a las máquinas con Windows, pero fueron bloqueados por una revisión emitida por Sophos. A finales de abril, los piratas informáticos utilizaron una vulnerabilidad de inyección SQL de día cero que conduce a la ejecución remota de código en los firewalls Sophos XG. Los atacantes utilizaron esta vulnerabilidad para instalar varios archivos binarios y scripts ELF que Sophos denomina “Trojan Asnarök”.

2. Este troyano se usó para robar datos del firewall que podría haber permitido a los atacantes comprometer la red de forma remota. Estos datos incluyen:

La licencia del cortafuegos y el número de serie.

Una lista de las direcciones de correo electrónico de las cuentas de usuario que se almacenaron en el dispositivo, seguidas del correo electrónico principal que pertenece a la cuenta de administrador del firewall.

Los nombres de los usuarios del cortafuegos, los nombres de usuario, la forma encriptada de las contraseñas y el hash SHA256 salado de la contraseña de la cuenta del administrador. Las contraseñas no se almacenaron en texto sin formato.

Una lista de las ID de usuario que pueden usar el firewall para SSL VPN y las cuentas que tienen permiso para usar una conexión VPN "sin cliente".

3. Segun informe emitido por “Sophos” el 21 May 20, se detalla que los atacantes revisaron su ataque para distribuir el “Ragnarok Ransomware” en máquinas Windows sin parches en la red, donde alteraron sus scripts en firewalls pirateados para usar un 'interruptor de hombre muerto' que activaría un ataque de ransomware en un momento posterior si se eliminaba un archivo en particular y se reiniciaba el dispositivo.

4. Ragnarok es un ransomware dirigido a objetivos empresariales cuyos operadores explotaron vulnerabilidades en dispositivos de puerta de enlace ADC de Citrix en el pasado para implementar ransomware. Para implementar el ransomware, planearon usar la ejecución remota de código de EternalBlue y las vulnerabilidades de DoublePulsar CIA para copiar malware en una máquina vulnerable de Windows e inyectarlo en el proceso existente de explorer.exe. Una vez inyectado, el ransomware comenzaría a cifrar los archivos en la máquina vulnerable y dejaría una nota de rescate con instrucciones sobre cómo pagar el rescate.

5. Se recomienda:

Asegurarse de que estos dispositivos tengan instaladas las últimas actualizaciones de seguridad. Si los dispositivos perimetrales ofrecen la posibilidad de instalar nuevas actualizaciones de seguridad a medida que se lanzan automáticamente, esta opción debe usarse para evitar que una actualización perdida se convierta en una violación grave.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/hackers-tried-to-use-sophos-firewall-zero-day-to-deploy-ransomware/

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 23-05-2020

Página: 8 de 21

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta El error crítico de Cisco, virus informático en Unified CCX Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, Internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 23 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 21 de mayo de 2020 por Threat Post, sobre un vulnerabilidad del software cisco encontrandose un virus informatico en unified ccx (Contact Center Express) - solución de gestión de interacción con el cliente, que permite una ejecución remota de código arbitrario en la red.

2. Se ha revelado una vulnerabilidad de virus informatico en el Interfaz de administración remota de Java del producto Unified Contact Center Express (Unified CCX), al explotarse esta falla podría permitir que hackers remotos no autenticados ejecuten código arbitrario en el dispositivo afectado.

3. El software Unified CCX de Cisco se promociona como un "centro de contacto en una caja" que permite a las empresas implementar aplicaciones de atención al cliente. La falla (CVE-2020-3280), que tiene un puntaje CVSS de 9.8 sobre 10, proviene de la interfaz de administración remota de Java del producto.

4. La vunerabilidad se debe a la deserialización insegura del contenido enviado por el usuario del software afectado. Un actor de amenaza podría explotar la vulnerabilidad enviando un objeto Java serializado malicioso a un oyente específico en el sistema afectado. La explotación exitosa de la vulnerabilidad permitiría a los hackers ejecutar código arbitrario como usuario root en un dispositivo objetivo

5. Se recomienda:

Instalar actualizaciones oficiales para mitigar el riesgo de explotación.

Actualizar a la versión fija, 12.0 (1) ES03 de Cisco Unified CCX versión 12.0 y anteriores.

