PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 22 de agosto de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Troyano de acceso remoto BLINDINGCAN .................................................................................................... 3

Ataque de ransomware DarkSide .................................................................................................................. 4

Hackers pueden obtener la contraseña de su red wifi debido a falla en cerradura inteligente ................... 5

El gusano cryptojacking roba las credenciales de AWS de los sistemas Docker ........................................... 6

Detección del ransomware Dharma .............................................................................................................. 7

Índice alfabético ............................................................................................................................................ 9

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 140

Fecha: 22-08-2020

Página: 3 de 9

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Troyano de acceso remoto BLINDINGCAN

Tipo de ataque Troyanos Abreviatura Troyanos

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), publicó una alerta de seguridad con detalles sobre una nueva cepa de malware de acceso remoto denominada BLINDINGCAN que fue visto este año. El gobierno de Estados Unidos se refiere a la actividad cibernética maliciosa a los actores de amenazas del gobierno de Corea del Norte como el grupo HIDDEN COBRA.

2. Detalles de la alerta:

Los expertos de CISA afirman que los hackers de Corea del Norte utilizaron el malware para obtener acceso a los sistemas de las víctimas, realizar reconocimientos y luego recopilar información sobre tecnología militares y energéticas.

Esto fue posible gracias al gran conjunto de capacidades técnicas de troyano BLINDINGCAN, que permitieron al RAT:

Recuperar información sobre todos los discos instalados, incluido el tipo de disco y la cantidad de espacio libre en el disco

Obtener información sobre la versión del sistema operativo

Obtener información del procesador

Obtener el nombre del sistema

Obtener información de la dirección IP local

Obtener la dirección de control de acceso a medios (MAC) de la víctima

Crear, iniciar y finalizar un nuevo proceso y su hilo principal

Buscar, leer, escribir, mover y ejecutar archivos

Obtener y modificar marcas de tiempo de archivos o directorios

Cambiar el directorio actual de un proceso o archivo

Eliminar el malware y los artefactos asociados con el malware del sistema infectado

3. Indicadores de Compromiso (IoC):

Hash: 6a3446b8a47f0ab4f536015218b22653fff8b18c595fbc5b0c09d857eba7c7a1

Dominios: agarwalpropertyconsultants.com / anca-aste.it / automercado.co.cr / curiofirenze.com

IP: 192[.]99[.]20[.]39 / 199[.]79[.]63[.]24 / 51[.]68[.]152[.]96 / 54[.]241[.]91[.]49

4. Recomendaciones:

Mantener actualizado el sistema operativo, software, aplicaciones y dispositivos de tecnología de información.

Evaluar el bloque preventivo de los indicadores de compromiso.

Tener un antivirus o antimalware activo y estar actualizado.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 140

Fecha: 22-08-2020

Página: 4 de 9

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Ataque de ransomware DarkSide

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de subfamilia C09

Clasificación temática familia Código malicioso

Descripción

1. El 22 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre un nuevo ataque de ransomware llamado DarkSide.

2. Esta nueva operación de ransomware comenzó alrededor del 10 de agosto del presente año a realizar ataques contra numerosas empresas. Asimismo, según DarkSide solo se dirigen a empresas que pueden pagar el rescate especificado.

3. Por otro lado, los ciberdelincuentes también han declarado que no apuntan a las siguientes organizaciones: medicina, educación, organizaciones sin ánimo de lucro, sector gubernamental. Cabe señalar que las demandas de rescate de DarkSide oscilan entre los $ 200,000 y $ 2,000,000.

4. Al igual que otros de ataques de ransomwore, los ciberdelincuentes ingresan a una red para que obtengan acceso a una cuenta administrador y al controlador de dominio de Windows, mientras se propagan lateralmente, los atacantes roban datos no cifrados de los servidores de la víctima, para luego ser publicados en un sitio de filtración de datos bajo su control y se utiliza como para de la extorción a la empresa a través capturas de pantalla de los datos, tipos de datos robados, cuantos datos fueron robados, etc. si la víctima no paga el rescate Dark-side los datos serán publicados durante al menos seis meses en su sitio web.

5. Asimismo, si la victima paga el rescate Darkside eliminará los datos robados de su sitio de filtración, este ransomware personalizado ejecuta un comando de PowerShell el cual elimina las instantáneas de volumen en el sistema para que no se puedan usar para restaurar archivos.

