Lima, 11 de setiembre de 2020 - cdn.
12
Transcript of Lima, 11 de setiembre de 2020 - cdn.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 11 de setiembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Nuevo malware de Linux roba los detalles de las llamadas de los sistemas softswitch de VoIP. ................. 3
Ataque de ransomware a Banco de Desarrollo de Seychelles. ..................................................................... 4
Aumento repentino con Emotet Malware. ................................................................................................... 5
Piratas informáticos utilizan una herramienta legítima. ............................................................................... 6
Palo Alto Networks parcha vulnerabilidad crítica de tipo desbordamiento de búfer que afecta a múltiples
versiones de PAN-OS ..................................................................................................................................... 7
Nuevo malware “CDRThief” dirigido a dispositivos Softswitch de VoIP de Linux ......................................... 8
Detección del ransomware Zeppelin ............................................................................................................. 9
Índice alfabético ..........................................................................................................................................11
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 160
Fecha: 11-09-2020
Página: 3 de 11
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Nuevo malware de Linux roba los detalles de las llamadas de los sistemas softswitch de VoIP.
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, red e internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que investigadores de ciberseguridad han descubierto un nuevo de malware de Linux denominado “CDRThief” que se dirige a los softswitches de voz sobre IP (VoIP), cuyo fin es robar metadatos de llamadas telefónicas.
2. Detalles de la alerta:
A través de la búsqueda de amenazas en el ciberespacio, se reportó por parte de investigadores de ciberseguridad, una nueva amenaza de malware de Linux denominado “CDRThief”, el cual está diseñado para apuntar a una plataforma VoIP muy específica, utilizada por dos softswitches (conmutadores de software) producidos en China: Linknat VOS2009 y VOS3000. Estos softswitches son soluciones basadas en software que se ejecutan en servidores Linux estándar.
El objetivo principal del malware es extraer varios datos privados de un conmutador de software comprometido, incluidos los registros de detalles de llamadas (CDR). Para robar estos metadatos, el malware consulta las bases de datos MySQL internas que utiliza el softswitch. Por lo tanto, los atacantes demuestran un buen conocimiento de la arquitectura interna de la plataforma objetivo.
El malware comienza intentando localizar los archivos de configuración de Softswitch de una lista de directorios predeterminados con el objetivo de acceder a las credenciales de la base de datos MySQL, que luego se descifran para consultar la base de datos. Asimismo, los atacantes habrían tenido que aplicar ingeniería inversa a los binarios de la plataforma para analizar el proceso de cifrado y recuperar la clave AES utilizada para descifrar la contraseña de la base de datos, lo que sugiere el profundo conocimiento de los autores de la arquitectura VoIP.
Además de recopilar información básica sobre el sistema linknat comprometido, CDRThief extrae detalles de la base de datos (nombre de usuario, contraseña cifrada, dirección IP) y ejecuta consultas SQL directamente a la base de datos MySQL para capturar información relacionada con eventos del sistema, puertas de enlace VoIP y metadatos de llamadas.
Por consiguiente, dado las características de este malware puede ser utilizado para el ciberespionaje.
3. Indicadores de Compromiso (IoC):
Hash
o CC373D633A16817F7D21372C56955923C9DDA825 - 8E2624DA4D209ABD3364D90F7BC08230F84510DB
o FC7CCABB239AD6FD22472E5B7BB6A5773B7A3DACB
C&C
o hxxp: //119.29.173 [.] 65 - hxxp: //129.211.157 [.] 244 - hxxp: //129.226.134 [.] 180
o hxxp: //150.109.79 [.] 136 - hxxp: //34.94. 199 [.] 142 - hxxp: //35.236.173 [.] 187
Mútex basados en archivos
o /dev/shm/.bin - /dev/shm/.linux
4. Recomendaciones:
Actualizar los parches de seguridad en la página oficial del fabricante en cuento estén disponibles.
Evaluar el bloqueo preventivo de los indicadores de compromiso.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 160
Fecha: 11-09-2020
Página: 4 de 11
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Ataque de ransomware a Banco de Desarrollo de Seychelles. Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico, redes sociales, entre otros Código de familia C Código de subfamilia C09 Clasificación temática familia Código malicioso
Descripción
1. El 11 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó información sobre un ataque de ransomware que sufrió el Banco de Desarrollo de Seychelles (DBS) según un comunicado de prensa publicado por el Banco Central de Seychelles (CBS), el afecto a sus sistemas.
