Lima, 14 de julio de 2021

CNSD│Centro Nacional de Seguridad Digital

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 14 de julio de 2021

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Actualizaciones críticas de Seguridad de Microsoft – Julio 2021 .................................................................. 3

Nuevo módulo VNC en actividad del malware Trickbot ................................................................................ 5

Actualización de Microsoft Windows. ........................................................................................................... 7

Múltiples vulnerabilidades en productos de Schneider Electric ................................................................... 9

Vulnerabilidad crítica de ejecución remota de código en Serv-U de SolarWinds .......................................11

Detección de sitio web fraudulento del Banco del Crédito del Perú ..........................................................12

Índice alfabético ..........................................................................................................................................14

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 174

Fecha: 14-07-2021

Página: 3 de 14

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Actualizaciones críticas de Seguridad de Microsoft – Julio 2021

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que Microsoft lanzó sus actualizaciones para parchear al menos 117 vulnerabilidades de seguridad en sistemas operativos Windows y software relacionado, de las cuales 13 son de severidad crítica, 103 importantes y una moderada. Así mismo al menos cuatro de las vulnerabilidades abordadas hoy están bajo ataque activo, según Microsoft.

Recursos afectados:

• .NET Install Tool for Extension Authors

• HEVC Video Extensions

• Microsoft Bing Search para Android

• Microsoft Dynamics 365 Business Central 2021 Release Wave 1 - Update 18.3

• Microsoft Edge (Chromium-based)

• Microsoft Excel 2013 Service Pack 1 (64-bit eds.)

• Microsoft Exchange Server 2013 Cumulative Update 23 y 2019 Cum. Up. 8, 9 y 10

• Microsoft Malware Protection Engine

• Microsoft Office 2013 Service Pack 1 (64-bit eds.)

• Microsoft Office Online Server

• Microsoft SharePoint Foundation 2013 Service Pack 1

• Microsoft Word 2016 (64-bit ed.)

• Open Enclave SDK

• Power BI Report Server

• Visual Studio Code

• Windows 10

• Windows RT 8.1

• Windows Server 2012 R2, 2016, 2019, versión 2004 y versión 20H2

Solución

En la mayor parte de los casos, el software afectado se actualizará automáticamente por defecto. No obstante, en el caso de que no se realizase dicha actualización de forma automática, Microsoft pone a

disposición de los usuarios un portal web con toda la información relacionada, así como los parches de los productos afectados para descarga y que se puede consultar aquí: Security Update Guide - Microsoft

Recomendación:

Se recomienda actualizar lo antes posible el software afectado a la última versión y activar las actualizaciones automáticas en caso de que no se estén aplicando por defecto.

http://www.gob.pe/


https://msrc.microsoft.com/update-guide/en-us


www.gob.pe

[email protected]

Los usuarios que tengan instalados Windows 7, Windows Server 2008 R2 o Windows Server 2008 necesitan adquirir el Extended Security Update para seguir recibiendo las actualizaciones de seguridad.

Relacionado:

Adobe también emitió actualizaciones de seguridad para Adobe Acrobat y Reader, así como para Dimension, Illustrator, Framemaker y Adobe Bridge.

Chrome y Firefox también han enviado recientemente importantes actualizaciones de seguridad.

Fuentes de información hxxps://www.incibe.es/protege-tu-empresa/avisos-seguridad/boletin-mensual-microsoft-julio-2021 hxxps://blog.segu-info.com.ar/2021/07/actualizaciones-criticas-de-seguridad.html

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 14-07-2021

Página: 5 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Nuevo módulo VNC en actividad del malware Trickbot

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código Malicioso

Descripción

Fecha del evento:

• A través del monitoreo y búsqueda de amenazas en el ciberespacio el 13 de julio de 2021, se tomó conocimiento a través de la publicación realizada en la página web de “Bitdefender”, sobre la actividad del malware Trickbot en un nuevo módulo VNC para infectar máquinas de sus víctimas.

