PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 29 de abril de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Campaña de envió de ransomware LockBit ...................................................................................................... 3

Vulnerabilidad en Samba .................................................................................................................................... 4

Vulnerabilidad crítica de control de acceso inapropiado en Fortinet ................................................................ 5

Ransomware LockBit toma ejemplo de REvil y Maze para mantenerse actualizado ......................................... 6

Microsoft advierte sobre malware lanzado a través de películas pirateadas. ................................................... 8

Vulnerabilidad en el plugin real time find and replace de Wordpress ............................................................... 9

Vulnerabilidad de denegación de servicio de Cisco Capwap ........................................................................... 10

Campaña de acoso............................................................................................................................................ 11

Venta de cuentas robadas y tarjetas de crédito............................................................................................... 12

Infectan 35,000 computadoras con criptomineria. .......................................................................................... 13

Hackeos de cuentas de Microsoft Teams. ........................................................................................................ 14

Nueva modalidad de extorsión mediante ransomwares ................................................................................. 15

Filtración de información de CCN-CERT ........................................................................................................... 16

Vulnerabilidad crítica en dispositivos WIFI ....................................................................................................... 17

Nuevo malware sigiloso “BazarBackdoor” dirigido a las redes corporativas en el sector empresarial y

desarrollado por el grupo de amenazas TrickBot ............................................................................................. 18

Malware que se hacer pasar por el FBI ............................................................................................................ 21

Página web falsa de Banco de Crédito del Perú (vlazona…) ............................................................................. 23

Página web falsa de Banco de Crédito del Perú (1bcpzo…) ............................................................................. 24

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 3 de 24

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Campaña de envió de ransomware LockBit Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Red y correo electrónico

Código de familia C Código de Sub familia C09

Clasificación temática familia Código Malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una campaña de envió de mensajes con contenido engañoso que se está difundiendo a través de correo electrónico, el cual adjunta un archivo infectado con un malware de tipo ransomware denominado “LockBit”.

2. Detalles de la alerta:

LockBit es el nombre dado a un software malicioso, que se clasifica como ransomware, el cual está diseñado para cifrar los archivos de los sistemas infectados y exigir que se pague un rescate para su recuperación. Durante el proceso de cifrado, todos los archivos afectados se agregan con la extensión “.lockbit”. El cifrado es una combinación de los tipos estándar de cifrado avanzado (AES) y el sistema criptográfico de clave pública(RSA) lo que hace muy difícil recuperación de datos.

Una vez cifrada los archivos, se crea una nota de rescate “Restore-Mi-files.txt”, el cual incluye información sobre la infección y lo que las víctimas deben hacer para recuperar el acceso a los archivos.

Asimismo, La versión más reciente de LockBit nos muestra una nota de rescate que amenaza con filtrar los datos que el malware ha robado y cifrado en nuestro equipo.

Cabe precisar, que LockBit anteriormente conocido como ransomware ABCD, es un bloqueador de datos que proviene de la familia de virus LockerGoga y se dirige principalmente a las corporaciones para mayores demandas de rescate, descubierto a finales del año 2019.

3. Indicadores de compromiso:

SHA256 : 0e66029132a885143b87b1e49e32663a52737bbff4ab96186e9e5e829aa2915f

MD5 : 889328e2cf5f5d74531b9b0a25c1871c

SHA1 : d14a6e699a1f0805bd1248c80c2dc9dfccf0f403

4. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Evaluar el bloqueo preventivo de los indicadores de compromisos.

Realizar copias de seguridad de la información, el cual debería alojarse en un medio externo distinto al equipo.

Evitar abrir correos de dudosa procedencia e Informar a su oficial de seguridad o responsable de TI sobre su existencia, con el propósito de reducir el riesgo de ser víctima de un ciberataque.

En caso de que algún equipo sea infectado con ransomware, la recomendación es no pagar el rescate. Si lo hace, no hay garantía de recuperar el acceso a la información

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 4 de 24

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad en Samba

Tipo de ataque Fuerza Bruta, Metaexploits Abreviatura Vulnerabilidad Fortinet

Medios de propagación Red, Servidores

Código de familia C Código de sub familia CO2 Clasificación temática familia Vulnerabilidad

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que Andrew Barlett de Catalyst, y Andrei Popa, han detectado dos vulnerabilidades, una de criticidad alta y otra media, que afectan a múltiples versiones de Samba. Un atacante remoto, no autenticado, podría utilizar memoria previamente liberada (use-after-free) u ocasionar un SIGSEGV en el servidor.