2. Según el comunicado de CBS este hecho habría ocurrido el 09 de setiembre de 2020. El Banco Central de Seychelles indico que se esforzarán por identificar áreas de vulnerabilidad, que pudieron llevar a este de ransomware. Asimismo, se ha comprometido con DBS para monitorear de cerca los desarrollos y posible impacto en las operaciones del Banco de Desarrollo de Seychelles.
3. Al respecto, la CBS indico que proporcionará más detalles al público después de la investigación que se está llevando y se tenga más detalles de este ataque de ransomware que sufrió el Banco de Desarrollo de Seychelles.
4. Cabe señalar que, durante la pandemia, los ciberdelincuentes han aprovechado la crisis sanitaria para poder realizar todo tipo de estafas, por lo que se aconseja implementar medidas de seguridad para prevenir posibles riesgos; así como concientizar a los usuarios menos experimentados en temas de seguridad Informática.
5. Se recomienda:
Mantener actualizado en el antivirus y el sistema operativo.
Activar el filtrado y escaneo de cada uno de los correos electrónicos ingresantes.
Contar con una Red Privada Virtual (VPN) confiable, cuando se acceda a cualquier punto de Wi-Fi pública.
Mantener actualizado todo el software de la computadora como herramientas, navegadores, etc.
Tener un firewall y software antivirus de buena calidad.
Establecer una estrategia de backup eficiente.
Tener el control del software instalados en los equipos conectados a la red.
Robustecer las contraseñas.
Implementar una cultura de ciberseguridad.
Fuentes de información https[:]//www.bleepingcomputer.com/news/security/development-bank-of-seychelles-hit-by-ransomware-attack/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 160
Fecha: 11-09-2020
Página: 5 de 11
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Aumento repentino con Emotet Malware. Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, correo, red, navegación internet. Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 11 de setiembre 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por el JPCERT / CC (Japan Computer Emergency Response Team Cordination Center), han encontrado un aumento repentino del malware Emotet que roba las credenciales de inicio de sesión de varios navegadores, clientes de correo electrónico y aplicaciones.
2. El Emotet, es uno de los programas maliciosos más peligrosos y es capaz de entregar cargas útiles en función de las tareas específicas. Su cálida capacidad ayuda a difundirse rápidamente con otras computadoras conectadas.
3. El malware se distribuye a través de archivos adjuntos de correo electrónico maliciosos o enlaces para descargar los documentos que aparecen como facturas genuinas, documentos financieros, información de envío, currículums, documentos escaneados o información sobre COVID-19.
4. El JPCERT / CC, observó un rápido aumento en la cantidad de direcciones de correo electrónico de dominio doméstico (.jp) que se abusan y se utilizan para distribuir el malware Emotet.
5. El método principal de infección de Emotet son los archivos adjuntos o correos electrónicos con enlaces en el cuerpo, cuando el archivo adjunto se ejecuta, descarga el archivo del enlace y se orienta a los usuarios que activen la macro.
6. El malware roba las credenciales de la cuenta, el asunto y los datos del cuerpo de los correos electrónicos de los infectados y puede usar los datos robados para enviar correos electrónicos no deseados.
7. Se recomienda:
No confiar en correos con programas o archivos ejecutables adjuntos.
Cuando recibes archivos adjuntos, prestar especial atención a su extensión.
Fuentes de información http[:]//gbhackers.com/spike-with-emotet-malware/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 160
Fecha:11-09-2020
Página: 6 de 11
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Piratas informáticos utilizan una herramienta legítima. Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 11 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información que se detalla a continuación: En un ataque reciente, el grupo de ciberdelincuencia TeamTNT se basó en una herramienta legítima para evitar la implementación de código malicioso en la infraestructura de la nube comprometida y aun así tener un buen control sobre él. Utilizaron una herramienta de código abierto creada específicamente para monitorear y controlar los entornos de nube con instalaciones de Docker y Kubernetes, reduciendo así su huella en el servidor vulnerado.
2. Al analizar el ataque, los investigadores de Intezer descubrieron que TeamTNT instaló la herramienta de código abierto Weave Scope para obtener el control total de la infraestructura en la nube de la víctima. Según ellos, esta puede ser la primera vez que se abusa de una herramienta legítima de terceros para desempeñar el papel de una puerta trasera en un entorno de nube, lo que también indica la evolución de este grupo en particular. Weave Scope se integra a la perfección con Docker, Kubernetes y el sistema operativo distribuido en la nube (DC / OS) y AWS Elastic Compute Cloud (ECS). Proporciona un mapa completo de procesos, contenedores y hosts en el servidor y control sobre las aplicaciones instaladas.