6. Según los expertos se descubrió que DarkSide tiene similitudes con el ransomware REvil como la misma plantilla de rescate de REvil, así como evita infectar a las víctimas en los países de CEI.

7. Se recomienda:

Mantener actualizado los parches del sistema operativo y el antivirus

Habilitar un firewall personal en las estaciones de trabajo.

Escanear todo el software descargado de internet antes de ejecutarlo.

No descargar o abrir archivos no confiables.

Tener cuidado al utilizar medios extraíbles, por ejemplo, unidades de memoraría USB, unidades externas, CD, etc.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 140

Fecha: 22-08-2020

Página: 5 de 9

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Hackers pueden obtener la contraseña de su red wifi debido a falla en cerradura inteligente Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 22 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los especialistas de un curso de hacking ético, han detectado un problema con el August Smart Lock Pro + Connected que permitiría a los actores de amenazas obtener la contraseña de la red WiFi del usuario de forma muy fácil, lo que podría ocasionar toda clase de desastres. La investigación estuvo a cargo de un equipo especializado en internet de las Cosas (IoT) de la firma Bitdefender, en colaboración con PCMag.

2. Las cerraduras inteligentes (smart locks) se han convertido en una de las herramientas más populares recientemente. Con funciones como apertura de puertas mediante una App móvil, registro de cualquier acceso, bloqueo automático o acceso temporal, estos dispositivos son especialmente útiles para entornos domésticos, empresariales o servicios turísticos.

3. Los investigadores se enfocaron en el análisis de la más reciente versión del candado inteligente, que cuenta con WiFi integrado. El candado se activa mediante una App móvil; al estar dentro del rango de alcance determinado, se inicia una comunicación entre la app y el dispositivo a través de Bluetooth Low Energy (BLE). En caso de no emplear este protocolo, se inicia una conexión a través de internet al puente Connect, encargado de controlar el candado. Estos comandos están cifrados y no es posible manipularlos.

4. También descubrieron que este proceso de intercambio de credenciales no contaba con ninguna protección, por lo que un actor de amenazas podría capturar las credenciales de inicio de sesión de la red WiFi del usuario objetivo, obteniendo acceso completo. El ataque es algo complejo, pues el hacker malicioso debe encontrarse en una ubicación cercana para interceptar las credenciales de inicio de sesión en el preciso momento en el que ocurre el intercambio de claves.

5. Se recomienda:

Estar pendientes a las actualizaciones de la empresa en su página oficial.

Implementar una contraseña segura.

Fuentes de información http://noticiasseguridad.com/vulnerabilidades/hackers-pueden-obtener-la-contrasena-de-su-red-wifi-debido-a-falla-en-cerradura-inteligente/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 140

Fecha:22-08-2020

Página: 6 de 9

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta El gusano cryptojacking roba las credenciales de AWS de los sistemas Docker Tipo de ataque Botnet Abreviatura Botnet Medios de propagación IRC, USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C01 Clasificación temática familia Código malicioso

Descripción

1. El 22 de Agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro informacion que se detalla a continuacion: Un grupo de ciberdelincuencia conocido como TeamTNT está utilizando un gusano de minería criptográfica para robar credenciales de AWS de texto sin formato y archivos de configuración de los sistemas Docker y Kubernetes comprometidos. MalwareHunterTeam informó por primera vez de la botnet de minería de criptomonedas de TeamTNT en mayo y los investigadores de Trend Micro la analizaron en profundidad y descubrieron su afinidad por los contenedores Docker mal configurados.

2. Según los investigadores de Cado Security, este es el primer gusano que viene con la funcionalidad de robo de credenciales de AWS además de los módulos de criptominería comunes y corrientes. Esta botnet utiliza servidores ya infectados para ejecutar una instancia de escáner de puerto IP Masscan de código abierto que busca API de Docker expuestas (y sistemas Kubernetes como se descubrió más tarde), instalándose en nuevos contenedores en cualquier servidor mal configurado que encuentre.