2. La vulnerabilidad de severidad alta se debe a una búsqueda LDAP, no autenticada, mediante un filtro profundamente anidado, esto puede agotar los recursos de la pila de memoria del servidor LDAP y ocasionar un SIGSEGV. Se ha reservado el identificador CVE-2020-10704 para esta vulnerabilidad.

3. A la vulnerabilidad de severidad media, del tipo uso de memoria previamente liberada (user-after-free), se le ha reservado el identificador CVE-2020-10700.

4. Se recomienda:

Actualizar a las versiones 4.10.15, 4.11.8 o 4.12.2

Fuentes de información https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-samba-0

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 5 de 24

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad crítica de control de acceso inapropiado en Fortinet

Tipo de ataque Fuerza Bruta, Metaexploits Abreviatura Vulnerabilidad Fortinet

Medios de propagación Red, Servidores

Código de familia C Código de sub familia CO2

Clasificación temática familia Vulnerabilidad

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que el investigador Mike Connor ha detectado una vulnerabilidad, de severidad crítica, del tipo control de acceso inapropiado, que afecta a varios productos de Fortinet.

2. Fortinet ha confirmado la vulnerabilidad de control de acceso inapropiado, en FortiMail y FortiVoiceEnterpries que podría permitir a un atacante remoto, no autenticado, acceder al sistema como un usuario legitimo al solicitar un cambio de contraseña a través de la interfaz de usuario. Se ha asignado el identificador CVE-2020-9294 para esta vulnerabilidad.

3. Las versiones afectadas son las siguientes:

FortiMail: 5.4.10 y anteriores, 6.0.7 y anteriores y 6.2.2 y anteriores.

FortiVoiceEnterprise: 6.0.1 y anteriores

Las versiones 5.3 y anteriores, no se ven afectadas por esta vulnerabilidad.

4. Se recomienda:

Actualizar a FortiMail 5.4.11+, 6.0.8+ o 6.2.3+ y actualizar FortiVoiceEnterprise a la versión 6.0.2 o posterior.

Fuentes de información https://blog.segu-info.com.ar/2020/04/vulnerabilidad-critica-de-control-de.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 6 de 24

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Ransomware LockBit toma ejemplo de REvil y Maze para mantenerse actualizado Tipo de ataque Ransonware Abreviatura Ransonware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de Subfamilia C

Clasificación temática familia Código Malicioso

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó una publicación el 27 de abril de 2020, por el consultor de seguridad Alejandro Parras, que el ransomware LockBit está incorporando nuevas funcionalidades. Siguiendo el ejemplo de REvil y Maze, LockBit está amenazando a sus víctimas con la publicación de los datos en el caso de que no se llegue a efectuar el pago, además de incorporar una nueva técnica de escalada de privilegios.

2. La versión más reciente de LockBit nos muestra una nota de rescate que amenaza con filtrar los datos que el malware ha robado y cifrado en el equipo víctima.

Si la amenaza se llevase a cabo esto podría ocasionar graves problemas para las víctimas del ransomware, puesto que se estarían violando las reglas generales de protección de datos (RGPD) de la UE, que hacen que las empresas sean las responsables de la protección de los datos sensibles de sus clientes.

Según investigadores de Sophos el código fue escrito principalmente en C++, con algunos módulos extra hechos en ensamblador.

3. Lo primero que hace el ransomware tras su ejecución es verificar si la muestra se ejecutó con algún parámetro agregado desde la línea de comandos. Esto se hace para verificar si se está ejecutando en una VM. Las muestras de malware que estamos viendo actualmente requieren de parámetros específicos para su ejecución para así evitar ser analizados mediante algún sandbox automatizado, que a menudo ejecuta muestras sin parámetros. En este ejemplo, la muestra analizada por Sophos no se ejecutará si se ingresa algún parámetro desde la línea de comandos. Si no hay argumentos a la hora de su ejecución Lockbit oculta la salida de la consola, donde el malware imprime mensajes de depuración y procede a hacer su trabajo.

El verificador de parámetros de la línea de comandos en LockBit detiene el ransomware si se pasa algún parámetro

LockBit necesita verificar que tiene permisos de administrador para poder causar el mayor daño posible. Si no los tiene

ejecuta una técnica que está creciendo en popularidad entre los desarrolladores de malware: un bypass de Control de

cuentas de usuario de Windows (UAC).