3. Al describir el flujo de ataque del incidente, los investigadores dicen que la entrada de TeamTNT fue una API de Docker expuesta. Esto les permitió crear un contenedor de Ubuntu limpio configurado para montar en el servidor de la víctima, obteniendo así acceso a los archivos en el host. Luego configuraron un usuario local llamado 'hilde' con privilegios elevados y lo usaron para conectarse al servidor a través de SSH. La instalación de Weave Scope es el siguiente paso del ataque, que requiere solo tres comandos para descargar, establecer permisos sobre la aplicación Scope y ejecutar.
4. Con la utilidad en el servidor, TeamTNT podría conectarse al panel de Weave Scope a través de HTTP en el puerto 4040 (predeterminado para el punto final de la aplicación Scope) y tomar el control. Los investigadores dicen que este escenario, aunque raro, podría haberse evitado si los puertos de la API de Docker estuvieran cerrados o si se hubieran implementado políticas de acceso restringido. Otro error de configuración es permitir conexiones al tablero de Weave Scope desde fuera de la red. La documentación de la herramienta es clara sobre no hacer que el puerto 4040 sea accesible a través de internet.
5. TeamTNT surgió en el radar de los investigadores de seguridad a principios de mayo como un grupo de minería de criptomonedas, cuando Malware HunterTeam tuiteó al respecto y Trend Micro reveló que los atacantes escanearon internet en busca de puertos abiertos del demonio Docker.
6. Se recomienda:
Instalar un buen antivirus.
Mantener los sistemas operativo actualizado
Utilizar dos cuentas de uso del sistema.
Utilizar contraseñas seguras.
Usar un cifrado WPA o WPA2 para la red WiFi.
Fuentes de información https[:]//www.bleepingcomputer.com/news/security/hackers-use-legit-tool-to-take-over-docker-kubernetes-platforms/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 160
Fecha: 11-09-2020
Página: 7 de 11
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Palo Alto Networks parcha vulnerabilidad crítica de tipo desbordamiento de búfer que afecta a múltiples versiones de PAN-OS
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
Los investigadores de Palo Alto Networks han solucionado una nueva vulnerabilidad de severidad crítica de tipo desbordamiento de búfer registrada como CVE-2020-2040 que afecta a múltiples versiones de PAN-OS, el sistema operativo que afecta a sus firewalls de próxima generación. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante no autenticado interrumpir los procesos del sistema y potencialmente ejecutar código arbitrario con privilegios de root al enviar una solicitud maliciosa al portal cautivo o a la interfaz de autenticación multifactor.
2. Detalles:
La empresa Palo Alto Networks, Inc., reveló que la vulnerabilidad fue descubierta durante una revisión de seguridad interna por Yamata Li, miembro de su Equipo de Investigación de Amenazas. Está vulnerabilidad afecta a todas las versiones de PAN-OS 8.0; versiones de PAN-OS 8.1 anteriores a PAN-OS 8.1.15; versiones de PAN-OS 9.0 anteriores a PAN-OS 9.0.9 y versiones de PAN-OS 9.1 anteriores a PAN-OS 9.1.3 donde el Portal Cautivo o la Autenticación multifactor está habilitado.
Los entornos con la versión 10 o superior del sistema operativo que se ejecuta en dispositivos de firewall físicos, virtualizado o basado en la nube no son vulnerables.
Según la compañía, la vulnerabilidad es un desbordamiento de búfer que permite a un atacante interrumpir los procesos del sistema. También existe la posibilidad de ejecutar código arbitrario con privilegios de root.
La compañía destaca que, a diferencia de las vulnerabilidades críticas anteriores en PAN-OS, esta no afecta el portal VPN de GlobalProtect ni las interfaces de administración de PAN-OS.
La actualización a las últimas versiones actuales del producto soluciona la vulnerabilidad. Cuando se utilizan los servicios de Prisma Access, estos ya se han actualizado y ya no son vulnerables. Si no es posible actualizar a la última versión de PAN-OS, Palo Alto Networks propone habilitar las firmas en la actualización de contenido versión 8317 para bloquear los ataques contra CVE-2020-2040.
