lima, 20 de abril de 2020€¦ · el equipo de respuesta ante incidentes de seguridad digital...
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 20 de abril de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 016
Fecha: 20-04-2020
Página: 2 de 13
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Nueva ciberamenaza llega con el Troyano PoetRAT al sector energético Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación Mensaje de redes sociales y correo electrónico
Código de familia C Código de Sub familia C01
Clasificación temática familia Código Malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional advierte sobre el Troyano denominado “PoetRAT”, el cual tiene por objetivo atacar al sector energético, tanto público como privado, con la finalidad de comprometer los Sistemas de Control de Supervisión y Adquisición de Datos (SCADA) y los Sistemas de control Industrial (ICS), comúnmente utilizados para administrar redes de energía y sistemas de fabricación.
El ataque se inicia con el envío de correos electrónicos que tienen como asunto temas relacionados al coronavirus. Asimismo, adjuntan un software malicioso (malware) en un archivo word.
Hasta el momento se han reportado intentos de ataque en el País de Azerbaiyán. En tal sentido, este tipo de ataque también podría ser utilizado en nuestro país, pretendiendo aprovechar la crisis sanitaria COVID-19.
2. Detalles de la alerta:
PoetRAT es el nombre dado a un software malicioso que se clasifica como Troyano, este tipo de ataque utiliza como señuelo los documentos adjuntos al correo electrónico, los cuales utilizando macros de Visual Basic descargan código malicioso que posteriormente es explotado por los ciberdelincuentes utilizando una gran cantidad de herramientas de ataque, muchas de ellas desarrolladas en lenguaje de programación Python.
Cabe señalar que dichos correos electrónicos tienen como asunto temas relacionas el COVID-19.
El Troyano está compuesto por dos (02) scripts principales: "frown.py", responsable de las comunicaciones con el comando y control (C2), y "smile.py", responsable de la ejecución de los comandos C2. Estos comandos obtienen información del sistema, roban datos del navegador web, toman capturas de pantalla, copian, comprimen y ocultan archivos.
Cabe precisar, que los objetivos de los atacantes son muy específicos (sistemas ICS y SCADA) de organizaciones del sector energético, tanto públicos como privados, específicamente los en la industria energética.
3. Indicadores de compromiso (IoC):
URL : hxxps: // gov-az [.] Herokuapp [.] Com / azGovaz .php? login =
: hxxp: // govaz [.] Herokuapp [.] Com / content / section_policies [.] Docx.
Hash : 208ec23c233580dbfc53aad5655845f7152ada56dd6a5c780d54e84a9d227407
: 252c5d491747a42175c7c57ccc5965e3a7b83eb5f964776ef108539b0a29b2ee
4. Recomendaciones:
Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
Evaluar el bloqueo preventivo de los indicadores de compromisos.
Ante correos de dudosa procedencia, no abrir ficheros adjuntos y tampoco pulsar sobre enlaces incluidos en el email e informar a su oficial de seguridad u responsable de TI sobre su existencia, con el propósito de reducir el riesgo de ser víctima de un ciberataque.
Realizar concientización constante a los usuarios sobre este tipo de amenaza cibernética.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 016
Fecha: 20-04-2020
Página: 3 de 13
Componente que reporta CIBERDEFENSA Y TELEMATICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidad de ejecución en Microsoft Sharepoint
Tipo de ataque Interrupción de servicios tecnológicos Abreviatura INTSERVTEC
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia F Código de sub familia F02
Clasificación temática familia Disponibilidad del servicio
Descripción
1. El 20 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se observó la vulnerabilidad “CVE-2020-0931”, que permite una ejecución remota de código en Microsoft SharePoint, plataforma de colaboración empresarial muy solicitada para el teletrabajo que comparte y administra contenidos, conocimiento y aplicaciones para impulsar el trabajo en equipo.
2. La vulnerabilidad se origina cuando un usuario carga un paquete de aplicación de SharePoint y no se verifica el marcado de origen del paquete, permitiendo al atacante ejecutar un código arbitrario en el contexto del grupo de aplicaciones e impactando a esa escala de privilegios y la cuenta de servidores de SharePoint.
3. Recomendación:
Mantener permanentemente actualizado los paquetes y la seguridad de Microsoft SharePoint.
Fuentes de información
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0931
https://nvd.nist.gov/vuln/detail/CVE-2020-0931
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 016
Fecha: 20-04-2020
Página: 4 de 13
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Suplantación de página web
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes Sociales, Correo Electrónico.
