lima, 20 de setiembre de 2020
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 20 de setiembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Vulnerabilidades en el Core de Drupal .......................................................................................................... 3
Robo Cibernético por email ........................................................................................................................... 4
LockBit ransomware lanza un sitio de filtración de datos para extorsionar a las víctimas ........................... 5
Informe CISA de EE.UU comparte detalles sobre los shells web utilizados por ciberdelincuentes .............. 6
Detección del Malware denominado MehCrypter. ....................................................................................... 7
Índice alfabético ............................................................................................................................................ 9
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 169
Fecha: 20-09-2020
Página: 3 de 9
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Vulnerabilidades en el Core de Drupal
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red e internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad reportan el hallazgo de cinco (5) vulnerabilidades en el Core de Drupal, una de severidad alta y el resto medias, de tipos Cross-site scripting (XSS), omisión de autenticación y divulgación de información.
2. Detalles de la alerta:
La vulnerabilidad de severidad más alta es de tipo XSS reflejado, esto podría permitir que un atacante aprovechara la forma en que se representa HTML para los formularios afectados. Se ha reservado el identificador CVE-2020-13668 para esta vulnerabilidad.
Para el resto de vulnerabilidades con menor criticidad se han reservado los identificadores: CVE-2020-13666, CVE-2020-13667, CVE-2020-13669 y CVE-2020-13670.
Los recursos afectados de las versiones son:
9.0.6
8.9.6
8.8.10
7.73
Cabe precisar, ya se encuentran disponibles las actualizaciones 9.0.6, 8.9.6, 8.8.10 y 7.73.
Con relación a las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y ya no reciben cobertura de seguridad. Los portales en versiones 8.7.x o anterior deberán actualizarse a 8.8.10.
3. Recomendaciones:
Actualizar los parches de seguridad del sitio web oficial del fabricante.
Mantener un protocolo de actualizaciones de sistemas operativos, antivirus y todas las aplicaciones de TI.
Establecer procedimientos de registro de incidentes.
Preparar un plan de recuperación operacional.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 169
Fecha: 20-09-2020
Página: 4 de 9
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Robo Cibernético por email
Tipo de ataque Vulnerabilidades, phishing Abreviatura Dominio cdcgov.org.
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Vulnerabilidades, phishing
Descripción
4. El 20 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de otra posible brecha de seguridad, la estafa de coronavirus; el correo electrónico malicioso vinculado al coronavirus apareció por primera vez a principios de febrero y está diseñado para recolectar información personal, robar dinero e infectar computadoras.
5. Las malas intenciones no tienen límites. Luego que se diera a conocer la existencia de archivos maliciosos disfrazados de documentos relacionados con el coronavirus, una vez más los delincuentes vuelven a usar el delicado tema mundial para cometer fechorías.
6. De acuerdo con el portal de Kaspersky, compañía dedicada a la seguridad informática, estos archivos daban a entender que contienen instrucciones en video sobre cómo protegerse del virus, pero que en realidad era una serie de amenazas, desde troyanos hasta gusanos capaces de destruir, bloquear, modificar o copiar datos.
7. Kaspersky ha encontrado otro correo de phishing que también parece provenir de los CDC, aunque esta vez se trata de una dirección diferente, pero igualmente falsa: cdcgov.org.
8. Se recomienda:
Para mitigar los problemas de seguridad, actualizar a la versión más reciente, una vez más se demuestra la gran importancia de contar siempre con las últimas versiones. Es vital que tengamos actualizados los equipos con los parches de seguridad disponibles.
Observa con cuidado para identificar direcciones erróneas, dominios incorrectos, URL con etiquetas engañosas y otras señales.
No necesitas ingresar tus credenciales que un sitio web no debería solicitar, sobre todo si es un sitio abierto para todo el mundo, como los CDC o la OMS.
Fuentes de información https[:]//blog.segu-info.com.ar/2020/07/gigaleak-filtrado-de-codigo-fuente-de.html?m=1
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 169
Fecha: 20-09-2020
Página: 5 de 9
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta LockBit ransomware lanza un sitio de filtración de datos para extorsionar a las víctimas Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, correo, red, navegación de internet Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso
Descripción
1. El 20 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 19 de setiembre de 2020 por Bllepingcomputer, sobre LockBit ha lanzado un nuevo sitio de filtración de datos que se utilizará como parte de su estrategia de doble extorsión para asustar a las víctimas para que paguen un rescate.
2. Desde finales de 2019, las bandas de ransomware han adoptado una táctica de doble extorsión para robar archivos no cifrados antes de cifrar las computadoras en una red. Las bandas de ransomware luego usan los archivos robados y la amenaza de que serán liberados públicamente en los sitios de filtración de datos como palanca para que las víctimas paguen un rescate.
3. Según la firma de inteligencia de ciberseguridad Kela, la operación de ransomware LockBit publicó ayer un enlace en un foro de hackers de habla rusa a su nuevo sitio de filtración de datos. El sitio de filtración de datos contiene actualmente dos víctimas; un fabricante de piezas de automatización y una empresa de transporte.
4. Se recomienda:
La actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida.