Aprovechando OpenProcessToken , consulta el proceso actual a través de una máscara de acceso TOKEN_QUERY.

Después de eso, llama a CreateWellKnownSid para crear un identificador de seguridad de usuario (SID) que coincida con

el grupo de administradores (WinBuiltinAdministratorsSid ), por lo que ahora el malware tiene una referencia que puede

usar para las comparaciones. Finalmente, verifica si los privilegios actuales del proceso son suficientes para los derechos

del Administrador, con una llamada a CheckTokenMembership.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Verificación del SID del administrador con el SID del proceso actual.

4. Una publicación reciente en Twitter demuestra cómo es el futuro de LockBit en un reciente ataque.

5. Se recomienda:

Tener activos todos los medios de seguridad y evitar utilizar dispositivos electrónicos (usb, discos externos, etc.).

Mantener aislados los servidores principales donde se guarda la información personal y confidencial.

Designar un equipo de respuesta ante incidentes informáticos o ante alguna inconveniencia en la web y ante alguna eventualidad de envíos de mensajes de dudosa procedencia y otros.

Informar inmediatamente al personal informático especializado de su organización

Fuentes de información

1. https://unaaldia.hispasec.com/2020/04/el-ransomware-lockbit-toma-ejemplo-de-revil-y-maze-para-mantenerse-actualizado.html?fbclid=IwAR3u18QpR3eXzY8f5ZoH1XQCwVcBGyJnaVg_9kWGDge1G0_LK_673_cXtTU

2. https://www.facebook.com/permalink.php?id=1010049199020222&story_fbid=3935365826488530

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 8 de 24

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Microsoft advierte sobre malware lanzado a través de películas pirateadas. Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, Disco, Red, Correo, Navegación de Internet.

Código de familia C Código de Subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 28 de abril de 2020 por bleepingcomputer, sobre malware lanzado a través de películas pirateadas.

2. Mucha gente se encuentra en casa buscando cómo llenar el tiempo, los atacantes usan algunas películas populares como señuelo. Y luego procuran que su carga útil maligna forme parte de los paquetes que el usuario termina descargando”.

3. Decenas de miles de usuarios de Internet en España, México, y países sudamericanos, principalmente Chile, han descargado copias pirateadas de "John Wick 3" y otras películas que incluyen software maligno como “Puñales por la Espalda” y “Contagio”, una versión doblada al español de la película “Contagion” con temática pandémica.

4. El VBScript malicioso se camufla como películas populares de Hollywood los nombres de los archivos malignos incluyen, “contagio-1080p”, “John_Wick_3_Parabellum”, “Punales_por_la_espalda_BluRay_1080p”, “La_hija_de_un_ladron” y “lo-dejo-cuando-quiera”, Después de que los objetivos inicien el VBScript en sus computadoras, descargará cargas maliciosas.

5. Los atacantes también estaban explotando la exageración en torno a las películas nominadas al Oscar a la Mejor Película de este año como señuelos diseñados para ayudarlos a infectar a los fanáticos con malware y atraerlos a las páginas de destino de phishing que cosecharían su información financiera y personal, se encontraron más de 20 sitios web de phishing y 925 archivos maliciosos que se presentaron como películas gratuitas, solo para atacar al usuario".

6. Se recomienda:

Inscribirse a las plataformas de transmisión y suscripciones legales para asegurarse de no ser victima de estos malos actores.

Fuentes de información https://www.bleepingcomputer.com/news/security/microsoft-warns-of-malware-surprise-pushed-via-pirated-movies/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 9 de 24

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad en el plugin real time find and replace de Wordpress Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC

Medios de propagación Red, navegación de internet

Código de familia H Código de Subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del informe de los especialistas de Wordfence (empresa de monitoreo y seguridad de WordPress) sobre la detección de la vulnerabilidad de Real Time Find and Replace un popular plugin de WordPress activo en los sitios web de sistema de gestión de contenido, la información fue publicada el 28 de abril de 2020 por la web de Noticias de Seguridad.

2. Según Wordfence, de ser explotada esta vulnerabilidad podría permitir a los actores de amenazas inyectar código JavaScript malicioso en cualquier sector del sitio afectado, todo lo que requieren los atacantes es engañar al administrador para que descargue un documento o haga clic en un enlace de un correo electrónico.

3. El Real Time Find and Replace proporciona una función para reemplazar dinámicamente cualquier contenido HTML en sitios de WordPress, colocando contenido nuevo sin cambiar permanentemente el contenido original los datos nuevos son cargados de forma inmediata, antes de que se entreguen al navegador del visitante del sitio de WordPress.

