PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 17 de julio de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Empresa Orange es víctima de ciberataque de ransomware que expone datos de sus clientes. ................ 3

Grupo APT explota vulnerabilidades en soluciones SSL-VPN, incluido Fortinet ........................................... 4

Detección del malware GMERA, insertado en aplicaciones de criptomonedas ........................................... 5

Índice alfabético ............................................................................................................................................ 7

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 104

Fecha: 17-07-2020

Página: 3 de 00

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Empresa Orange es víctima de ciberataque de ransomware que expone datos de sus clientes.

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Red e internet

Código de familia C Código de subfamilia C09

Clasificación temática familia Código Malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la empresa multinacional de telecomunicaciones Orange, fue víctima de un ciberataque de tipo ransomware el sábado 4 y domingo 5 de julio del presente año, a su vez fueron expuestos los datos de varios de sus clientes empresariales.

2. Detalles de la alerta:

Orange es una empresa multinacional de telecomunicaciones francesa, provee servicios a nivel global de telefonía móvil, telefonía fija, internet, internet móvil, y servicios de televisión por IP. Cuenta a con 266 millones de clientes y 148,000 empleados, Orange es el cuarto operador móvil más grande de Europa.

El incidente de seguridad digital, ocurrió el sábado 04 de julio al domingo 05 de julio de 2020, los operadores de ransomware detrás del nefilim ransomware agregaron Orange a su sitio de fuga de datos y declararon que habían violado a la compañía a través de su división "Orange Business Solutions". Este ataque permitió a los operadores de Nefilim obtener acceso a veinte datos de clientes de Orange Pro / SME.

La empresa emitió un comunicado: "Los equipos de Orange detectaron un ataque informático de tipo criptovirus durante la noche del sábado 04 de julio al domingo 05 de julio de 2020. Los equipos de Orange se movilizaron de inmediato para identificar el origen de este ataque y han implementado todas las soluciones necesarias para garantizar la seguridad de nuestros sistemas. Según el análisis inicial realizado por expertos en seguridad, este ataque se ha referido a datos alojados en una de nuestras plataformas de TI de Neocles, "Le Forfait informatique", y ningún otro servicio ha sido afectado. Sin embargo, este ataque parece haber permitido a los hackers acceder a los datos de alrededor de 20 clientes PRO / SME alojados en la plataforma. Los clientes afectados ya han sido informados por los equipos de Orange y Orange continúa monitoreando e investigando esta violación. Orange se disculpa por las molestias causadas ".

Asimismo, en la cuenta de la red social de Twitter Ransom Leaks, en la cual publicaron imágenes de un archivo titulado “Orange_leak_part1.rar” que aparentemente contiene información filtrada, con datos de correos electrónicos, esquemas de aviones y archivos de ATR Aircraft. Estos datos pueden indicar que ATR es un cliente de la plataforma Le Forfait Informatique de Orange y fue robado durante el ciberataque.

Las infecciones de ransomware son una de las variantes de ataque más comunes, y los ciberdelincuentes siguen evolucionando en sus métodos. Una práctica reciente es la de robar información sin cifrar para exponerla en foros de hackers como una forma de presionar a las víctimas para que paguen el rescate de inmediato.

3. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Actualizar los parches de seguridad en los sistemas operativos.

Realizar periódicamente copias de seguridad de los activos de la información.

Concientizar a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 104

Fecha: 17-07-2020

Página: 4 de 00

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Grupo APT explota vulnerabilidades en soluciones SSL-VPN, incluido Fortinet

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intrusión

Descripción

1. Resumen:

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y el Establecimiento de Seguridad de las Comunicaciones (CSE) de Canadá han publicado investigaciones sobre la actividad del grupo “APT29”, también conocido como “the Dukes” o “Cozy Bear” que se han dirigido a organizaciones canadienses, del Reino Unido y de los Estados Unidos involucradas en la investigación y el desarrollo de vacunas de COVID-19. El objetivo de los ataques ha sido el robo de información y propiedad intelectual relacionada con el desarrollo y las pruebas de las vacunas COVID-19, o causar una interrupción.

2. Detalles:

El malware involucrado en los ataques incluye SoreFang, WellMess y WellMail. SoreFang, un descargador de primera etapa, usa HTTP para filtrar datos y descargar malware de segunda etapa. WellMess se utiliza para ejecutar comandos de shell arbitrarios y cargar y descargar archivos. WellMail se utiliza para ejecutar comandos o scripts y devolver la salida resultante a un servidor de comando y control (C&C).

Las vulnerabilidades que se explotan en los ataques incluyen son: CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure), CVE-2018-13379 (FortiGate) y CVE-2019-9670 (Zimbra). Además, han utilizado la suplantación de identidad para obtener credenciales de autenticación. Los vectores de ataque iniciales para este grupo han sido vulnerabilidades sin parches en soluciones SSL-VPN, incluido Fortinet.

La vulnerabilidad registrada como CVE-2018-13379 (FG-IR-18-384), es una vulnerabilidad de recorrido transversal en el portal web FortiOS SSL VPN que podría permitir que un atacante no autenticado descargue archivos a través de solicitudes de recursos HTTP especialmente diseñadas. Un atacante puede explotar este problema utilizando caracteres transversales de directorio ('../') para acceder o leer archivos arbitrarios que contienen información confidencial o para acceder a archivos fuera del directorio restringido para obtener información confidencial.

