PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 6 de julio de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido La vulnerabilidad de .NET Core podría permitir a los atacantes evadir la detección de malware ................ 3

vulnerabilidad de Bluetooth afecta a todos los dispositivos ......................................................................... 4

Falla en WIRESHARK causa uso excesivo del CPU (ataque de denegación de servicios-DoS) al inyectar un

paquete malicioso en la red. ......................................................................................................................... 5

Nuevo ransomware “TRY2CRY” encripta archivos de la memoria USB ........................................................ 6

Delincuentes cibernéticos explotan vulnerabilidad crítica en dispositivos BIG-IP ........................................ 8

Detección del malware Mysterybot .............................................................................................................. 9

Índice alfabético ..........................................................................................................................................11

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 093

Fecha: 06-07-2020

Página: 3 de 11

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta La vulnerabilidad de .NET Core podría permitir a los atacantes evadir la detección de malware

Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC

Medios de propagación Red e Internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que especialistas en ciberseguridad han identificado una (1) vulnerabilidad en la biblioteca .NET Core, la falla de seguridad podría permitir a los atacantes iniciar programas maliciosos mientras se evade la detección por parte del software de seguridad.

2. Detalles de la alerta:

.NET Core es un framework informático administrado, gratuito y de código abierto para los sistemas operativos Windows, Linux y macOS.

Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad en la biblioteca .NET Core que permitiría a los actores de amenazas iniciar programas maliciosos mientras se evade a las herramientas de seguridad en el sistema afectado. Al parecer, la vulnerabilidad existe debido a un bug de Microsoft que permite a los usuarios con privilegios menores cargar archivos DLL maliciosos.

Asimismo, la vulnerabilidad es posible a dos razones principales:

.NET Core le permite usar una DLL personalizada como su recolector de basura

La variable de entorno "COMPlus_GCName" utilizada para especificar un recolector de basura personalizado .NET no se desinfecta. Por lo tanto, los caracteres transversales (../) proporcionados en la ruta del recolector de basura no se filtran.

Antes de explotar la falla seguridad, el atacante ya necesita tener al menos algún nivel de acceso al sistema para establecer variables de entorno. Eso significa que esta falla se usaría de manera realista junto con un exploit existente, como en un escenario de encadenamiento de vulnerabilidad.

Una forma de detectar si se está explotando esta vulnerabilidad, es verificar las propiedades del navegador, en la opción de ambiente, en la cual se visualizará COMPlus_GCName seguido de una cadena fija.

La vulnerabilidad afecta a la última versión estable 3.1.x de .NET Core. La solución no está disponible actualmente y podría permitir a los atacantes ejecutar código malicioso en un sistema sin ser detectados fácilmente por los productos antivirus y sistemas de seguridad.

3. Recomendaciones:

Actualizar los parches de seguridad en cuanto estén disponibles en el sitio web oficial del proveedor.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 093

Fecha: 06-07-2020

Página: 4 de 11

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta vulnerabilidad de Bluetooth afecta a todos los dispositivos

Tipo de ataque Amenaza avanzada persistente Abreviatura APT

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G01

Clasificación temática familia Fraude

Descripción

1. El 06 de julio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, los investigadores de la École Polytechnique Fédérale de Lausanne (EPFL) han encontrado una vulnerabilidad en el protocolo Bluetooth que afecta a todos los dispositivos que lo usan en la actualidad.

2. Los investigadores han bautizado la vulnerabilidad como BIAS (Bluetooth Impersonation Attacks), donde es necesario estar próximo al dispositivo atacado para poder establecer una conexión, además de que el atacante debe haber realizado una conexión previa con ese dispositivo; o al menos conocer una dirección de un dispositivo ya emparejado.

3. Así, los investigadores afirman que es posible que un atacante pueda realizar spoofing con una dirección previamente asociada a un dispositivo para completar el proceso de autenticación sin tener que utilizar la clave de enlace, pudiendo realizar incluso un ataque de Key Negotiation of Bluetooth (KNOB).