4. Se recomienda:

Actualizar los plugins a una versiona más actual (v4.0.2)

Fuentes de información https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-real-time-find-and-replace-plugin-de-wordpress/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 10 de 24

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad de denegación de servicio de Cisco Capwap Tipo de ataque Interrupción de servicios tecnológicos Abreviatura IntServTec

Medios de propagación Usb, disco, red, correo, navegación de internet

Código de familia F Código de Subfamilia F02

Clasificación temática familia Disponibilidad del servicio

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de especialistas en seguridad de la empresa de Cisco la vulnerabilidad “CVE-2020-3262”, que fue detectada el 28 de abril de 2020, la cual afecta el controlador de protocolo de Control y aprovisionamiento de puntos de acceso inalámbrico (CAPWAP) del software Cisco Wireless.

2. Cuando la vulnerabilidad es explotada por un atacante remoto no autenticado causa una condición de denegación de servicio (DoS) en un dispositivo afectado,

3. La vulnerabilidad se debe a una validación insuficiente de los paquetes CAPWAP. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete CAPWAP con formato incorrecto a un dispositivo afectado, esto causa que la explotación sea exitosa y así el atacante logre tomar el control del dispositivo impactando la disponibilidad de la misma.

4. Se recomienda:

Actualizar los paquetes CAPWAP CISCO regularmente.

Fuentes de información

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-capwap-dos-Y2sD9uEw https://bugs.launchpad.net/bugs/cve/2020-3262

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 11 de 24

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Campaña de acoso Tipo de ataque Robo de información. Abreviatura RobInfo

Medios de propagación Darkweb, internet y red

Código de familia K Código de sub familia K01

Clasificación temática familia Uso inapropiado de recursos.

Descripción

1. El 28 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un foro en la Darknet donde publican la base de datos con 25.000 direcciones de correos electrónicos y contraseñas vinculadas a distintas organizaciones internacionales que luchan contra la pandemia.

2. En el caso de la Organización Mundial de la Salud confirmó la fuga de 2.712 direcciones de correo electrónico registradas en sistemas y aplicaciones externas, aunque solamente 457 de esas cuentas están actualmente activas.

3. Esta base de datos puede ser utilizada por ciberdelincuentes para realizar ataques a diferentes instituciones nacionales que luchan contra la pandemia en el país, con la finalidad del robo de información, robo de identidad y estafas.

4. Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 12 de 24

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Venta de cuentas robadas y tarjetas de crédito. Tipo de ataque Robo de información. Abreviatura RobInfo

Medios de propagación Darkweb, internet y red.

Código de familia K Código de sub familia K01

Clasificación temática familia Uso inapropiado de recursos.

Descripción

1. El 28 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un foro en la Darknet donde ofrecen transferencias bancarias, Western Union, Paypal, cuentas corrientes, entre otros.

2. El usuario asegura trasferencias vía Wester Union, Money Gram, Paypal, transferencias bancarias, tarjetas de crédito con saldo, tarjetas robadas de EEUU entre otros.

3. Se recomienda:

Cambiar periódicamente las contraseñas de sus tarjetas bancarias.

Asegurar sus tarjetas bancarias con un seguro antifraudes.

Fuentes de información Comandancia de Ciberdefensa de la Marina.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 13 de 24

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Infectan 35,000 computadoras con criptomineria. Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB

Código de familia C Código de sub familia C03

Clasificación temática familia Código malicioso.

Descripción

1. El 28 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó una botnet llamada "VictoryGate". La mayoría de los ordenadores infectados se encuentra en América Latina, donde el 90% de los dispositivos comprometidos estaban ubicados en Perú, las víctimas incluyen organizaciones de los sectores público y privado, incluidas las instituciones financieras.

2. La cual su actividad principal de este botnet es extraer criptomonedas de un monero, este se propaga a través de dispositivos extraíbles como unidades USB, que, cuando se conecta a la máquina víctima, instala una carga maliciosa en el sistema, luego se comunica con el servidor de comando y control para recibir una carga secundaria que inyecta código arbitrario en procesos legítimos de Windows.

3. Se recomienda:

Hacer copias de seguridad de nuestros archivos.