Fortinet puso a disposición los parches para todas las versiones compatibles (5.4, 5.6, 6.0, 6.2).

3. Recomendación:

Fortinet recomienda tomar las siguientes medidas:

Actualizar todos los sistemas FortiGate a las últimas versiones de firmware. El uso de los últimos parches de seguridad para su lanzamiento es clave para protegerse contra ataques.

Validar todos los usuarios locales de SSL-VPN, con las direcciones de correo electrónico correctas asignadas y restablecer la contraseña en todos los usuarios. Si hay usuarios locales no reconocidos, siga la política corporativa y elimínelos de inmediato.

Preferiblemente, migre para usar el sistema de directorio remoto (LDAP, RADIUS) para la autenticación de todos los usuarios.

Utilizar la autenticación de múltiples factores (autenticación de autenticación de dos factores) para reducir el impacto de los compromisos de contraseña.

Además, se debe prevenir y detectar el movimiento lateral en las redes de su organización utilizando herramientas como la tecnología de engaño para identificar amenazas al principio del ciclo de amenazas.

Emplear la detección y respuesta de Endpoint para identificar y bloquear amenazas antes de tener la oportunidad de apoderarse de la red.

Fuentes de información hxxps://www.fortinet.com/blog/business-and-technology/atp-29-targets-ssl-vpn-flaws hxxps://www.ncsc.gov.uk/files/Advisory-APT29-targets-COVID-19-vaccine-

development.pdf

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 104

Fecha: 17-07-2020

Página: 5 de 00

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del malware GMERA, insertado en aplicaciones de criptomonedas

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 17 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web Welivesecurity, se informa sobre la detección del malware GMERA, insertado en sitios web maliciosos que distribuyen aplicaciones de comercio de criptomonedas para Mac, la cual tiene como objetivo robar información confidencial de la víctima como cookies del navegador, billeteras de criptomonedas y captura de pantallas.

Si una aplicación original es afectada los actores de la amenaza, no solo utilizan los sitios web para incluir malware y suplantar la identidad, los ciberdelincuentes también cambian de nombre a la aplicación con las siguientes marcas ficticias Cointrazer, Cupatrade, Licatrade y Trezarus.

El malware GMERA realiza las siguientes acciones:

o Al ejecutarse GMERA proporciona shells bash y zsh inversos a sus operadores.

o GMERA instala un agente de lanzamiento para mantener la persistencia.

o El malware tiene un script de reconocimiento que enumera las primeras 20 líneas del archivo .bash_history.

o Los operadores de GMERA roban las cookies del navegador a través de un shell inverso.

o El malware lista los archivos en el sistema de destino a través de un shell inverso y ls.

o Un script de reconocimiento de GMERA busca dispositivos específicos para hipervisores y advierte a los operadores si se ejecutan en una máquina virtual.

o GMERA lanza una secuencia de comandos de reconocimiento que enumera las redes Wi-Fi disponibles para la Mac comprometida utilizando los aeropuertos, enumera la información del sistema objetivo y comprueba si las herramientas del desarrollador están instaladas.

o Los operadores de GMERA toman capturas de pantalla del sistema comprometido y las filtran los archivos comprometidos a través de file.io.

o Los shells inversos del malware se abren al conectarse a los puertos TCP del servidor C&C en el rango de 25733 a 25738.

o GMERA extrae archivos del shell inverso mediante HTTP u otro servidor controlado por el atacante.

Imagen de la aplicación Kattana, donde suplantan la identidad del sitio web:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: Licatrade.zip

Tipo: ZIP

Tamaño: 145.34 MB (152397762 bytes)

MD5: 8f67b858fac3f3b9acbadefbacd5aa0b

SHA-1: 2ac42d9a11b67e8af7b610aa59aadcf1bd5ede3b

SHA-256: 9becf766448205a3bdab89f191b1f77942843021b200462f47988d06d705e0ec

Nombre: macho

Tipo: Mach-O

Tamaño: 55.19 KB (56512 bytes)

MD5: 4623f860c600fa6535b911cff64ab3c4

SHA-1: 4c688493958cc7cccfcb246e706184dd7e2049ce

SHA-256: 49feb795e6d9bce63ee445e581c4cf4a8297fbf7848b6026538298d708bed172

2. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//www.welivesecurity.com/2020/07/16/mac-cryptocurrency-trading-application-rebranded-bundled-malware/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 7 de 00

Índice alfabético

Código malicioso ................................................................................................................................................................ 5 Explotación de vulnerabilidades conocidas ....................................................................................................................... 4 internet .............................................................................................................................................................................. 3 malware ................................................................................................................................................................. 2, 4, 5, 6 Malware ............................................................................................................................................................................. 5 ransomware ................................................................................................................................................................... 2, 3 Ransomware ...................................................................................................................................................................... 3 redes sociales ..................................................................................................................................................................... 1 servidor .......................................................................................................................................................................... 4, 5 USB, disco, red, correo, navegación de internet ........................................................................................................... 4, 5