Fuentes de información

https[:]//threatpost.com/critical-cisco-rce-flaw-unified-ccx/155980/

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 23-05-2020

Página: 9 de 21

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Suplantan una página web de la compañía Repsol Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 22 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que ciberdelincuentes están realizando ataques mediante una campaña de tipo phishing en la que suplantan un link de la página web de la empresa Repsol, y viene siendo difundido masivamente a través de un mensaje de WhatsApp. A primera vista parece un link de procedencia legítima ya que utiliza el siguiente link: hxxp://repsol.club/ pero al abrir el enlace direcciona al link verdadero y que no tiene ningún vínculo con la empresa: hxxps://meuscupons.best/repsol/#. Asimismo, se ha tenido conocimiento que diversos usuarios que ingresaron al enlace, han confirmado distintas acciones no deseadas, como robo de correos personales, información personal y financiera, entre otros.

2. Cabe resaltar que la compañía Repsol no ofrece tres meses de combustible gratis a los que vuelvan a utilizar su vehículo para trabajar o estudiar después de haber estado confinados por el coronavirus, según un comunicado a través de sus distintos canales de comunicación.

3. Por otro lado, es de conocimiento que este fraude ya ha sido reportado en España y algunos países de Latinoamérica en los últimos días.

4. Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con los softwares actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, WhatsApp, Twitter.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 23-05-2020

Página: 10 de 21

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Roban datos personales de todos los usuarios de la aplicación “Wishbone” Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico, redes sociales, entre otros Código de familia C Código de subfamilia C09 Clasificación temática familia Código malicioso

Descripción

1. El 23 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que un grupo de ciberdelincuentes realizaron un ataque a la famosa aplicación de votaciones y encuestas Wishbone, de la cual obtuvieron diversos datos personales de casi 40 millones de usuarios, y están disponibles para su descarga en un foro de la web profunda (Darknet). Cabe resaltar, que la base de datos de los usuarios ha sido robada en su totalidad. Los datos contienen nombres de usuario, correos electrónicos, números de teléfono, ciudad, estado, país y contraseñas hash.

2. Las contraseñas no se almacenaron en texto plano, sino que se cifraron utilizando el algoritmo MD5. El MD 5 fue declarado criptográficamente roto por los expertos en 2010. Un hash de contraseña moderadamente complejo con MD5 podría descifrarse en 30 minutos o menos.

3. Por otro lado, se tiene conocimiento que el grupo hacker ShinyHunters se ha atribuido este robo, actualmente está vendiendo la bases de datos de decenas de otras compañías, totalizando más de 1.500 millones de registros.

4. ShinyHunters es el mismo grupo detrás de la violación de los repositorios privados en GitHub, propiedad de Microsoft (se cree que el hacker adquirió alrededor de 1.200 repositorios privados) y Tokopedia, la tienda en línea más grande de Indonesia donde se vendió una base de datos de más de 90 millones de registros de usuarios.

5. Se recomienda:

Mantener actualizadas todas las plataformas tecnológicas y de detección de amenazas.

Crear copias de seguridad de información relevante.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 049

Fecha: 23-05-2020

Página: 11 de 21

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Modificación de página web del Municipio de Juárez, México

Tipo de ataque Modificación del sitio Web Abreviatura ModSitWeb

Medios de propagación Red, Internet

Código de familia L Código de subfamilia L01

Clasificación temática familia Vandalismo

Descripción

1. El 23 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que en la red Social denominada Twitter, el usuario identificado con el nombre “Andres cardoso”, (@org0n), realizó una publicación donde se muestra el defacement (ataque a un sitio web que cambia la apariencia visual de una página web), realizado a la página web del Municipio de Juarez de México.

2. Se recomienda:

Los administradores de páginas web, deberán extremar medidas de contingencia, para poder actuar frente a los incidentes informáticos que podría suceder por diversos ciberdelincuentes.

Fuentes de información https[:]//twitter.com/org0n/status/1263834845114925059

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 23-05-2020

Página: 12 de 21

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Exposición de credenciales del Ministerio de Energía y Minas de Nicaragua

Tipo de ataque Fuga de Información Abreviatura FugaInfo

Medios de propagación Red, Internet, Redes Sociales

Código de familia K Código de subfamilia K02

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 23 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que en la red Social denominada Twitter, el usuario identificado con el nombre “Powerful Greek Army”, (@PowerfulArmyGR), realizó una publicación donde se muestra las credenciales de correos electrónicos del Ministerio de Energía y Minas de Nicaragua, los mismo que se encuentran alojado en un link adjunto a la publicación.