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 14 de 24

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Hackeos de cuentas de Microsoft Teams. Tipo de ataque Explotación de vulnerabilidades conocidas. Abreviatura EVC

Medios de propagación Red, Internet

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que hackers podrían vulnerar cuentas de Microsoft Teams con una simple imagen. La vulnerabilidad se debe a la forma en que la empresa Microsoft Teams maneja la autenticación de los recursos de imagen. Cada vez que se abre la aplicación, se crea un token de acceso, lo que permite que el usuario pueda ver imágenes compartidas por otras personas en una conversación.

2. Investigadores descubrieron que podían obtener una cookie llamada «authoken», que otorga acceso a un servidor de recursos (api.spaces.skype.com) y la usaron para crear el «token de skype», con lo que se logra obtener permisos ilimitados para enviar mensajes, leer mensajes, crear grupos, agregar nuevos usuarios o eliminar usuarios de grupos y cambiar permisos en grupos.

3. Se descubrieron dos subdominios (aadsync-test.teams.microsoft.com y data-dev.teams.microsoft.com), que eran vulnerables a los ataques de toma de control, una vez con los subdominios comprometidos, un hacker podría explotar la vulnerabilidad simplemente enviando un enlace malicioso, como un GIF (formato gráfico digital) a uno o a todos los miembros de un chat grupal.

4. Se recomienda:

Actualizar el Software con el último parche brindado por la empresa.

Actualizar el sistema operativo y el antivirus.

Evitar acceder a enlaces adjuntos en mensajes no esperados o solicitados.

Fuentes de información Comandancia de Ciberdefensa de la Marina.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 15 de 24

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Nueva modalidad de extorsión mediante ransomwares

Tipo de ataque Stealers Abreviatura Stealers

Medios de propagación USB, Disco, Red, Correo, Navegación de Internet

Código de familia C Código de sub familia C03

Clasificación temática familia Código Malicioso

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar en la red social denominada Twitter, al usuario con el nombre “CiberSeguridad Oesía”, quien realizó una publicación de la nueva modalidad de extorsión, mediante la utilización de ransomwares denominada “doble extorción” (el ransomware cifra y roba la información para pedir recompensa y sea vendido en la Deep Web), que tienen como principales objetivos a hospitales quienes han priorizado sus recursos en combatir la propagación del Covid-19, pero no cuentan con recursos para optimizar los niveles de ciberseguridad.

2. Se recomienda:

Los administradores de redes del área de informática, deberán realizar copias de seguridad (backup) de la información clasificada utilizando sistemas de almacenamiento externo.

Concientizar al personal sobre técnicas de phishing para evitar incidentes que puedan poner en riesgo su información personal y de las instituciones.

Fuentes de información

https://twitter.com/oesia_sec/status/1255069086461067264 https://cybersecuritynews.es/el-ransomware-de-doble-extorsion-llega-a-los-hospitales-

para-aprovecharse-del-covid-19/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 16 de 24

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Filtración de información de CCN-CERT

Tipo de ataque Fuga de información Abreviatura FugaInfo

Medios de propagación Red, Internet, Redes sociales

Código de familia K Código de sub familia K02

Clasificación temática familia Vandalismo

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó en la red social denominada Twitter, al usuario con el nombre “averdejo”, quien realizó una publicación de los datos almacenados en los servidores del Equipo de Respuesta ante Emergencias Informáticas (CCN-CERT), que pertenece al Centro Criptológico Nacional de España.

2. Asimismo, se muestra diversas listas de nombres de dominio, hashes (contraseña cifrada) y direcciones IP obtenida de los servidores del Equipo de Respuesta ante Emergencias Informáticas (CCN-CERT).

3. Se recomienda:

Los administradores de páginas web y base de datos, deberán extremar medidas de seguridad de acuerdo a la

programación o configuración de cada página web para evitar cualquier tipo de fuga de información.

Fuentes de información https://twitter.com/i/status/1242836257400664065 https://loreto.ccn-cert.cni.es/index.php/s/oDcNr5Jqqpd5cjn

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 17 de 24

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad crítica en dispositivos WIFI

Tipo de ataque Explotación de Vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, Internet

Código de familia H Código de sub familia H01

Clasificación temática familia Vandalismo

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que los investigadores Miloš Čermák, Robert Lipovský y Štefan Svorenčík, especialistas en vulnerabilidades de la compañía de seguridad informática ESET, descubrieron la vulnerabilidad crítica denominada “KR00K” (la vulnerabilidad de código CVE -2019-15126, ataca directamente al wifi con protocolo WPA-Personal y WPA2-Enterprise con cifrado AES-CCMP) que pone en riesgo los datos transmitidos y recibidos que se realiza a través las conexiones wifi.

