lima, 11 de mayo de 2020...como nefilim. cabe precisar, que el ransomware netfilim, tiene como...

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 11 de mayo de 2020

http://www.gob.pe/mailto:[email protected]


www.gob.pe

[email protected]

Contenido Empresa Toll Group sufre ciberataque de ransomware Nefilim .................................................................. 3

La empresa médica más grande de Europa sufre un ataque tipo ransomware ........................................... 4

Defacement a páginas web de Brasil............................................................................................................. 5

Vulnerabilidad en routers Centurylink .......................................................................................................... 6

Nueva campaña de phishing distribuye el troyano bancario “Mekotio” ...................................................... 7

Vulnerabilidades en teléfonos móviles Samsung ........................................................................................10

Página web falsa de Netflix .........................................................................................................................12

Índice alfabético ..........................................................................................................................................13



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 037

Fecha: 11-05-2020

Página: 3 de 13

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Empresa Toll Group sufre ciberataque de ransomware Nefilim

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Red, internet y correo electrónico

Código de familia C Código de Sub familia C09

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la empresa australiana Toll Group sufrió un ciberataque de ransomware denominado “Nefilim”. Por lo tanto, como medida de precaución ha cerrado numerosos sistemas internos y orientados al cliente después de haber sido infectado algunos de sus servidores.

2. Detalles de la alerta:

Toll Group es una empresa australiana de transporte y logística con operaciones en carretera, ferrocarril, mar, aire y almacenamiento.

La empresa ha confirmado un ciberataque de ransomware por segunda vez en cuatro meses, por tal razón, emitió un comunicado el 5 de mayo del presente año en su portal web, donde indica que tomó la medida de precaución de cerrar ciertos sistemas de tecnología de información al detectar actividad inusual en los servidores. Se determinó que el ataque era una nueva forma de variante de ransomware conocido como Nefilim.

Cabe precisar, que el ransomware Netfilim, tiene como objetivo cifrar archivos con encriptación AES-128 y agrega la extensión ".NEFILIM" a los archivos infectados, además utiliza conexiones expuestas del protocolo de escritorio remoto (RDP) para la infección. El malware comparte código con la familia de ransomware Nemty, pero en lugar de usar un sitio de pago de la red Tor, el software malicioso se basa en la comunicación por correo electrónico para el pago. Asimismo, los ciberdelincuentes detrás de Nefilim amenazan con liberar datos robados si el rescate no se paga dentro de los siete días.

3. Indicadores de compromiso:

SHA256 : fd3c8be2d1ead92101e8909a85695a0a40c2576c87eefeef6d32376a7fe22[f]1c

MD5 : c7d73ff9743fd8abcda7466f70aa30[8]5

SHA1 : b9a5aa1d25f5e535d7b56c1438703b185fa7768[1]

4. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Evaluar el bloqueo preventivo de los indicadores de compromisos.

Realizar periódicamente copias de seguridad de los activos de la información.

Evitar abrir correos de dudosa procedencia e Informar a su oficial de seguridad o responsable de TI sobre su existencia, con el propósito de reducir el riesgo de ser víctima de un ciberataque.

En caso de que algún equipo sea infectado con ransomware, la recomendación es no pagar el rescate. Si lo hace, no hay garantía de recuperar el acceso a la información.

Concientizar a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional



www.gob.pe

[email protected]


Fecha: 11-05-2020

Página: 4 de 13

Componente que Reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta La empresa médica más grande de Europa sufre un ataque tipo ransomware

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de sub familia C09


Descripción

1. El 11 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró que FRESENIUS, la compañía operadora de hospitales privados más grande de Europa ha sido víctima de un ataque del “SNAKE RANSOMWARE”, el cual es una variante poco conocida e identificada a inicios de 2020. Como es usual en estos ataques, los datos de la compañía fueron cifrados y los hackers exigen un pago en Bitcoin a cambio de restablecer el acceso a la información comprometida. Snake ha sido diseñado para atacar a redes empresariales, con el fin de encriptar todos los archivos de las computadoras pertenecientes a una red, utilizando los algoritmos criptográficos AES-256 Y RSA-2048. La compañía anunció que el incidente ha limitado algunas de sus operaciones, pero que los servicios de atención a pacientes se mantienen sin contratiempos.