Palo Alto Networks indicó que en este momento no hay evidencia que sugiera que la vulnerabilidad ha sido explotada activamente en la naturaleza y no hay indicadores de compromiso o incumplimiento en este momento.
3. Productos afectados:
Todas las versiones de PAN-OS 8.0
Versiones de PAN-OS 8.1 anteriores a PAN-OS 8.1.15
Versiones de PAN-OS 9.0 anteriores a PAN-OS 9.0.9
Versiones de PAN-OS 9.1 anteriores a PAN-OS 9.1.3
4. Solución:
Palo Alto Networks recomienda actualizar e instalar los productos afectados a la versión PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 y todas las versiones posteriores de PAN-OS. Todos los servicios de Prisma Access están ahora actualizados para resolver este problema y ya no son vulnerables.
Las versiones del software PAN-OS 7.1 y 8.0 están al final de su vida útil y ya no están cubiertos por las políticas de garantía de seguridad del producto.
Fuentes de información hxxps://security.paloaltonetworks.com/CVE-2020-2040 hxxps://www.bleepingcomputer.com/news/security/palo-alto-networks-fixes-critical-
flaw-in-pan-os-firewall-software/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 160
Fecha: 11-09-2020
Página: 8 de 11
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Nuevo malware “CDRThief” dirigido a dispositivos Softswitch de VoIP de Linux
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
Los investigadores de ESET han descubierto un nuevo tipo de malware de Linux denominado “CDRThief” dirigido a los conmutadores de software de Voz sobre IP (VoIP) para el robo de metadatos de llamadas telefónicas y la exfiltración de datos confidenciales que afecta a los conmutadores chinos Linknat VOS2009 y VOS3000. El objetivo principal del malware es exfiltrar varios datos privados de un conmutador de software comprometido, incluidos los registros de detalles de llamadas (CDR). Los CDR contienen metadatos sobre llamadas VoIP, como direcciones IP de quien llama y de quien recibe la llamada, hora de inicio de la llamada, duración de la llamada, tarifa de llamada, etc. Un Softswitch es un elemento central de una red VoIP que proporciona control, facturación y administración de llamadas. Estos softswitches son soluciones basadas en software que se ejecutan en servidores Linux estándar.
2. Detalles:
Para el robo de los metadatos, el malware consulta las bases de datos internas de MySQL que utiliza el Softswitch. Para ello, los atacantes han demostrado tener un buen conocimiento de la arquitectura interna de la plataforma objetivo. Otro posible objetivo de los atacantes que utilizan este malware es el fraude de VoIP.
El malware tiene su funcionalidad maliciosa encriptada para evadir el análisis estático. El binario ELF del malware fue producido por el compilador Go y contiene los símbolos de depuración sin modificar. Para ocultar la funcionalidad maliciosa del análisis estático básico, los autores cifraron todas las strings de aspecto sospechoso con XXTEA y la clave fhu84ygf8643, y luego las codificaron en base64.
En esta campaña, el malware intenta localizar los archivos de configuración de los dispositivos Softswitch Linknat VOS2009 y VOS3000 de una lista de directorios predeterminados, con el objetivo de acceder a las credenciales de la base de datos “MySQL”, que luego se descifran para consultar la base de datos.
Los investigadores indicaron que los atacantes habrían aplicado ingeniería inversa a los binarios de la plataforma para analizar el proceso de cifrado y recuperar la clave AES utilizada para descifrar la contraseña de la base de datos. Además de recopilar información básica sobre el sistema Linknat comprometido, CDRThief extrae detalles de la base de datos (nombre de usuario, contraseña cifrada, dirección IP) y ejecuta consultas SQL directamente a la base de datos MySQL para capturar información relacionada con eventos del sistema, puertas de enlace VoIP y metadatos de llamadas.
Los datos que serán exfiltrados de las tablas e_syslog, e_gatewaymapping y e_cdr son comprimidos y luego cifrados con una clave pública RSA-1024 codificada antes de la exfiltración. Por lo tanto, solo los autores u operadores de malware pueden descifrar los datos extraídos.
Anton Cherepanov de ESET, indicó que los atacantes podrían obtener acceso al dispositivo mediante un ataque de fuerza bruta o explotando una vulnerabilidad existente.
3. Indicadores de compromiso (IoC): Ver IoC aquí.
4. Se recomienda:
No habilitar una macro que haya sido notificada como no segura por el Centro de Confianza de MS Office.