Fuentes de información https[:]//www.bleepingcomputer.com/news/security/lockbit-ransomware-launches-data-leak-site-to-double-extort-victims/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 169
Fecha:20-09-2020
Página: 6 de 9
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Informe CISA de EE.UU comparte detalles sobre los shells web utilizados por ciberdelincuentes Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 20 de Setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información que se detalla a continuación: Según el informe de CISA, piratas informáticos iraníes están empleando varios shells web conocidos en ataques contra organizaciones de TI, gubernamentales, sanitarias, financieras y de seguros en todo Estados Unidos. El malware utilizado por los actores de amenazas incluye los shells web ChunkyTuna, Tiny y China Chopper. Los mismos que estaban detrás de los ataques que explotaban vulnerabilidades en Pulse Secure VPN, Citrix Application Delivery Controller (ADC) y Gateway, y los productos BIG-IP ADC de F5.
2. Estos ciberdelincuentes han estado atacando VPN corporativas durante los últimos meses, han estado pirateando servidores VPN para instalar puertas traseras en empresas de todo el mundo dirigidas a Pulse Secure, Fortinet, Palo Alto Networks y Citrix VPN .
3. El CISA MAR incluye detalles técnicos de 19 archivos maliciosos, incluidos varios componentes del shell web de China Chopper, como una aplicación ASP que escucha las conexiones HTTP entrantes de un operador remoto. Los shells web permiten a los atacantes entregar y ejecutar código JavaScript que podría usarse para enumerar directorios, ejecutar cargas útiles y exfiltrar datos.
4. El informe también analizó un script de shell de PowerShell que es parte del proyecto de código abierto KeeThief, que permite al adversario acceder a las credenciales de contraseña encriptadas almacenadas por el software de administración de contraseñas “KeePass” de Microsoft.
5. Se recomienda:
Usuario y contraseña fuertes, ya que debe ser larga, única, y compleja, es decir, incluir números, símbolos y diferencias entre mayúsculas y minúsculas.
Restricciones de acceso remoto, para ello se debe priorizar quienes del equipo de trabajo realmente requieren trabajar a través de escritorio remoto de forma para realizar su trabajo, esto minimiza los riesgos de que haya agujeros de seguridad.
Predeterminar bloqueo de cuenta, ya que esta clase de ataques requiere una gran cantidad de intentos para poder encontrar la contraseña y realizar el inicio de sesión, se puede limitar la configuración a través de un protocolo que bloquea a los usuarios después de una cierta cantidad de intentos durante un período de tiempo determinado.
Fuentes de información https[:]//securityaffairs.co/wordpress/108357/malware/cisa-web-shells-iranian-hackers.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 169
Fecha: 20-09-2020
Página: 7 de 9
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del Malware denominado MehCrypter.
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 20 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio “Decoded avast.io”, se informa sobre la detección del Malware denominado MehCrypter, que al ser ejecutado infecta el dispositivo de la víctima con la finalidad de robar contraseñas, registra teclas y robar carteras de criptomonedas, etc, el cual se distribuye a través de scripts Autolt o programas maliciosos, keylogging, sitios web torrents, entre otros.
2. Detalles:
El malware MehCrypter se compone de dos partes principales.
o La primera parte es un criptográfico denominado MehCrypter, que consta de varias etapas y se distribuye como un script AutoIt compilado con una secuencia de cadenas generada al azar. El intérprete de AutoIt omite esta secuencia de cadenas, que busca los bytes mágicos que determinan el formato del archivo y ofusca el archivo de manera efectiva sin afectar su funcionalidad.
o La segunda parte es un ladrón de contraseñas, llamado Meh. El ladrón es el núcleo del malware y tiene muchas funcionalidades, el cual es capaz de robar contenido del portapapeles, hacer keylogging, robar carteras de criptomonedas, descargar archivos adicionales a través de torrents y mucho más.
o Las funcionalidades de MehCrypter se realizan en subprocesos, ejecutados a partir de procesos inyectados como notepad.exe, werfault.exe, vbc.exe, systeminfo.exe y calc.exe.
Imagen del proceso de infección del malware MehCrypter.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso (IoC):
o Archivos analizados:
Nombre: dll.txt.dll
Tipo: unknown
Tamaño: 155.78 KB (159516 bytes)
MD5: 0b521eafc64af1dd989dc57ff9cedbcd
SHA-1: 836e69e6bf7684d21ee79887d6b7d60c141b3501
SHA-256: 34684e4c46d237bfd8964d3bb1fae8a7d04faa6562d8a41d0523796f2e80a2a6
Nombre: direct-cpu-clock-access
Tipo: Win32 EXE
Tamaño: 21.50 KB (22016 bytes)
MD5: b2d765cb5bdd0b318998578e87db05bb
SHA-1: 91041776507eda04af808cf632c10ef74ef0cbca
SHA-256: 657ea4bf4e591d48ee4aaa2233e870eb99a17435968652e31fc9f33bbb2fe282
3. Algunas Recomendaciones:
Actualizar el software antivirus y los archivos asociados.
Bloquear o configurar la detección para todos los IoC basados en URL e IP.
Mantener las aplicaciones y los sistemas operativos en ejecución al nivel de parche publicado actual.
No pinchar o descargar archivos adjuntos y enlaces de correos electrónicos dudosos.
Fuentes de información https[:]//decoded.avast.io/janrubin/complex-obfuscation-meh/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 9 de 9
Índice alfabético No se encuentran entradas de índice.