4. El fallo radica concretamente en la forma en la que dos positivos previamente emparejados entre sí gestionan la clave que los une a largo plazo. Esta clave se utiliza para autenticar los dispositivos y activar una conexión segura entre ellos, evitando tener que realizar un emparejamiento desde cero cada vez que conectamos por ejemplo unos auriculares Bluetooth al móvil. Con el ataque KNOB, el atacante puede ir un paso más allá y obtener la clave de la sesión al rebajar la seguridad de la conexión y tener acceso completo como cualquier otro dispositivo conectado sin que el usuario atacado tenga que hacer nada.

5. El Bluetooth SIG afirma que han actualizado la especificación del estándar Bluetooth para solucionar el fallo, y recomiendan comprobar el cifrado usado en las conexiones para evitar que se produzcan downgrades en el cifrado utilizado a protocolos más antiguos e inseguros.

6. Se recomienda:

La recomendación para solucionar el fallo es que los fabricantes eviten que se produzcan una reducción de la longitud de la clave de cifrado por debajo de 7 octetos.

Que se realice autenticación mutua al realizar conexiones con dispositivos antiguos, que sólo se soporten conexiones seguras cuando sea posible, y que la autenticación de la conexión no se use para indicar de manera independiente un cambio en el estado de confianza del dispositivo sin antes requerir el establecimiento de un enlace cifrado entre ambos.

Fuentes de información https[:]//blog.segu-info.com.ar/2020/05/bias-vulnerabilidad-de-bluetooth-afecta.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 093

Fecha: 06-07-2020

Página: 5 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Falla en WIRESHARK causa uso excesivo del CPU (ataque de denegación de servicios-DoS) al inyectar un paquete malicioso en la red.

Tipo de ataque Denegación de servicio DoS Abreviatura DoS Medios de propagación Red, correo, navegacion de internet Código de familia F Código de subfamilia F01 Clasificación temática familia Disponibilidad del servicio

Descripción

1. El 06 de Julio del 2020, a través del

monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información que se detalla a continuación: Un reporte de expertos en pruebas de seguridad informática (Common Vulnerability Scoring System - CVSS), ha revelado una vulnerabilidad en Wireshark, el analizador de protocolos utilizado para la inspección y solución de múltiples problemas en redes de comunicaciones. La explotación exitosa de esta falla permitiría a los hackers remotos lanzar ataques de denegación de servicio (DoS).

2. La vulnerabilidad, identificada como CVE-2020-15466, existe debido a un bucle infinito dentro del disector GVCP, lo que permite a los actores de amenazas remotos desplegar ataques DoS. Un hacker malicioso puede pasar un archivo de rastreo de paquetes especialmente diseñado a la aplicación vulnerable, lo que consumirá todos los recursos del sistema, llevando a la condición DoS. La falla, considerada de severidad media, recibió un puntaje de 5.7/10 y reside en las siguientes versiones de Wireshark: 3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.2.4. A pesar de que la falla puede ser explotada de forma remota por hackers no autenticados a través de Internet, los especialistas en pruebas de seguridad informática aún no han detectado intentos de explotación activa. Los primeros análisis tampoco reportan el hallazgo de alguna variante de malware asociada a este ataque.

3. Los desarrolladores de Wireshark ya han lanzado una corrección para las versiones afectadas por esta falla, por lo

que los usuarios de implementaciones afectadas sólo deben verificar su correcta instalación. No existe una solución alternativa para corregir esta vulnerabilidad, por lo que los usuarios deberán instalar una versión actualizada para mitigar el riesgo de explotación.

4. Se recomienda:

Implementar capas de seguridad es la infraestructura de red, ya que es la ruta de entrada a los servicios ofrecidos. Alguna de las medidas a tener en cuenta es por ejemplo, en el caso de tener los servicios online dentro de una red corporativa, la instalación de un router entre esta red y el proveedor de servicios (ISP), debido a que podemos configurar fácilmente capas de seguridad tales como una lista de control de acceso (ACL), que controla el acceso a nuestra red en base a las IP’s de los solicitantes, y/o un cortafuegos.