Mantener los programas y el sistema operativo actualizado.
No abrir correos de usuarios desconocidos y enlaces acortados.
No abrir correos electrónicos que contengan archivos ejecutables o comprimidos.
Contar con un software antivirus con capacidad proactiva de detección de malware y enlaces maliciosos.
Fuentes de información hxxps://www.welivesecurity.com/la-es/2020/09/11/cdrthief-malware-apunta-softswitches-voip-linux/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 160
Fecha: 11-09-2020
Página: 9 de 11
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del ransomware Zeppelin
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. El 11 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio “Data Breach Today”, se informa sobre la detección del ransomware Zeppelin, también conocido como Vega o VegaLocker, dirigido a empresas de tecnología y atención medica específicas, que al ser ejecutado enumera los archivos en todas las unidades y los recursos compartidos de red y los cifra con la finalidad de exigir un rescate a cambio de la recuperación, el cual se distribuye a través de campañas de correos electrónicos no deseados con archivos adjuntos infectados, sitios web de torrents, anuncios maliciosos, troyanos, fuentes de descarga no confiables, herramientas de activación ilegal o craqueo y actualizaciones de software falsas.
2. Detalles:
Los correos electrónicos de phishing se envían con un documento adjunto de Microsoft Word, representado como una factura, que oculta macros VBA maliciosas. Una vez que se abre el archivo adjunto, las macros se habilitan y comienza el ataque inicial. El documento de Word adjunto ayuda a ocultar lo que parece ser código basura, pero en realidad contiene scripts de Visual Basic ocultos en el texto. Una vez que se habilitan las macros maliciosas, el texto se extrae y se escribe en un archivo en c: wordpressabout1.vbs. Cuando se cierra el documento se ejecuta una segunda ronda de macros, finalmente descarga un troyano que luego instala el ransomware Zeppelin dentro del dispositivo comprometido.
El Ransomware Zeppelin obtiene las siguientes características.
o Registro de las IP y localización de las víctimas.
o Persistente al reinicio.
o Eliminación de copias de seguridad.
o Detención de procesos específicos.
o Desbloquea ficheros que se encuentran en ejecución o bloqueados para poder cifrarlos.
o Auto-borrado, elimina el ejecutable y las entradas del registro.
o Elevación de privilegios.
Imagen.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso (IoC).
o Archivos analizados: Nombre: docuview.exe
Tipo: Win32 EXE
Tamaño: 437.50 KB (448000 bytes)
MD5: e26982b170856ca8ca96a2f41b2306fb
SHA-1: e467f2bc6f01f2a13effaf8f6283d616ccf40e2e
SHA-256: 8d44fdbedd0ec9ae59fad78bdb12d15d6903470eb1046b45c227193b233adda6
o TOPOLOGÍA SHA-256:8d44fdbedd0ec9ae59fad78bdb12d15d6903470eb1046b45c227193b233adda6
3. Se recomienda:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//www.databreachtoday.in/zeppelin-ransomware-floats-back-into-view-a-14978
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 11 de 11
Índice alfabético
Código malicioso ............................................................................................................................................ 3, 4, 5, 6, 8, 9 Correo electrónico ..................................................................................................................................................... 3, 4, 9 Correo electrónico, redes sociales, entre otros ............................................................................................................ 4, 9 Explotación de vulnerabilidades conocidas ....................................................................................................................... 7 fuerza bruta ....................................................................................................................................................................... 8 hxxp ................................................................................................................................................................................... 3 Intento de intrusión ........................................................................................................................................................... 7 internet ...................................................................................................................................................................... 3, 5, 6 malware ................................................................................................................................................................. 2, 3, 5, 8 Malware ................................................................................................................................................................. 2, 5, 6, 8 phishing ............................................................................................................................................................................. 9 puerto ................................................................................................................................................................................ 6 ransomware ......................................................................................................................................................... 2, 4, 9, 10 Ransomware .............................................................................................................................................................. 3, 4, 9 Red, internet ...................................................................................................................................................................... 7 redes sociales ..................................................................................................................................................................... 1 servidor .............................................................................................................................................................................. 6 servidores ...................................................................................................................................................................... 3, 8 software ............................................................................................................................................................. 3, 4, 7, 8, 9 troyanos ............................................................................................................................................................................. 9 USB, disco, red, correo, navegación de internet ........................................................................................................... 6, 8