2. En el mes de abril, Interpol emitió un reporte en el que señalan un incremento inusitado de ataques de ransomware contra compañías de salud, en que los actores de amenazas tratan de sacar provecho de la pandemia para forzar un pronto pago del rescate.

3. Se recomienda:

Realizar copias de respaldo periódicamente.

Mantener los softwares actualizados.

Mantener actualizados los antivirus.

Evitar acceder a correos de remitentes desconocidos.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

http://www.gob.pe/mailto:[email protected]://noticiasseguridad.com/hacking-incidentes/hackers-cierran-operaciones-del-ransomware-shade-troldesh-y-liberan-750-mil-claves-de-descifrado-pero-por-que/


www.gob.pe

[email protected]

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 037

Fecha : 11-05-2020

Página: 5 de 13

Componente que Reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Defacement a páginas web de Brasil

Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb

Medios de propagación Red, internet

Código de familia L Código de sub familia L01

Clasificación temática familia Vandalismo

Descripción

1. El 11 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que en la red social denominada Twitter, el usuario identificado con el nombre “noias do amazonas”, quien realizó una publicación donde se muestra el ataque denominado defacement (ataque a un sitio web que cambia la apariencia visual de una página web), a una página web del gobierno de Brasil.

2. Se recomienda:

Los administradores de red, deberán extremar medidas en cuanto a las políticas de seguridad y las configuraciones de las páginas web.

Fuentes de información hxxps://twitter.com/NDAmazonas/status/1259734904318955522?s=08 hxxps://twitter.com/NDAmazonas/status/1259796341796024321?s=08



www.gob.pe

[email protected]

ALERTA INTEGRAL DE


Fecha : 11-05-2020

Página: 6 de 13

Componente que Reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad en routers Centurylink

Tipo de ataque Hijackers Abreviatura Hijackers


Código de familia C Código de sub familia C01


Descripción

1. El 11 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo identificar una vulnerabilidad denominada “CVE 2019-19639 Hijacking Centurylink Routers”, que afecta routers de la empresa Centurylink (Router Centurylink C3000A, y similares que trabajen con el mismo software). La vulnerabilidad es debido a que el router no cuenta con protección contra Falsificación de Peticiones en Sitios Cruzados (CSRF), esto le permite al ciberdelincuente realizar peticiones sin autenticar y deshabilitar la contraseña del administrador del router, tomando el control del mismo. Cabe indicar, que el ataque puede realizarse por Wifi, por internet en caso la administración del router esté expuesta, o por Ingeniería Social, logrando que la víctima envíe la petición del formulario.

2. Se recomienda:

Los administradores de los sistemas deberán mantener actualizado el software de router.

Extremar las medidas de seguridad e implementar políticas de seguridad.

Fuentes de información hxxps://unaaldia.hispasec.com/2020/05/vulnerabilidad-sin-parchear-permite-

secuestrar-routers-centurylink.html hxxps://www.lykosec.com/post/cve-2019-19639-hijacking-centurylink-routers



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 11-05-2020

Página: 7 de 13

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva campaña de phishing distribuye el troyano bancario “Mekotio”

Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de Sub familia G02 Clasificación temática familia Fraude Financiero

Descripción

1. Resumen:

Se ha tomado conocimiento que, los investigadores de la compañía de seguridad informática ESET, han descubierto recientemente una nueva campaña del troyano bancario “Mekotio”, los correos fraudulentos que se envían, se presentan como una supuesta multa de la Dirección General de Tráfico (DGT) y un supuesto reembolso de la Agencia Tributaria de España, cuando en realidad el mensaje es enviado desde el dominio “furia.com”.

Los investigadores detectaron la amenaza como una variante del troyano bancario Win32/Spy.Mekotio.DA. Además, en el análisis realizado por el sistema de inteligencia sobre amenazas ESET threat intelligence se ha podido observar como esta amenaza está presente en otros enlaces que los ciberdelincuentes han ido utilizando o que incluso aún se encuentran usando. Además, los objetivos principales que ha tenido Mekotio durante los últimos 7 días, han sido las entidades bancarias españolas, junto con las mexicanas y brasileñas.