Disponer de una cantidad considerable de ancho de banda tanto por parte de nuestro sistema como por parte de nuestro proveedor de servicios, de esta manera podemos llegar a evitar ataques DoS del tipo ICMP Flood, entre otros.

Fuentes de información https[:]//noticiasseguridad.com/vulnerabilidades/falla-en-wireshark-causa-uso-excesivo-del-cpu-ataque-dos-al-inyectar-un-paquete-malicioso-en-la-red/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 093

Fecha: 06-07-2020

Página: 6 de 11

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Nuevo ransomware “TRY2CRY” encripta archivos de la memoria USB

Tipo de ataque Ransonware Abreviatura Ransonware Medios de propagación Correo electrónico, redes sociales, entre otros. Código de familia C Código de subfamilia C09 Clasificación temática familia

Código malicioso

Descripción

1. El 6 de julio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un nuevo ransomware denominado “Try2Cry”, el cual tiene como objetivo cifrar los archivos de extensión .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xls o .xlsx de la memoria USB o pendrive, utilizando accesos directos de Windows (archivos LNK). Posteriormente, agrega una extensión de tipo “.Try2Cry” a los archivos que ha cifrado por medio de una clave simétrica Rijndael y una clave de cifrado codificada; asimismo, la clave de cifrado se crea calculando un hash SHA512 de la contraseña y utilizando los primeros 32 bits de este hash.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

2. Por otro parte, este ransomware tiene la capacidad de infectar e intentar propagarse a otros posibles dispositivos a través de unidades flash USB. Este busca una unidad extraíble conectada al equipo comprometido y envía una copia de sí mismo llamada Update.exe a la carpeta raíz de cada una de las unidades del USB que encuentre. Una vez hecho, oculta todos esos archivos y los reemplaza con accesos directos de Windows. Cuando el usuario trata de hace clic abrirán el archivo original y también la carga útil del ransomware en segundo plano.

3. Se recomienda:

Ignorar mensajes de desconocidos.

Desinfectar unidades de almacenamiento externas antes de introducirla al CPU.

No instalar softwares desconocidos y sin analizar.

Realizar copias de seguridad periódicas de los datos.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 093

Fecha: 06-07-2020

Página: 8 de 11

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Delincuentes cibernéticos explotan vulnerabilidad crítica en dispositivos BIG-IP

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

Se ha descubierto que los delincuentes cibernéticos están llevando a cabo ataques contra dispositivos vulnerables de red BIG-IP a fin de robar las contraseñas de administrador. El problema de seguridad fue descubierto por el investigador de seguridad de Tecnologías Positivas Mikhail Klyuchnikov en páginas no reveladas del componente TMUI de Big-IP ADC (también conocido como Utilidad de configuración) que afecta a la mayoría de los productos BIG-IP y BIG-IQ compatibles.

Al explotar esta vulnerabilidad, un atacante remoto con acceso a la utilidad de configuración BIG-IP podría, sin autorización, realizar la ejecución remota de código (RCE).

2. Detalles:

Los ataques son dirigidos a BIG-IP, un dispositivo de red multipropósito fabricado por F5 Networks. Estos pueden configurarse para funcionar como sistemas de modelado de tráfico, balanceadores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL. Son utilizados en redes gubernamentales, redes de servicios de internet, centros de datos de computación en la nube y en redes corporativas.

La explotación exitosa de esta vulnerabilidad de severidad crítica registrada como CVE-2020-5902, podría permitir a un atacante remoto tomar el control total sobre los dispositivos vulnerables conectados a Internet. Lo cual implica que es fácil de explotar, automatizar, puede aprovecharse a través de Internet y no requiere de credenciales válidas o habilidades de programación avanzadas. La vulnerabilidad radica en el Traffic Management User Interface (TMUI) del controlador de entrega de aplicaciones.