2. Se recomienda:

Los usuarios que hagan uso de internet por medio de señal wifi, deben de ingresar al portal oficial y descargar las actualizaciones de los parches de seguridad para los dispositivos wifi de sus computadoras personales, smartphone, router’s, dispositivo IoT.

Fuentes de información https://www.welivesecurity.com/la-es/2020/02/26/krook-vulnerabilidad-critica-afecto-

cifrado-millones-dispositivos-wi-fi/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 18 de 24

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nuevo malware sigiloso “BazarBackdoor” dirigido a las redes corporativas en el sector empresarial y desarrollado por el grupo de amenazas TrickBot

Tipo de ataque Backdoors Abreviatura Backdoors

Medios de propagación USB, Disco, Red, Correo, Navegación de Internet

Código de familia C Código de Sub familia C03 Clasificación temática familia Código malicioso

Descripción

1. Resumen:

Se ha tomado conocimiento que, el investigador de seguridad Vitali Kremez y James, han descubierto una nueva campaña de phishing (suplantación de identidad) que está distribuyendo un nuevo backdoor al que han llamado “BazarBackdoor”, que es un nuevo malware encubierto sigiloso que es utilizado para objetivos de alto valor y que forma parte del arsenal del kit de herramientas del grupo TrickBot. Los investigadores indicaron que este malware está dirigido para comprometer y obtener acceso a las redes corporativas en el sector empresarial y que podrían utilizarse fácilmente para implementar ransomware o realizar otros tipos de ataques.

Según los expertos, "Este es otro proyecto de alto perfil desarrollado por el mismo equipo central que TrickBot debido al origen del spam, el método de operación y el análisis de superposición de código".

2. Detalles:

Según los investigadores, se cree que los desarrolladores de TrickBot podrían estar detrás de este nuevo backdoor, debido a las similitudes de su código, los cifrados ejecutables y su infraestructura.

En esta campaña, el ataque comienza con el envío masivo de correos electrónicos de phishing, utilizan una amplia variedad de señuelos, como quejas de clientes, temas sobre la crisis de salud COVID-19 y listas de terminación de empleados, estos correos maliciosos contienen enlaces a documentos alojados en Google Docs.

Para enviar los correos electrónicos de phishing, los atacantes utilizan la plataforma de marketing por correo electrónico inteligente de Sendgrid.

Cada una de las páginas de destino pretende ser un documento de Word, una hoja de cálculo de Excel o un archivo PDF, que no se puede ver correctamente y solicita al usuario que haga clic en un enlace para ver el documento correctamente. Cuando se hace clic en el enlace, se descargará un ejecutable que utiliza un icono y un nombre asociados con el icono que se muestra en la página de destino.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Por ejemplo, el tema 'Informe de nómina ACH COVID-19' descargará PreviewReport.DOC.exe, mientras que el tema "Queja del cliente" descargará Preview.PDF.exe.

Como Windows no muestra las extensiones de archivo de manera predeterminada, la mayoría de los usuarios verán "Preview.PDF" o "PreviewReport.DOC" y los abrirán pensando que son documentos legítimos de Word y PDF. Pero en realidad, este es el Loader (cargador) del backdoor llamado "BazarLoader". Al iniciar el loader, se suspenderá por un corto período de tiempo y luego se conectará a los servidores de comando y control (C2) para registrarse y descargar el payload del backdoor.

BazarLoader usará el servicio de resolución de DNS descentralizado de EMERCOIN “EmerDNS” para resolver varios nombres de host que usan el dominio 'bazar' que son los servidores de C2. El dominio “bazar” solo se puede utilizar en los servidores DNS de EMERCOIN, y como está descentralizado, dificulta que la policía confisque el nombre de host. El loader se conectará primero a un C2 y realizará un check-in. Durante las pruebas, esta solicitud siempre devolvió un código de error HTTP 404. Sin embargo, la segunda solicitud C2 descargará un payload cifrado XOR, que es el malware BazarBackdoor.

Después de descargar el payload, se inyectará sin archivos en el proceso C: \ Windows \ system32 \ svchost.exe. Esto se hace utilizando las técnicas Process Hollow y Process Doppelgänging. Es probable que un proceso de sistema legitimo más de svchost no genere sospechas en la mayoría de los usuarios.