2. Detalles:

Según los expertos, mediante el envío de correo electrónico de phishing, los ciberdelincuentes estarían utilizando dos plantillas de suplantación de identidad para propagar el troyano bancario Mekotio. Por un lado, utilizan una plantilla de suplantación de la Dirección General de Tráfico con una supuesta multa de tráfico pendiente de pago y, por otro lado, utilizan una plantilla de un supuesto reembolso que se hace pasar por la Agencia Tributaria de España. En esta ocasión los ciberdelincuentes han mejorado su redacción, especialmente para que no se mostrasen caracteres extraños a la hora de poner acentos sobre las letras. Además, los ciberdelincuentes, también han suplantado mediante spoofing el remitente del mensaje, haciendo creer al destinatario que realmente está recibiendo una comunicación oficial desde la Agencia Tributaria, cuando en realidad el mensaje se envía desde el dominio “furia.com”.

Si los usuarios pulsan sobre alguno de estos enlaces maliciosos incluidos en el mensaje de los correos fraudulentos serán redirigidos a un sitio web de alojamiento de ficheros como sendspace, que previamente habría sido comprometido. Luego, desde ahí se procederá a la descarga del archivo comprimido “All-AGT.zip”.



www.gob.pe

[email protected]

Este fichero comprimido contiene a su vez el archivo All-AGT.msi, encargado de ejecutar la primera fase de la infección que consiste en conectarse a un servidor controlado por los ciberdelincuentes para descargar el troyano JS/TrojanDownloader.Agent.UYQ. Hay que señalar, que los actores de la amenaza no preparan un único enlace de descarga, sino que se encargan de subir numerosas muestras a estas plataformas de alojamiento de archivos para tenerlas listas en el caso de que comiencen a ser detectadas por varios motores de antivirus.

Después de que se ejecute el archivo All-AGT.msi, el malware contactará con un sitio web controlada por los ciberdelincuentes. Esta web pertenece a un centro educativo ubicado en Filipinas que está siendo controlada por los delincuentes y utilizada para alojar las numerosas muestras del malware Mekotio que se han ido generando en los últimos días.

Los ficheros maliciosos se suelen ubicar en alguno de los subdominios de esta y otras webs y se descargan cuando el fichero “All-AGT.msi” es ejecutado. Además, de acuerdo a las muestras analizadas se observó que la nomenclatura debe seguir algún patrón en concreto ya que, en la muestra analizada la semana pasada pudimos observar como el nombre del fichero era “esquarentaytwo.tdr”, mientras que la muestra actual se llama “esquarentaesix.tdr”.



www.gob.pe

[email protected]

El archivo “esquarentaesix.tdr” es en realidad un contenedor de otros tres archivos, siendo el tercero y más grande de ellos un binario compilado en AutoIt. El uso de este lenguaje de programación de automatización, junto con VBS y Delphi es muy característico de los delincuentes centrados en la creación de troyanos bancarios de la región de Brasil y se caracteriza, entre otras cosas, por utilizar binarios de gran tamaño, a veces incluso de cientos de megabytes como en el caso de Grandoreiro.

Las soluciones de seguridad de ESET, han detectado esta amenaza como una variante del troyano bancario Win32/Spy.Mekotio.DA. Además, en el análisis realizado por el sistema de inteligencia sobre amenazas ESET threat intelligence se pudo observar como esta amenaza está presente en otros enlaces que los ciberdelincuentes estarían utilizando.

3. Indicadores de Compromiso (IoC):

Hash SHA1 de las muestras analizadas

o All-AGT[.]msi Esquarentaesix[.]tdr

o AC2FC1CE8B7311BE886BB760D81A9B5E5A4D811[8]

o 6BDE3967CA50FB9C29D64F93FBFD519790F0EA7[8]

Enlaces y URLs relacionadas

o hxxp://www.ccombrasil[dot]com.br/PRTG/mak/

o hxxp://www.chmsc[dot]edu.ph/run/esquarentaesix.tdr

o hxxps://fs03n4.sendspace[dot]com/dlpro/e723df74a3a453a832122d8428d35ad4/5eb8efec/if0xhw/All-AGT.zip

4. Se recomienda:

Mantener un protocolo para la detección y gestión de malware, y de protección en la navegación Web.