Antecedentes:

• Trickbot, el grupo multinacional de ciberdelincuencia con sede en Rusia existe desde finales de 2016 cuando apareció en forma de una aplicación bancaria y de robo de credenciales, inspirándose en Dyre (o Dyreza).

• En octubre del año pasado, Black Lotus Labs reveló que TrickBot se ha desarrollado para piratear servidores de terceros y utilizarlos para alojar malware. También se ha descubierto que la botnet se ha dirigido a enrutadores DSL y otros dispositivos de los clientes. Para garantizar el máximo sigilo, el grupo delictivo detrás del malware ha estado rotando continuamente sus direcciones IP y hosts comprometidos, reconociendo efectivamente la detección de delitos.

Detalles:

• Una botnet, como TrickBot, está formada por decenas o cientos de dispositivos comprometidos que se incorporan a una red controlada por delincuentes. Los piratas informáticos suelen utilizarlos para ejecutar ataques de denegación de servicio (DoS) con el objetivo de paralizar empresas e infraestructuras vitales. Esto distribuye malware, spam y ransomware que encripta el disco duro.

• Los operadores de botnets introducen nuevos componentes de firmware que pueden ayudarlos a escapar de la detección de antivirus, actualizaciones de software, limpieza completa y reinstalación del sistema operativo. Su sofisticación continua permite que las tácticas del grupo TrickBot logre sobrevivir ante el Cyber Command de EE. UU. y Microsoft.

• TrickBot ha estado trabajando activamente en una versión mejorada de un módulo llamado "vncDll". Los actores de amenazas lo han estado utilizando para monitorear y recopilar inteligencia sobre objetivos seleccionados de alto perfil.

• El nuevo módulo está diseñado para comunicarse con uno de los nueve servidores de Comando y Control (C2) definidos en el archivo de configuración, que puede usarse para capturar una serie de comandos de ataque y descargar más cargas útiles de malware por lo que el servidor recopila lo que recopila de la máquina. Además, se identificó una "herramienta de visualización" que los atacantes utilizarían para interactuar con las víctimas a través de un servidor C2.

http://www.gob.pe/



www.gob.pe

[email protected]

• Bitdefender advierte que el malware Trickbot no muestra signos de desaceleración, por lo que continúa renovando su infraestructura en respuesta a las recientes contramedidas adoptadas por las fuerzas del orden.

Recomendación:

• Comience por instruir al personal bajo su mando con conocimientos en ciberseguridad y de cómo funciona el phishing.

• Utilice herramientas de detección de malware.

• Separe las máquinas infectadas de las sanas.

• Cambiar todas las contraseñas y deshabilitar los recursos compartidos administrativos.

• Utilice un programa de protección multicapa que lo bloqueará en tiempo real.

• Bloquear direcciones IP que parezcan sospechosas.

Fuentes de información hxxps://www.bitdefender.com/blog/labs/trickbot-activity-increases-new-vnc-module-on-the-radar

INFORMACIÓN GENERAL DEL ATAQUE

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 14-07-2021

Página: 7 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Actualización de Microsoft Windows.


Medios de propagación Correo electrónico, redes sociales, entre otros.



Descripción

El 14 de julio de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que la empresa Microsoft Windows liberó actualizaciones para abordar vulnerabilidades en múltiples productos. Los recursos afectados son los siguientes:

• Common Internet File System

• Dynamics Business Central Control

• Microsoft Bing

• Microsoft Dynamics

• Microsoft Exchange Server

• Microsoft Graphics Component

• Microsoft Office

• Microsoft Office Excel

• Microsoft Office SharePoint

• Microsoft Scripting Engine

• Microsoft Windows Codecs Library

• Microsoft Windows DNS

• Microsoft Windows Media Foundation

• OpenEnclave

• Power BI

• Role: DNS Server

• Role: Hyper-V

• Visual Studio Code

• Visual Studio Code - .NET Runtime

• Visual Studio Code - Maven for Java Extension

• Windows Active Directory

• Windows Address Book

• Windows AF_UNIX Socket Provider

• Windows AppContainer

• Windows AppX Deployment Extensions

• Windows Authenticode

• Windows Cloud Files Mini Filter Driver

• Windows Console Driver

• Windows Defender

• Windows Desktop Bridge

• Windows Event Tracing

• Windows File History Service

• Windows Hello

• Windows HTML Platform

• Windows Installer

http://www.gob.pe/



www.gob.pe

[email protected]

• Windows Kernel

• Windows Key Distribution Center

• Windows Local Security Authority Subsystem Service

• Windows MSHTML Platform

• Windows Partition Management Driver

• Windows PFX Encryption

• Windows Print Spooler Components

• Windows Projected File System

• Windows Remote Access Connection Manager

• Windows Remote Assistance

• Windows Secure Kernel Mode

• Windows Security Account Manager

• Windows Shell

• Windows SMB

• Windows Storage Spaces Controller

• Windows TCP/IP

• Windows Win32K

Cabe indicar, el atacante podría aprovechar estas vulnerabilidades para divulgación de información sensible.

Recomendaciones:

• Mantener el conocimiento de las últimas amenazas y zonas vulnerables de la organización.

• Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 174

Fecha: 14-07-2021

Página: 9 de 14

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Múltiples vulnerabilidades en productos de Schneider Electric





Descripción

Resumen:

Investigadores de FortiGuard Labs de Fortinet, Kaspersky, Armis, Tenable y Friday Lab - Bolean Tech, han reportado múltiples vulnerabilidades de severidad ALTA de tipo credenciales insuficientemente protegidas, omisión de autenticación por suplantación, deserialización de datos que no son de confianza y cifrado faltante de datos confidenciales que afecta a diversos productos de Schneider Electric. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto la ejecución de código arbitrario y la pérdida de la confidencialidad e integridad del archivo del proyecto.

Detalles:

En el Perú, múltiples sectores de infraestructuras críticas como instalaciones gubernamentales, energía, sistemas de transporte, sistemas de agua y aguas residuales que utilizan el software de Schneider Electric podrían ser afectados mediante la explotación de estas vulnerabilidades, lo que permitiría a un atacante remoto autenticado la ejecución de código y la perdida de la confidencialidad e integridad del archivo del proyecto.

• La vulnerabilidad registrada como CVE-2021-22778 se debe a credenciales insuficientemente protegidas. Un atacante remoto podría utilizar un archivo de proyecto especialmente diseñado y leer bloques de funciones derivados protegidos.

• La vulnerabilidad registrada como CVE-2021-22780 se debe a credenciales insuficientemente protegidas. Un atacante autenticado de forma remota podría obtener acceso no autorizado a un archivo de proyecto protegido por una contraseña cuando este archivo se comparte con fuentes no confiables y ver y modificar un archivo de proyecto.

• La vulnerabilidad registrada como CVE-2021-22781 se debe a credenciales insuficientemente protegidas. Un atacante remoto podría acceder a un archivo de proyecto y provocar una fuga de credenciales SMTP.

• La vulnerabilidad registrada como CVE-2021-22782 se debe a la falta de cifrado de un problema de datos confidenciales. Un atacante remoto podría acceder a un archivo de proyecto y provocar una fuga de información que permita la divulgación de información de la red y del proceso, credenciales o propiedad intelectual.

• La vulnerabilidad registrada como CVE-2021-22779 se debe a la omisión de autenticación por problema de suplantación de identidad. Un atacante remoto podría obtener acceso no autorizado en modo de lectura y escritura al controlador.