Ya se ha hecho público diversos exploits de Pruebas de Concepto (PoC), las cuales demuestran lo fácil que es explotar está vulnerabilidad. Uno de los exploits publicado permite acceder a las credenciales almacenadas o ver los archivos de configuración de los dispositivos vulnerables. Asimismo, otro investigador ha creado un repositorio de GitHub que enumera PoC para realizar diversas tareas, como mostrar el archivo / etc / passwd para acceder a las credenciales almacenadas o para ver el archivo de configuración del dispositivo.

3. Servicios afectados:

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM), versión:

15.1.0 y 15.0.0

desde 14.1.0 hasta 14.1.2 desde 13.1.0 hasta 13.1.3

desde 12.1.0 hasta 12.1.5 desde 11.6.1 hasta 11.6.5

4. Recomendaciones:

Aplicar las actualizaciones proporcionadas por F5 de acuerdo con el producto afectado.

No exponer interfaces de administración a redes no confiables como Internet.

Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información

hxxp://securitysummitperu.com/articulos/actualizacion-de-seguridad-en-dispositivos-big-ip/

2. hxxps://www.bleepingcomputer.com/news/security/poc-exploits-released-for-f5-big-ip-vulnerabilities-patch-now/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 093

Fecha: 06-07-2020

Página: 9 de 11

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del malware Mysterybot

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 06 de julio del 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “1000 tips informáticos”, se informa sobre la detección del malware Mysterybot, el cual viene insertado en aplicaciones web para dispositivos Android, que al ejecutarse toma el control total de los dispositivos de la víctima. Además de tener funcionalidades de troyanos bancarios genéricos de Android.

El malware funciona en una nueva técnica de superposición que explota un permiso de servicio conocido como “estado de uso del paquete”, que le permite obtener acceso a otros permisos sin el consentimiento del usuario.

MysteryBot, cifra todos los archivos individualmente en el directorio de almacenamiento externo, incluido cada subdirectorio, después de lo cual se eliminan los archivos originales.

Al completar el proceso de encriptación, los ciberdelincuentes dejan un mensaje a la víctima acusando de haber visto material pornográfico y para recuperar la contraseña y poder descifrar los archivos, se le indica que responda un correo electrónico al actor de la amenaza.

Imagen.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

Archivos analizados:

Nombre: classes.dex Tipo de archivo: Android Tamaño: 500.32 KB (512332 bytes) MD5:

a640ccf16f9a599b30893ec6b5d38f28 SHA-1: 2991134de794e35bf6e85fa7075d0354962aba23 SHA-256: cb9f89f60069e823a29d0b5b16f3211300bac9952d48b1582a77c436828702ad

2. Malware:

Programa malicioso, código maligno o software malintencionado creado con la intención de dañar dispositivos, robar datos y en general causar problemas a cualquier tipo de software o sistema informático.

3. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//www.1000tipsinformaticos.com/2018/06/mysterybot-malware-para-android.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 11 de 11

Índice alfabético

Amenaza avanzada persistente ......................................................................................................................................... 4 Código malicioso ............................................................................................................................................................ 6, 9 Correo electrónico ............................................................................................................................................................. 6 Correo electrónico, redes sociales, entre otros ................................................................................................................ 6 Denegación de servicio DoS .............................................................................................................................................. 5 Disponibilidad del servicio ................................................................................................................................................. 5 exploits .............................................................................................................................................................................. 8 Explotación de vulnerabilidades conocidas ....................................................................................................................... 8 Fraude ................................................................................................................................................................................ 4 hxxp ................................................................................................................................................................................... 8 Intento de intrusión ....................................................................................................................................................... 3, 8 internet .......................................................................................................................................................................... 5, 8 malware ........................................................................................................................................................... 2, 3, 5, 9, 10 Malware ....................................................................................................................................................................... 9, 10 ransomware ............................................................................................................................................................... 2, 6, 7 Ransonware ....................................................................................................................................................................... 6 redes sociales ..................................................................................................................................................................... 1 Redes sociales .................................................................................................................................................................... 4 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 4 software ................................................................................................................................................................... 3, 7, 10 troyanos ............................................................................................................................................................................. 9 USB, disco, red, correo, navegación de internet ........................................................................................................... 8, 9