Contar con soluciones de seguridad. Se debe tener instalado un buen antivirus para prevenir la infección de malware.

Mantener un protocolo de actualizaciones estricto del sistema operativo, antivirus y todas las aplicaciones que se ejecutan en ellos. Deben tener instalado los últimos parches y actualizaciones de seguridad.

No descargar o abrir archivos adjuntos de dudosa procedencia. Tampoco acceder a posibles enlaces fraudulentos que puedan poner en riesgo nuestros sistemas. Estos enlaces fraudulentos pueden llegar también a través de las redes sociales o incluso aplicaciones de mensajería instantánea como puede ser WhatsApp.

Bloquear los indicadores de compromisos (IoC) mostrados, en los dispositivos de seguridad de su infraestructura.

Desarrollar un plan de respuesta ante la posible materialización del incidente considerando la contención las medidas para restringir el acceso y ejecución del malware descritas en los IoC.

Concientizar constantemente a los usuarios en temas relacionados a seguridad digital, específicamente sobre las consideraciones para la verificación de la autenticidad y confiabilidad de los sitios web previo acceso y descarga.

Habilitar los registros de auditorías y realizar el monitoreo continuo para detectar y alertar sobre eventos que son anómalos en la red.

Fuentes de información

hxxps://blogs.protegerse.com/2020/05/11/nueva-semana-nueva-campana-del-troyano-bancario-mekotio/

hxxps://blogs.protegerse.com/2020/04/29/vuelven-a-aprovechar-la-campana-de-la-renta-para-propagar-malware/

http://www.gob.pe/mailto:[email protected]://www.welivesecurity.com/la-es/2016/07/05/vbs-autoit-delphi-troyanos-bancarios/https://www.welivesecurity.com/la-es/2020/04/28/grandoreiro-troyano-bancario-dirigido-brasil-espana-mexico-peru/


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 11-05-2020

Página: 10 de 13

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Vulnerabilidades en teléfonos móviles Samsung

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC


Código de familia H Código de Subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 11 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en el sitio web Hispace (Compañía de Seguridad Informática), informa sobre una vulnerabilidad crítica en teléfonos móviles de Samsung (Smartphone) desde 2014, que podría permitir que un actor malicioso ejecutase código arbitrario y obtuviese acceso a todos los permisos y privilegios del propietario sin interacción del mismo.

2. La vulnerabilidad de click cero son aquellas podrían comprometer un dispositivo sin necesidad de hacer clicks y sin contacto (ataques conocidos como ‘zero-click’ y ‘no-touch’), es decir, sin la participación del usuario. Por este motivo, la vulnerabilidad en los smartphones Samsung identificada como CVE-2020-8899 (y SVE-2020-16747 en los registros del fabricante surcoreano)

Riesgo:

o La explotación exitosa de este fallo de seguridad permitiría la ejecución remota de código arbitrario y obtener los mismos privilegios que el propietario del dispositivo y, por lo tanto, acceder a la información personal del usuario: registros de llamadas, contactos, micrófono, almacenamiento, mensajes SMS, etc.

Recursos Afectados:

o Teléfonos Samsung con versiones de Android 4.4.4 o superiores, incluyendo las últimas versiones O (8.x), P (9.0) y Q (10.0).

Análisis de la vulnerabilidad:

Código CVE-2020-8899

Detalle

Existe una vulnerabilidad de sobrescritura de búfer en la biblioteca Quram qmg de las versiones del sistema operativo Android de Samsung O (8.x), P (9.0) y Q (10.0). Un atacante no autenticado y no autorizado que envía un MMS especialmente diseñado a un teléfono vulnerable puede desencadenar un desbordamiento de búfer basado en el montón en el códec de imagen Quram que conduce a una ejecución de código remoto arbitrario (RCE) sin ninguna interacción del usuario. La identificación de Samsung es SVE-2020-16747.