• La vulnerabilidad registrada como CVE-2021-12525 se debe a una validación de entrada insegura al procesar datos serializados. Un atacante autenticado de forma remota podría utilizar un archivo de proyecto especialmente diseñado y ejecutar código arbitrario en el sistema de destino.

http://www.gob.pe/


https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22778







www.gob.pe

[email protected]

Productos afectados:

• EcoStruxure Control Expert, todas las versiones anteriores a v15.0 SP1 y todas las versiones Unity Pro;

• EcoStruxure Process Expert, todas las versiones y todas las versiones de EcoStruxure Hybrid DCS;

• SCADAPack RemoteConnect para x70, todas las versiones;

• SCADAPack 470, 474, 570, 574 y 575 RTU, todas las versiones;

• CPU Modicon M580 y M340 (números de pieza BMEP * y BMEH *), todas las versiones;

• CPU Modicon M340 (números de pieza BMXP34 *), todas las versiones.

Solución:

Schneider Electric recomienda actualizar sus productos afectados a la última versión disponible.

Fuentes de información ▪ hxxps://us-cert.cisa.gov/ics/advisories/icsa-21-194-02 ▪ hxxps://www.cybersecurity-help.cz/vdb/SB2021071414

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 14-07-2021

Página: 11 de 14

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Vulnerabilidad crítica de ejecución remota de código en Serv-U de SolarWinds





Descripción

Resumen:

Investigadores de Microsoft Threat Intelligence Center (MSTIC) han reportado una vulnerabilidad de severidad CRÍTICA de tipo ejecución remota de código (RCE) que afecta a Serv-U de SolarWinds. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el sistema de destino, así como obtener acceso privilegiado en la máquina que aloja Serv-U.

Detalles:

La vulnerabilidad registrada como CVE-2021-35211 existe debido a un error de límite. Un atacante remoto podría enviar una solicitud especialmente diseñada al servidor Serv-U, provocar daños en la memoria y ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Microsoft ha detectado un exploit de ejecución remota de código de día cero que se utiliza para atacar el software FTP SolarWinds Serv-U en ataques limitados y dirigidos.

La vulnerabilidad que Microsoft informó a SolarWinds, existe en la implementación de Serv-U del protocolo Secure Shell (SSH). Si el SSH de Serv-U está expuesto a Internet, la explotación exitosa daría a los atacantes la capacidad de ejecutar de forma remota código arbitrario con privilegios, lo que les permitirá realizar acciones como instalar y ejecutar cargas útiles maliciosas, o ver y cambiar datos. Instamos encarecidamente a todos los clientes a actualizar sus instancias de Serv-U a la última versión disponible.

Producto afectado:

Serv-U 15.2.3 HF1 y todas las versiones anteriores de Serv-U.

SolarWinds Serv-U Managed File Transfer y Serv-U FTP Secure para Windows se ven afectados por esta vulnerabilidad. Las versiones de Linux de estos productos no son vulnerables a una explotación RCE de esta vulnerabilidad de seguridad. La versión de Linux del producto Serv-U falla cuando un actor de amenazas intenta el exploit.

Solución:

SolarWinds recomienda actualizar los productos afectados a Serv-U 15.2.3 HF2.

Fuentes de información

▪ hxxps://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211 ▪ hxxps://www.cybersecurity-help.cz/vdb/SB2021071315 ▪ hxxps://www.microsoft.com/security/blog/2021/07/13/microsoft-discovers-threat-actor-

targeting-solarwinds-serv-u-software-with-0-day-exploit/

http://www.gob.pe/



https://customerportal.solarwinds.com/


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 14-07-2021

Página: 12 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección de sitio web fraudulento del Banco del Crédito del Perú

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que actores de amenazas vienen realizando una campaña de phishing, suplantando el sitio web del Banco del Crédito del Perú, con la finalidad de obtener las credenciales de acceso a la banca por internet como el número de tarjeta de crédito o débito, documentos de identidad de los usuarios de la entidad financiera.

Detalles del proceso de phishing

Indican que registre los datos del operador y número de celular de la víctima

03

Requieren la fecha de caducidad y el código de verificación de la tarjeta de crédito o débito.