Código de familia G Código de sub familia G02
Clasificación temática familia Fraude
Descripción
1. El 20 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que ciberdelincuentes envían correos electrónicos con el mensaje: “Actualiza tu cuenta de Disney+, haz clic aquí: disneypluss.cl”, suplantando el sitio web oficial del servicio https://preview.disneyplus.com/dl, con la finalidad de robar cuentas de los suscriptores.
2. Recomendaciones:
Mantener actualizado el software de detección de amenazas y el sistema operativo.
Tener precaución ante este tipo de páginas fraudulentas.
Evitar acceder al sitio web antes mencionado.
Bloquear la URL maliciosa en los proxy o sistema de control de contenido.
Fuentes de información Comandancia de Ciberdefensa de la Marina.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 016
Fecha: 20-04-2020
Página: 5 de 13
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Extorsión sexual en tiempo de cuarentena
Tipo de ataque "Email Extortion and Bomb Threats” Abreviatura Phishing
Medios de propagación Correo electrónico, redes sociales
Código de familia N Código de sub familia N01
Clasificación temática familia Criptomonedas.
Descripción
1. El 20 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha detectado una publicación en la red social Facebook que advierte sobre “Extorsión Sexual”.
2. Durante todo abril del presente año, se han reportado un número elevado de extorsiones sexuales a través del correo electrónico. Las extorsiones tienen las siguientes características:
Mencionan tener control total de su computador, por lo que señalan que es inútil intentar cambiar las contraseñas o tomar alguna acción correctiva.
Los correos electrónicos advierten tener videos o fotos de contenido sexual del usuario. Además, buscan generar pánico indicando que tienen un listado de sus contactos de correo electrónico y redes sociales.
Colocan un Id Wallet (Billetera Electrónica) para realizar el pago en bitcoins.
3. Recomendaciones:
Desactivar la opción de “guardar contraseñas” de los dispositivos informáticos en los cuales se inicia sesión.
Cambiar contraseñas de manera periódica para mayor seguridad.
Considerar poner contraseñas mayores a 8 dígitos con caracteres alfanuméricos.
Evitar poner contraseñas fáciles de adivinar como nombres o fechas familiares.
Fuentes de información Comandancia de Ciberdefensa de la Marina.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 016
Fecha: 20-04-2020
Página: 6 de 13
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Robo de información, Whatsapp Gold.
Tipo de ataque T Robo de información Abreviatura Robo de información
Medios de propagación Red, Internet, Redes sociales.
Código de familia K Código de sub familia K01
Clasificación temática familia Código malicioso
Descripción
1. El 20 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó una nueva modalidad de robo de información por parte de ciberdelincuentes. Se trata de una cadena de mensajes por WhatsApp, donde solicitan descargar la aplicación “WhatsApp Gold, uso exclusivo de personas famosas, con mejores bondades y capacidades”.
2. Al instalar la aplicación, se ejecuta un malware que controla el dispositivo con la finalidad del robar la identidad, información y estafa.
3. Recomendaciones:
No compartir mensajes si desconoce la veracidad o la seguridad de los mismos.
Evitar instalar aplicaciones desconocidas.
Cambiar todas las contraseñas, tanto las credenciales bancarias, correos electrónicos o redes sociales.
Fuentes de información Comandancia de Ciberdefensa de la Marina.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRAL DE
SEGURIDAD DIGITAL N° 016
Fecha: 20-04-2020
Página: 7 de 13
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Ataque a páginas web
Tipo de ataque Destrucción o alteración de la información de configuración
Abreviatura DAIC
Medios de propagación Red, Internet
Código de familia K Código de sub familia K02
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 20 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que diversas páginas web peruanas sufrieron ataques cibernéticos (Defacement) por hackers. Estos aprovechan todo tipo de problemas coyunturales como el actual confinamiento por la pandemia para realizar diferentes ataques a los sistemas informáticos públicos y privados. A continuación, una relación de las páginas afectadas:
Fecha Páginas atacadas Hacker Referencia Imagen
19/04/2020 hxxps://cimsac.pe/icq.htm Noniod7 Plataforma IoT de
Monitoreo de Datos Agrícolas
Imagen 1
20/04/2020 hxxp://iaapp.edu.pe/web0/sites/all/themes/hkd.txt The3x
Instituto Astronómico y
Aeroespacial Pedro Paulet
Imagen 2
Fuentes de información Comandancia de Ciberdefensa de la Marina.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 016
Fecha: 20-04-2020
Página: 8 de 13
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Pagos de estímulo con ataques de phishing y dominios maliciosos.
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, correo electrónico, Internet.