2. Asimismo, el link adjunto se apertura en un entorno seguro, donde se puede visualizar las credenciales de acceso a los correos electrónicos del Ministerio de Energía y Minas de Nicaragua.

3. Se recomienda:

Los administradores de bases de datos, deberán extremar medidas preventivas para evitar la exfiltración de información sensible como credenciales de acceso a correos electrónicos institucionales.

Fuentes de información https[:]//twitter.com/PowerfulArmyGR/status/1263580365924360192 http[:]//www.mediafire.com/file/vnkz47725rt2g7y/MEM_GOB_NI.txt/file

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 23-05-2020

Página: 13 de 21

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Vulnerabilidad en el software Microsoft Windows.


Medios de propagación Red, internet



Descripción

1. El 22 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en el sitio web NIST (Instituto Nacional de Estándares y Tecnología) informó sobre una vulnerabilidad encontrada al software Microsoft Windows (Distribuidora de software para computadora personal, teléfonos inteligentes, servidores y sistemas empotrados, desarrollados y vendidos por Microsoft y disponibles para múltiples arquitecturas, tales como x86, x86-64 y ARM) clasificado con el nivel de riesgo “ALTO”

Asimismo, para esta vulnerabilidad se ha asignado el siguiente identificador de vulnerabilidades y exposiciones comunes (CVE)

o CVE-2020-1068

2. DETALLES DE LA VULNERABILIDAD:

CVE-2020-1068.- Existe una vulnerabilidad de tipo Gestión de privilegios inadecuada también llamado elevación de privilegios en el sistema, la cual el servicio de Windows Media se ve afectado por esta vulnerabilidad que permite al ciberdelincuente la creación de archivos maliciosos en ubicaciones arbitrarias. Para explotar esta vulnerabilidad el ciberdelincuente tendría que iniciar sesión en el sistema.

Esta vulnerabilidad permite a los atacantes locales escalar privilegios en las instalaciones afectadas de Microsoft Windows, el cual un ciberdelincuente primero debe obtener la capacidad de ejecutar código con privilegios elevados en el sistema invitado (usuario con acceso restringido) para aprovechar esta vulnerabilidad. Siendo afectado a la integridad, disponibilidad y confidencialidad de la información.

3. VECTORES DE ATAQUE:

CVSS: 3.1 / AV: L / AC: L / PR: L / UI: N / S: U / C: H / I: H / A: H

Vector de ataque Complejidad de ataque local

Complejidad de ataque Bajo

Privilegios requeridos Ninguna

Interacción de usuario Ninguno

Impacto de confidencialidad Sin cambios

Impacto de integridad Alto

Impacto de disponibilidad Alto

http://www.gob.pe/



www.gob.pe

[email protected]

4. GRAFICO: N°1 – Métricas de Puntaje Base Y Valoración de Riesgo Encontrado

5. GRÁFICO: N° 2 Criterios de Valorización de Riesgo

6. PRODUCTOS Y VERSIONES AFECTADOS:

CRITERIO DE EVALUACION CALIFICACIÓN CRITICIDAD

La fuente comprometida en un nivel medio la integridad y/o confidencialidad y/o disponibilidad de la información.

7<= x <= 9 >=70% a 90% ALTO

Windows 10 para sistemas de 32 bits Windows 10 versión 1803 para sistemas x64

Windows 10 versión 1909 para sistemas de 32 bits

Windows 10 para sistemas basados en x64


Windows 10 versión 1909 para sistemas basados en ARM64



Windows 10 versión 1909 para sistemas basados en x64

Windows 10 versión 1607 para sistemas basados en x64

Windows 10 versión 1803 para sistemas basados en ARM64 Windows Server 2016


Windows 10 versión 1809 para sistemas x64

Windows Server 2016 (instalación de Server Core)


Windows 10 versión 1903 para sistemas de 32 bits Windows Server 2019



Windows Server 2019 (instalación de Server Core)



Windows Server, versión 1803 (instalación de Server Core)

Fuentes de información https[:]//nvd.nist.gov/vuln/detail/CVE-2020-1068

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 23-05-2020

Página: 15 de 21


Nombre de la alerta Vulnerabilidad en aplicación de mensajería “Signal”.