04

Informan a la víctima que es necesario validar los datos nuevamente, para ello redirige a la web oficial del BCP

05

01

Solicita el número de tarjeta de crédito o débito con la clave de 6 dígitos

02

Instan registrar el número de DNI

http://www.gob.pe/



www.gob.pe

[email protected]

Comparación del sitio web oficial y fraudulento.

La URL sospechosa fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo lo siguiente:

• URL Malicioso: hxxps://www[.]zonasegurabeltalbcp[.]pe-sec[.]com/1626280148/iniciar-sesion

• Dominio: zonasegurabeltalbcp[.]pe-sec[.]com

• Longitud: 211.00 B

• SHA-256: 1111ed229890ac15821aec9638eaa9c63e9be6ae2937f1c5de8183e06e11b4b5

Comparación de los dominios del sitio web oficial del Banco del crédito del Perú y la plataforma web sospechosa

Apreciación de la información:

• La presente campaña de phishing permite a los actores de amenazas obtener las credenciales de acceso a la banca por internet de los usuarios del Banco del Crédito del Perú.

• El medio de propagación del sitio web fraudulento es a través de los correos electrónicos, donde ciberdelincuentes adjuntando enlaces de sitios web preparados con la finalidad de obtener información sensible de las víctimas; asimismo, a través de las aplicaciones de mensajería instantánea entre ellos WhatsApp, Telegram, Messenger, etc. y mensajes de textos SMS.

Recomendaciones:

• Verificar detalladamente las URL de los sitios web

• No abrir o descargar archivos sospechosos.

• No seguir las instrucciones de desconocidos.

• Comunicar a la entidad financiera si ha realizado un registro de acceso en un sitio web sospechoso.

Fuentes de información Análisis propio de redes sociales y fuente abierta

DOMINIO DEL SITIO WEB OFICIAL DEL BANCO

DEL CRÉDITO DEL PERÚ

DOMINIO DE LA PLATAFORMA WEB

SOSPECHOSA

➢ Existe una diferencia entre la URL original y la URL fraudulenta.

➢ La URL hxxps://www[.]zonasegurabeltalbcp[.]pe-sec[.]com/1626280148/iniciar-

sesion POSEE PROTOCOLO DE SEGURIDAD DE RED (https)

URL DEL SITIO WEB OFICIAL DEL BCP URL DE LA PLATAFORMA WEB SOSPECHOSA

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 14 de 14

Índice alfabético

botnet ................................................................................................................................................................................ 5 botnets ............................................................................................................................................................................... 5 Correo electrónico ............................................................................................................................................................. 7 Correo electrónico, redes sociales, entre otros ................................................................................................................ 7 Explotación de vulnerabilidades conocidas ......................................................................................................... 3, 7, 9, 11 Fraude .............................................................................................................................................................................. 12 Intento de intrusión ............................................................................................................................................. 3, 7, 9, 11 internet ...................................................................................................................................................................... 12, 13 malware ......................................................................................................................................................................... 5, 6 Malware ......................................................................................................................................................................... 3, 5 phishing ................................................................................................................................................................. 6, 12, 13 Phishing............................................................................................................................................................................ 12 ransomware ....................................................................................................................................................................... 5 Red, internet ............................................................................................................................................................ 3, 9, 11 redes sociales ............................................................................................................................................................... 1, 13 Redes sociales .................................................................................................................................................................. 12 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................................... 12 servidor ........................................................................................................................................................................ 5, 11 servidores .......................................................................................................................................................................... 5 software ........................................................................................................................................................... 3, 5, 8, 9, 11 URL ................................................................................................................................................................................... 13 USB, disco, red, correo, navegación de internet ............................................................................................................... 5 Vulnerabilidad .................................................................................................................................................................. 11

http://www.gob.pe/


Lima, 14 de julio de 2021

Documents

Transcript of Lima, 14 de julio de 2021