Vectores AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H

Nivel

CRÍTICO

Riesgo

9.8



www.gob.pe

[email protected]

Detalles:

Vectores de Ataque Red

Complejidad Bajo

Acceso Ninguno

Interacción de Usuario Ninguno

Alcance Local

Confidencialidad Pérdida Total

Integridad Pérdida Total

Disponibilidad Pérdida Total

Vulnerabilidad analizada por CNA: Google

Código CVE-2020-8899

Vectores AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: L

Nivel CRÍTICO

Puntaje Base Riesgo

3. Referencia:

Samsung comenzó a implementar el parche de seguridad en mayo de 2020. El parche de seguridad corrige un error "crítico" de ejecución remota de código (RCE) que afecta a todos los móviles Samsung vendidos desde 2014. La falla de seguridad reside en el manejo de los dispositivos Samsung del formato de imagen Qmage personalizado (.qmg) que es procesado por la biblioteca de gráficos de Android llamada Skia Esta falla de seguridad puede explotarse en un escenario de clic cero, lo que significa que puede funcionar sin el conocimiento de los usuarios o sin ningún tipo de interacción con el dispositivo. Mientras tanto, Samsung ha reconocido el problema de seguridad y su actualización de seguridad de mayo contiene la solución. Sin embargo, no está claro si la solución se implementará en todos los dispositivos afectados.

4. Se recomienda:

Realizar las actualizaciones correspondientes.

Fuentes de información hxxps://unaaldia.hispasec.com/2020/05/vulnerabilidad-critica-en-smartphones-samsung-desde-2014.html.

10.0



www.gob.pe

[email protected]


Fecha: 11-05-2020

Página: 12 de 13

Componente que reporta ÁREA DE OPERACIONES DE LA ASOCIACIÓN DE BANCOS DEL PERÚ

Nombre de la alerta Página web falsa de Netflix

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales y correo electrónico.

Código de familia G Código de Subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Comportamiento:

El Área de Operaciones de ASBANC advierte sobre una campaña de phishing que se está difundiendo a través de correo electrónico con contenido falso que aparentemente proviene de Netflix. Al momento de realizar el análisis, el portal web falso se encontraba inactivo.

2. Indicadores de compromiso:

URL de alojamiento : hxxps://netflitxx.com

IP : 108[.]61[.]162[.]173

3. Imágenes:

4. Se recomienda:

Promover el uso de una solución de seguridad en todos los dispositivos finales (Antivirus, EDR).

Bloquear las direcciones URL fraudulentas en sus plataformas de seguridad.

Mantener actualizados los sistemas operativos de los equipos utilizados (Servidores, computadoras, smartphones).

Realizar concientización constante a los usuarios sobre:

o Ataques cibernéticos.

o Esquemas de Ingeniería social.

Fuentes de información Área de Operaciones de ASBANC

http://www.gob.pe/mailto:[email protected]://bancaporinternet-interbanrk.website/login/


www.gob.pe

[email protected]

Página: 13 de 13

Índice alfabético

Código malicioso ........................................................................................................................................................ 3, 4, 6 Correo electrónico ............................................................................................................................................................. 4 Correo electrónico, redes sociales, entre otros ................................................................................................................ 4 Explotación de vulnerabilidades conocidas ..................................................................................................................... 10 Fraude .......................................................................................................................................................................... 7, 12 Hijackers ............................................................................................................................................................................ 6 hxxp ................................................................................................................................................................................... 9 Intento de intrusión ......................................................................................................................................................... 10 internet .............................................................................................................................................................................. 6 malware ..................................................................................................................................................................... 3, 8, 9 Modificación del sitio web ................................................................................................................................................. 5 phishing ................................................................................................................................................................... 2, 7, 12 Phishing........................................................................................................................................................................ 7, 12 ransomware ............................................................................................................................................................... 2, 3, 4 Ransomware .................................................................................................................................................................. 3, 4 Red, internet ........................................................................................................................................................ 3, 5, 6, 10 redes sociales ................................................................................................................................................................. 1, 9 Redes sociales .............................................................................................................................................................. 7, 12 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 7 servidor .............................................................................................................................................................................. 8 servidores .......................................................................................................................................................................... 3 software ......................................................................................................................................................................... 3, 6 troyanos ............................................................................................................................................................................. 9 URL ................................................................................................................................................................................... 12 Vandalismo ........................................................................................................................................................................ 5 Vulnerabilidad .......................................................................................................................................................... 2, 6, 11 Vulnerabilidades .......................................................................................................................................................... 2, 10

lima, 11 de mayo de 2020...como nefilim. cabe precisar, que el ransomware netfilim, tiene como...

Documents