Una tarea programada también se configurará para iniciar el loader cuando un usuario inicie sesión en Windows, lo que permitirá que nuevas versiones del backdoor se descarguen e inyecten rutinariamente en el proceso svchost.exe. Después de un período de tiempo, el backdoor descargará y ejecutará el kit de herramientas de prueba de penetración de Cobalt Strike y post-explotación. Al implementar Cobalt Strike, está claro que esta puerta trasera sigilosa se está utilizando para ganar puntos de apoyo en las redes corporativas para que se pueda implementar ransomware, robar datos y vender el acceso a la red a otros actores de amenazas.

3. Indicadores de compromiso (IoC):

Dominios:

newgame[.] bazarthegame[.]bazar

tallcareful[.]bazar realfish[.]bazar

bestgame[.]bazar forgame[.]bazar

portgame[.]bazar eventmoult[.]bazar

coastdeny[.]bazar workrepair[.]bazar

URL:

hxxp[:]//51[.]81[.]113[.]26/api/v88

hxxps[:]//51[.]81[.]113[.]26/api/v88

hxxps[:]//daralsaqi[.]com/PreviewReport[.]DOC[.]exe

hxxps[:]//allacestech[.]com/PreviewReport[.]DOC[.]exe

hxxps[:]//www[.]ruths-brownies[.]com/PreviewReport[.]DOC[.]exe

hxxp[:]//www[.]afboxmarket[.]com/CompanyReportList[.]exe

hxxp[:]//invent-uae[.]com/Document_Preview[.]exe

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Hashes MD5:

cdddcbc43905f8a1a12de465a8b4c5e5

SHA-256 ca8194e9a1232e508619269bdf9a9c71c4b76e7852d86ed18f02088229b0f7c7

8f290a2eacfdcfea4f5ca054ae25bc62

SHA-256 11b5adaefd04ffdaceb9539f95647b1f51aec2117d71ece061f15a2621f1ece9

b533f8b604b2cc99ce938d8303994e43

SHA-256 7c93d9175a38c23d44d76d9a883f7f3da1e244c2ab6c3ac9f29a9c9e20d20a5f

0e9f7f512a7eae62c091c7f0e2157d85

SHA-256 5a888d05804d06190f7fc408bede9da0423678c8f6eca37ecce83791de4df83d

267b23b206cde7086607e2c4471a97c4

SHA-256 37d713860d529cbe4eab958419ffd7ebb3dc53bb6909f8bd360adaa84700faf2

0708c3b1c48d71148cfd750e70511820

SHA-256 05abd7f33de873e9630f9e4f02dbd0cbc16dd254f305fc8f636dafba02a549b3

df3db8d75d6c433c4c063d17f22e9b21

SHA-256 4ee0857d475e67945af2c5e04be4dec3d6d3eb7c78700f007a7ff6f8c14d4cb3

e16a92cccc3700196337c9ad43210f38

SHA-256 58880777c4b2d9d1ac7cd145c6704a936a54510eaaa7ae61ce8ca8390e355006

07d1c4952795e804b87c7c9d536dc547

SHA-256 2f0f0956628d7787c62f892e1bd9edda8b4c478cf8f1e65851052c7ad493dc28

c25965d25b5ccdc2f401188f27972c22

SHA-256 210c51aab6fc6c52326ece9dbd3ddab5f58e98432ef70c46936672c79542fbd0

4. Recomendaciones:

Para usuarios corporativos:

Utilizar una política de uso de contraseñas seguras considerando la complejidad, el cambio de credenciales por defecto y la no reutilización de las mismas.

Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

Restringir la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software no deseadas. No agregar usuarios al grupo de administradores locales a menos que sea necesario.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Bloquear los indicadores de compromisos (IoC) mostrados, en los dispositivos de seguridad de su infraestructura.

Nota: Antes de realizar el bloqueo de IoCs es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de sus servicios internos y externos, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

Verificar la información de la cuenta que envía el correo, el nombre y la dirección del destinatario para identificar si son sospechosas.

No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

Escanear todo el software descargado de Internet antes de la ejecución.

Detectar un correo spam, phishing o cualquier actividad anómala en su cuenta de correo reportarlo inmediatamente a los encargados de seguridad de la información de su institución

Fuentes de información

1. https://www.vkremez.com/2020/04/lets-learn-trickbot-bazarbackdoor.html 2. https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-

stealthy-network-hacking-malware/ 3. Equipo de Seguridad Digital DINI

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 21 de 24

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Malware que se hacer pasar por el FBI Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, Disco, Red, Correo, Navegación de Internet

Código de familia C Código de Subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 29 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que la compañía de seguridad informática Check Point, alerta sobre un malware que se hace pasar por el FBI, para infectar dispositivos.