Medios de propagación Redes, internet



Descripción

1. El 22 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Noticias de Seguridad”, se informa sobre una vulnerabilidad hallada en “Signal” aplicación móvil para Android y IOS de mensajería instantánea y llamadas (puede ser utilizada para enviar y recibir SMS, MMS y mensajes de datos cifrados), la cual podría permitir rastrear (a través de la fuga de IP del servidor DNS de un usuario de Signal) la actividad de los usuarios con solo llamar a su número en la aplicación, Signal es muy popular entre los periodistas, activistas, entre otros.

2. La vulnerabilidad detectada ha sido registrada con el código: CVE- 2020-5753

Detalles de la Vulnerabilidad:

o La aplicación Signal Messenger tiene una vulnerabilidad que permite que un no contacto remoto llame al teléfono Signal de un usuario y revele el servidor DNS actual del usuario Signal. Versiones Vulnerables:

Android Signal v4.59.0-4.58.10 iOS Signal v3.8.0.34-v3.8.3.5

o Vectores: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N

o Gravedad: Medio

o Nivel de Riesgo: 5.3

Grafico 1: Detalles de los Vectores

Vector de Ataque Red

Complejidad del Ataque Bajo

Privilegios Requerido Ninguno

Interacción de usuario Ninguno

Alcance Local

Confidencialidad Bajo

Integridad Ninguno

Disponibilidad Ninguno

http://www.gob.pe/



www.gob.pe

[email protected]

Grafico 2: Vulnerabilidad Detallada Grafico 3: Nivel Medio

Puntaje Base Riesgo

3. Por qué se da la vulnerabilidad:

El problema radica en cómo se utiliza WebRTC para procesar a los candidatos de ICE, lo que ocurre antes de que un usuario decida responder una llamada entrante de Signal. Si bien la dirección IP de un destinatario puede ocultarse del intercambio de candidatos de ICE utilizando la configuración de "Retransmitir siempre llamadas" de señal, los candidatos de ICE admiten nombres de dominio que permiten que un atacante obligue a un destinatario a resolver durante el proceso de señalización. Si el atacante posee el servidor de nombres autorizado para un dominio determinado, se revela el servidor DNS actual de la persona que llama.

Referencia:

o ICE. - Significa Establecimiento de conectividad interactiva, es una técnica utilizada en NAT (traductor de direcciones de red). Normalmente, el candidato de hielo proporciona la información sobre la dirección de IP y el puerto desde donde se intercambiarán los datos

o DNS. - Son las siglas que forman la denominación Domain Name System o Sistema de Nombres de Dominio y además de apuntar los dominios al servidor correspondiente, nos servirá para traducir la dirección real, que es una relación numérica denominada IP, en el nombre del dominio.

4. Se recomienda:

Actualice Signal Android a la versión 4.59.11 o Signal iOS a la versión 3.8.4

Fuentes de información https[:]//noticiasseguridad.com/vulnerabilidades/vulnerabilidad-en-la-aplicacion-de-mensajeria-signal-permite-rastrear-su-ubicacion-en-ios-y-android/

5.3

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 23-05-2020

Página: 17 de 21


Nombre de la alerta Suplantación de entidad de la empresa Netflix

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 22 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes vienen aprovechando la connotación que vive el mundo a consecuencia del coronavirus (COVID-19), con la finalidad de llevar a cabo una campaña de phishing, a través de envíos de correos electrónicos, suplantando la identidad de la empresa Netflix, con el asunto “ Pago Automático”, en la cual se menciona que el pago automático no se ha podido procesar y el periodo de suscripción finalizará el 21 de mayo 2020, proporcionando un enlace, para acceder a actualizar el método de pago.

Imágenes del proceso de phishing.

Al tratar de acceder al enlace proporcionado, el Antivirus lo reconoce como peligroso, teniendo como URL hxxp://pfd1ux1[.]rgko[.]futbol.

Catalogado como

“Peligroso”

http://www.gob.pe/



www.gob.pe

[email protected]

2. La URL Maliciosa fue analizada con la plataforma de virustotal, el cual es catalogada como phishing:

3. IP de Email Remitente:

209[.]85[.]210[.]195

4. Cómo funciona el phishing:

Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.