Código de familia G Código de sub familia G02
Clasificación temática familia Fraude.
Descripción
1. El 20 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que diferentes países, vienen realizando la entrega de un bono a empresas y población en apoyo a la pandemia Covid-19 (Coronavirus). Los ciberdelincuentes vienen realizando una campaña mediante el envío de correos electrónicos fraudulentos relacionados al pago de bonos con el asunto de “RE: UN COVID-19 Stimulus y "Pago COVID-19", infectando a los usuarios.
2. Cabe resaltar que en la actualidad se han registrado un total de 4305 dominios maliciosos relacionados con los paquetes de estímulo.
3. Recomendaciones:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes no confiables.
Mantener los equipos protegidos con el software y antivirus actualizados.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint, Twitter.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 016
Fecha: 20-04-2020
Página: 9 de 13
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta El troyano bancario Trickbot, explota la temática del Covid-19 para distribuir malware mediante múltiples campañas de SPAM
Tipo de ataque Troyanos Abreviatura Troyanos
Medios de propagación Red, Correo, Navegación de Internet
Código de familia C Código de Sub familia C01 Clasificación temática familia Código malicioso
Descripción
1. Resumen:
Se ha tomado conocimiento que, mediante un tweet publicado recientemente por investigadores de Microsoft, el troyano bancario Trickbot sería el que más se estaría aprovechando de la temática del Covid-19 para distribuir malware. Solo en la última semana se habrían detectado cientos de documentos maliciosos adjuntos a correos electrónicos enviados a miles de usuarios a través de múltiples campañas de spam. Trickbot también se puede propagar lateralmente utilizando el exploit EternalBlue (MS17-010). Una de las temáticas usadas como señuelo ha sido la supuesta prueba gratuita Covid-19 que ofrece una organización sin fines de lucro.
TrickBot es un troyano bancario que se centra en el robo de las credenciales bancarias, monederos de criptomonedas, información de los navegadores u otras credenciales que se encuentren en los ordenadores de los usuarios y sus navegadores.
Rob Lefferts, vicepresidente corporativo de Seguridad de Microsoft 365, indico que los investigadores de la compañía detectaron 76 variantes de amenazas utilizando señuelos temáticos COVID-19, con el malware TrickBot.
Google indicó que su servicio de correo electrónico, Gmail, bloquea más de 100 millones de correos electrónicos de phishing. Durante la última semana, se ha visto más de 18 millones de correos electrónicos diarios de malware y phishing relacionados con COVID-19. Esto se suma a más de 240 millones de mensajes de spam diarios relacionados con COVID.
2. Detalles:
Trickbot empezó a formar parte de la triada Emotet-Trickbot-Ryuk y ha mantenido buena parte de su finalidad inicial, que consiste en robar información de aquellos sistemas a los que infecta, añadiendo nuevas funcionalidades como la capacidad de lanzar ataques de fuerza bruta a través de RDP y aplicaciones móviles maliciosas que le permiten evadir el doble factor de autenticación usado por las entidades bancarias.
Estas nuevas actualizaciones constantes realizadas de forma periódica lo han convertido en un malware modular que se adapta constantemente a las necesidades de sus creadores e intenta maximizar el alcance de sus campañas de propagación usando temáticas actuales, como es el caso de Covid-19. Además de robar información confidencial, TrickBot se ha actualizado para funcionar como un descargador que entrega otro código malicioso, como el ransomware. Los analistas de seguridad también han observado otras campañas en las que TrickBot se combina con otro malware, como Emotet y Ryuk.
En sus tweets, Microsoft advierte que en las campañas de TrickBot que han observado sus investigadores, las macros maliciosas en los correos electrónicos de phishing usan un retraso de 20 segundos antes de entregar la carga útil final, lo que permite que el malware evada la emulación o el análisis de sandbox.
Este tipo de ataques son especialmente peligrosos en entornos corporativos, ya que no solo comprometen la seguridad de la red, sino que también roban información confidencial y, muchas veces, cifran los datos almacenados en los sistemas infectados, pidiendo un pago de rescate para poder recuperarlos.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
En un informe del 16 de abril, Google señaló que, en el transcurso de una semana, la compañía observó 18 millones de correos electrónicos diarios de malware y phishing relacionados con COVID-19 que apuntaban a los usuarios de Gmail. Esto se sumó a más de 240 millones de mensajes de spam diarios relacionados con COVID-19.