3. Una vez que infecta un servidor, el gusano TeamTNT escaneará el sistema en busca de archivos no encriptados utilizados por AWS CLI para almacenar credenciales e información de configuración, ubicados en ~ / .aws / credentials y ~ / .aws / config. Asimismo, una vez que encuentre los datos que busca, el gusano los cargará en servidores de comando y control controlados por el atacante mediante curl. Según los investigadores, los atacantes verificaron manualmente las credenciales de AWS robadas o sus verificaciones automatizadas aún no están operativas.

4. Si bien estos ataques no son particularmente sofisticados, los numerosos grupos que implementan gusanos de criptojacking tienen éxito en infectar grandes cantidades de sistemas comerciales

5. Se recomienda:

Bloquear el acceso a las API de Docker mediante reglas de lista blanca de firewall.

Monitorear las conexiones realizadas a grupos de minería mediante el protocolo de minería Stratum.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/cryptojacking-worm-steals-aws-credentials-from-docker-systems/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 140

Fecha: 22-08-2020

Página: 7 de 9

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del ransomware Dharma

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de subfamilia C09

Clasificación temática familia Código malicioso

Descripción

1. El 22 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Sarota PR”, se informa sobre la detección del ransomware Dharma, el cual está dirigido a pequeñas y grandes empresas como hospitales y organizaciones estatales entre otros, que al ser ejecutado encripta o cifrar los archivos, carpetas e incluso una computadora completa, con la finalidad de exigir a las víctimas un rescate a cambio de restaurar el acceso a la información perdida.

2. Detalles:

Ransomware Dharma al encriptar los archivos deja notas de rescate en la computadora de la víctima, las cuales están codificadas por colores o con archivos de texto simples. Estas notas generalmente incluyen pasos y procedimientos que deben seguir las víctimas para restaurar sus archivos cifrados.

Para su distribución el ransomware Dharma utiliza los siguientes métodos.

o Correos electrónicos adjuntos con archivos o enlaces maliciosos.

o Uso de software legítimo comprometido, a menudo antivirus.

o Campañas dirigidas que abusan del protocolo de escritorio remoto.

Dharma cuenta con una variedad de extensiones de archivo al ser ejecutado.

o BIP .combo .gamma .arrow .betta .vanss .audit .adobe .fire .bear .back .cccmn .tron .like .gdb .myjob .risk .santa .bizer .btc .auf .heets .usa .qwx .xwx .aqva .eth .amber .stuf .ms13 .bk666 .com .qbix .bat .MERS.

Imagen:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso (IoC).

o Archivos analizados. Nombre: 444.txt

Tipo: Win32 EXE

Tamaño: 208.00 KB (212992 bytes)

MD5: 00e39cd18db6566e501f0f8bd15b0a6e

SHA-1: 349897d46faa4b5643d15a2f0610e8d8bced6e0e

SHA-256: f3c0291f31fd01f3a27e61d010acfa56611eb6e02935741ee9da169eedbc7c66

o Reutilización de código del ransomware Dharma.

3. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//sarota.pl/biuro-prasowe/zlosliwe-oprogramowanie-dharma-atakuje-sektor-msp-raport-sophos/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 9 de 9

Índice alfabético

botnet ................................................................................................................................................................................ 6 Código malicioso .................................................................................................................................................... 3, 4, 6, 7 Correo electrónico ......................................................................................................................................................... 4, 7 Correo electrónico, redes sociales, entre otros ............................................................................................................ 4, 7 Explotación de vulnerabilidades conocidas ....................................................................................................................... 5 Intento de intrusión ........................................................................................................................................................... 5 internet .......................................................................................................................................................................... 4, 5 IoT ...................................................................................................................................................................................... 5 IRC, USB, disco, red, correo, navegación de internet ........................................................................................................ 6 malware ............................................................................................................................................................................. 3 puerto ................................................................................................................................................................................ 6 ransomware ............................................................................................................................................................... 4, 7, 8 Ransomware .................................................................................................................................................................. 4, 7 Red, internet ...................................................................................................................................................................... 5 redes sociales ..................................................................................................................................................................... 1 servidor .............................................................................................................................................................................. 6 servidores ...................................................................................................................................................................... 4, 6 software ..................................................................................................................................................................... 3, 4, 7 Troyanos ............................................................................................................................................................................ 3 USB, disco, red, correo, navegación de internet ............................................................................................................... 3