Medios de propagación del phishing: WhatsApp, envíos de email, redes sociales, SMS.

Los ciberdelincuentes intentan suplantar a una entidad legítima (organismo público, entidad financiera, servicio técnico, etc.)

5. Referencia:

Phishing o suplantación de identidad: es un método que los ciberdelincuentes utilizan para engañar a los usuarios y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros.

6. Algunas recomendaciones

Verifica la información en los sitios web oficiales de la empresa.

No introduzcas datos personales en páginas sospechosas.

Preguntar a otros usuarios, sobre lo ofertado.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información Análisis propio en redes sociales y fuentes abiertas

Dominios Encontrados

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 23-05-2020

Página: 19 de 21


Nombre de la alerta Phishing, a través de mensajería instantánea WhatsApp

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 22 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes vienen aprovechando la connotación que vive el mundo a consecuencia del coronavirus (COVID-19), con la finalidad de llevar a cabo una campaña de phishing, a través de la aplicación de Mensajera Instantánea “WhatsApp, en la cual se brinda cupones de ayuda alimentaria a fin de enfrentar el COVID-19, para lo cual se proporciona un enlace, donde se solicita datos personales. hxxps://oficayuda.club/ayuda-alimentaria-por-covid-19/

Imágenes del proceso de phishing.

2. Indicadores de Compromiso (IoC)

Dirección IP: 160.153.129.21

URL: hxxps://oficayuda.club/ayuda-alimentaria-por-covid-19/

3. Análisis:

La URL comprometida en este caso de phishing, no es detectada en la plataforma de virustotal.

URL que se debe acceder, donde se

debe llenar un formulario con datos

personales.

Supuesto monto del bono ofrecido

en dólares ($877.30)

1 2

http://www.gob.pe/



www.gob.pe

[email protected]

Dominio:

o oficayuda.club

Creado: 09may20

Actualizada: 14may20

IP: 160.153.129.21

o ISP: Host Europe GmbH

Topología de IP:

4. Referencia:

Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar a los usuarios y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros.

5. Algunas Recomendaciones:

Verifica la información en los sitios web oficiales de la empresa.

No introduzcas datos personales en páginas sospechosas.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información Análisis propio de redes sociales y fuente abierta

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 21 de 21

Índice alfabético

Backdoors .......................................................................................................................................................................... 5 Código malicioso ...................................................................................................................................................... 5, 6, 10 Correo electrónico ........................................................................................................................................................... 10 Correo electrónico, redes sociales, entre otros .............................................................................................................. 10 Explotación de vulnerabilidades conocidas ....................................................................................................... 4, 8, 13, 15 Fraude .................................................................................................................................................................... 9, 17, 19 Fuga de Información ........................................................................................................................................................ 12 hxxp ............................................................................................................................................................................. 9, 17 Intento de intrusión ........................................................................................................................................... 4, 8, 13, 15 internet ............................................................................................................................................................................ 15 malware ..................................................................................................................................................................... 2, 6, 7 Malware ............................................................................................................................................................................. 6 phishing ........................................................................................................................................................... 9, 17, 18, 19 Phishing ................................................................................................................................................. 2, 9, 17, 18, 19, 20 puerto ...................................................................................................................................................................... 3, 6, 16 ransomware ....................................................................................................................................................................... 7 Ransomware ............................................................................................................................................................ 2, 7, 10 Red, internet ............................................................................................................................................................ 3, 4, 13 redes sociales ......................................................................................................................................................... 1, 18, 20 Redes sociales ........................................................................................................................................................ 9, 17, 19 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ............................................................ 9, 17, 19 servidor ...................................................................................................................................................................... 15, 16 servidores ........................................................................................................................................................................ 13 software ........................................................................................................................................................... 2, 4, 7, 8, 13 Suplantación ................................................................................................................................................................ 2, 17 URL ....................................................................................................................................................................... 17, 18, 19 USB, disco, red, correo, navegación de internet ....................................................................................................... 5, 6, 7 Uso inapropiado de recursos ....................................................................................................................................... 3, 12 Vandalismo ...................................................................................................................................................................... 11 Vulnerabilidad.......................................................................................................................................... 2, 4, 5, 13, 15, 16

http://www.gob.pe/


Lima, 23 de mayo de 2020

Documents

Transcript of Lima, 23 de mayo de 2020