2. El malware fue reconocido como variante del malware BLACK ROSE LUCY, al ejecutarse descarga e instala nuevas amenazas aún más peligrosas en los dispositivos, incluyendo el Ransomware que cifra el dispositivo.

3. Como actúa el Malware. - En esta nueva variante, el malware se distribuye principalmente a través de enlaces de redes sociales y aplicaciones de mensajería instantánea, al ejecutarse cifra todo el contenido del móvil y deja una nota de rescate accesible a través del explorador de archivos. En ella, se acusa a la víctima de haber tenido contenido pornográfico en el móvil, y que sus datos personales han sido registrados en el centro de datos del FBI Cyber Crime Department. También se incluye una lista de las supuestas infracciones cometidas por el usuario. Además, se le “obliga” al usuario a pagar 500 dólares por tarjeta de crédito, en lugar de usar Criptomonedas como suele ser más común, probablemente para darle una mayor veracidad al ransomware.

Imagen:

Para tener acceso a los servicios de accesibilidad, el malware intenta engañar al usuario diciéndole que es necesario instalar un servicio llamado SVO (Streaming Video Optimization). Una vez tiene permiso, puede emular pulsaciones de un usuario en la pantalla y automatizar interacciones en el móvil. Con ello, puede cifrar rápidamente el contenido del móvil antes de mostrar el mensaje de rescate.

o Imagen:

2

1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

4. Información sobre el Malware Black Rose Lucy.

Muestras de paquetes encontrados:

5. Algunas Recomendaciones:

No accedas a enlaces sospechosos.

Verifica la información en páginas oficiales.

No abras ningún archivo que no sea de un contacto conocido.

Analiza las fotografías, amigos y datos de los Fanpage que visitas, pueden ser falsos.

Siempre debes pensar que los ciberdelincuentes harán hasta lo imposible para obtener información personal (contraseñas, datos de cuenta bancarias, entre otras informaciones)

Fuentes de información hxxps://research.checkpoint.com/2020/lucys-back-ransomware-goes-mobile/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 23 de 24

Componente que reporta ASOCIACIÓN DE BANCOS DEL PERÚ

Nombre de la alerta Página web falsa de Banco de Crédito del Perú (vlazona…) Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales y correo electrónico.

Código de familia G Código de Subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Comportamiento

El Área de Operaciones de ASBANC advierte sobre una campaña de phishing que se está difundiendo desde redes sociales y correo electrónico.

2. Indicadores de compromiso

URL de alojamiento: hxxp://vlazonaseguraabetabcp.com/iniciar-sesion

IP: 142.11.238.156

Dominio: vlazonaseguraabetabcp.com

Localización: Seattle – Estados Unidos

3. Imágenes

4. Recomendaciones

Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).

Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.

Mantener actualizados los sistemas operativos de los equipos utilizados (Servidores, computadoras, smartphones).

Realizar concientización constante a los usuarios sobre:

o Ataques cibernéticos.

o Esquemas de Ingeniería social.

o Aprenda a reconocer las características de los portales de su entidad financiera.

Fuentes de información Área de Operaciones de ASBANC

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 025

Fecha: 29-04-2020

Página: 24 de 24

Componente que reporta ASOCIACIÓN DE BANCOS DEL PERÚ

Nombre de la alerta Página web falsa de Banco de Crédito del Perú (1bcpzo…) Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales y correo electrónico.

Código de familia G Código de Subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Comportamiento

El Área de Operaciones de ASBANC advierte sobre una campaña de phishing que se está difundiendo desde redes sociales y correo electrónico.

2. Indicadores de compromiso

URL de alojamiento: hxxp://1bcpzonasegurabetaviabcp.com/iniciar-sesion

IP: 162.241.61.78

Dominio: 1bcpzonasegurabetaviabcp.com

Localización: Provo – Estados Unidos

3. Imágenes

4. Recomendaciones

Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).

Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.

Mantener actualizados los sistemas operativos de los equipos utilizados (Servidores, computadoras, smartphones).

Realizar concientización constante a los usuarios sobre:

o Ataques cibernéticos.

o Esquemas de Ingeniería social.

o Aprenda a reconocer las características de los portales de su entidad financiera.

Fuentes de información Área de Operaciones de ASBANC