Google informó haber observado correos electrónicos de phishing disfrazados de mensajes de la Organización Mundial de la Salud pidiendo donaciones. Los investigadores descubrieron que estos mensajes generalmente contenían malware que intentaba instalar puertas traseras dentro de los dispositivos infectados. Otros correos electrónicos de phishing fueron diseñados para dirigirse a los trabajadores en el hogar o contenían mensajes maliciosos sobre las verificaciones de estímulo del gobierno.
3. Imágenes:
Tweet: Microsoft Security Intelligence
Correo malicioso usado por Trickbot
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
4. Recomendaciones:
Identifique los correos electrónicos con tipos de archivos adjuntos inusuales, y márquelo como correo no deseado.
Identifique los correos electrónicos no autenticados que intentan falsificar su dominio y muestren automáticamente un aviso de advertencia, envíelos a correo no deseado.
Se debe proteger contra documentos que contienen scripts maliciosos que pueden dañar sus dispositivos.
Se debe proteger contra los tipos de archivos adjuntos que son poco comunes o resulten sospechosos para su dominio.
Se debe de escanear las imágenes vinculadas e identifique enlaces detrás de URL acortadas.
Se debe proteger contra los mensajes en los que el nombre del remitente es un nombre en su directorio de contactos, pero el correo electrónico no es del dominio o alias de dominio de su empresa.
Se debe verificar la integridad de las URL antes de proporcionar credenciales de inicio de sesión o hacer clic en un enlace. Las URL falsas generalmente imitan las URL reales e incluyen palabras o dominios adicionales.
Se debe de evitar y reportar los correos electrónicos de phishing.
Fuentes de información
1. https://twitter.com/MsftSecIntel/status/1251181180281450498 2. https://blogs.protegerse.com/2020/04/20/el-malware-trickbot-se-aprovecha-fuertemente-de-la-situacion-provocada-por-el-covid-19/ 3. https://cloud.google.com/blog/products/identity-security/protecting-against-cyber-threats-during-covid-19-and-beyond 4. https://www.securityartwork.es/wp-content/uploads/2017/06/Informe_Evoluci%C3%B3n_Trickbot.pdf 5. Equipo de Seguridad Digital DINI
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 016
Fecha: 20-04-2020
Página: 12 de 13
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Email de extorsión. Tipo de ataque Email Extortion and Bomb Threats Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia N Código de Subfamilia N01
Clasificación temática familia Criptomonedas
Descripción
1. El 20 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes, vienen llevando a cabo una campaña de Phishing, a través de email personalizado. En este, hacen creer a la víctima haber obtenido su clave de correo Hotmail, mencionando que tiene acceso a los contactos de la red social Facebook, contactos móviles e incluyendo videos desde hace un año, los cuales serán divulgado si no realiza el pago de $2000 dólares en Boitcoin, la cual debe ser enviada a la siguiente dirección: b***c1qpx9c8f7acwuxsan8nep0u4jyw5v974zslvjjpw , dándole un plazo de 24 horas para realizar la operación, para no divulgar la información.
2. Detalles de Email:
Remitente: Flore Hironaka
Email: [email protected]
Fecha de Envió: 17ABR20
3. Análisis de enlace:
hxxps://www.bitcoinabuse.com/reports/bc1qm3dr4q7dedkh4dna5ewasjp0k3ne0l2ls93rtd, es un identificador que se utiliza para enviar bitcoin a otra persona.
o Formato: BECH32 (P2WPKH)
Identificador que fue reportado en la base de datos de abuso de bitcoin:
Email enviado (idioma Ingles) Traducción
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
En la base de datos de Abusos de bitcoin, se han registrado 5 denuncias por el caso de extorsión, las cuales tienen el mismo enlace, pero diferente remitente de correo electrónico.
Se ha podido obtener la dirección IP del Email: 40.92.23.46.
Referencia:
o Bitcoin. - Es una moneda, que sirve para intercambiar bienes y servicios. Sin embargo, a diferencia de otras monedas, bitcoin es una divisa electrónica que presenta novedosas características de fácil intercambio.
o Monedero. - Es el lugar donde se guardan los bitcoins, Es el equivalente a la cuenta bancaria, pues consiste en un número desde donde se puede realizar transferencias o recibirlas.
4. Recomendaciones:
No responda a correo donde le soliciten bitcoin.
No abras correos de usuarios desconocidos o que no hayas solicitado directamente.
No acceda a las extorsiones por Email.
Utiliza contraseñas distintas para servicios diferentes. Usar un gestor de contraseñas te facilitará esta tarea.
Ten siempre actualizado el sistema operativo y el antivirus.
Fuentes de información https://www.bitcoinabuse.com/reports