lima, 6 de junio de 2020 · 2020. 6. 9. · pecert │equipo de respuestas ante incidentes de...

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 6 de junio de 2020

http://www.gob.pe/mailto:[email protected]


www.gob.pe

[email protected]

Contenido Correo electrónico suplanta al Ministerio del Interior de España para descargar Troyano bancario. ......... 3

Vulnerabilidad de seguridad en el producto de MQTT ................................................................................. 4

Malware USBCulrprit dirigido a sistemas con espacios libres ....................................................................... 5

Vulnerabilidades de inyección de comandos en Apache kylin ...................................................................... 6

Robo de la base de datos servicio de hosting de la Darknet ......................................................................... 7

Vulnerabilidades críticas de los enrutadores Cisco ....................................................................................... 8

Fallos críticos en Zoom permiten hackear los dispositivos de los usuarios .................................................. 9

Vulnerabilidad en Docker Desktop para Windows. .....................................................................................10

Aparición del ransomware Cuba o Fidel, .....................................................................................................12

Detección de archivos con malware ............................................................................................................14

Índice alfabético ..........................................................................................................................................16



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 063

Fecha: 06-06-2020

Página: 3 de 16

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Correo electrónico suplanta al Ministerio del Interior de España para descargar Troyano bancario.

Tipo de ataque Troyanos Abreviatura Troyanos

Medios de propagación Red, internet y correo electrónico

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa sobre una campaña de envió de código malicioso a través de correo electrónico que suplanta al Ministerio del Interior de España, en la cual adjuntan un archivo comprimido conteniendo un troyano bancario.

2. Detalles de la alerta:

En el contenido del correo electronico falso, se puede apreciar el uso de logotipos oficiales e incluso el lazo negro por los 10 días de luto declarados por el Gobierno de España, junto a la etiqueta empleada para hacer frente a la covid-19 en sus comunicaciones.

Asimismo, en el mensaje indica que el DNI ha sido bloqueado y que se va a empezar un caso penal en nuestro nombre, indicándonos que hay más información adjunta al mensaje. Sin embargo, lo que encontramos es un enlace de descarga, que nos redirigirá a una web que nada tiene que ver con el Ministerio del Interior puesto que está alojada en el País de Vietnam. Es en esa web donde se nos ofrece la descarga de un archivo comprimido.

Este archivo comprimido descargado contiene en su interior un fichero “.msi”, encargado de ejecutar la primera fase del ataque. El uso de este tipo de ficheros (paquetes de instalación de Windows) se ha vuelto muy común durante los últimos meses, especialmente por los creadores de troyanos bancarios originarios de Brasil.

3. Indicadores de compromisos:

Enlace descarga archivo “uab-ES.msi”

o hxxp://www.cdsonla.edu[dot]vn//thhc/temp/

SHA1:

o 4d9830cfb4ea358a063a475ec18e601e756be77c

Conexiones

o IP 195[.]76[dot]181.177 | 217[.]73[dot]168.33

4. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Evaluar el bloqueo preventivo de los indicadores de compromisos.

Evitar abrir correos electrónicos de dudosa procedencia.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional



www.gob.pe

[email protected]


Fecha: 06-06-2020

Página: 4 de 16

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad de seguridad en el producto de MQTT

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 06 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre una vulnerabilidad de seguridad en el producto de MQTT, el identificador asignado a esta vulnerabilidad es el CVE-2020-13849.

2. MQTT (Message Queuing Telemetry Transport), es un protocolo de mensajería de publicación / suscripción extremadamente liviano y simple. Funciona en la familia de protocolos TCP/IP y está diseñado para dispositivos remotos con bajo rendimiento de hardware y malas condiciones de red. Existe una vulnerabilidad de seguridad en el protocolo MQTT versión 3.1.1 el cual requiere que un servidor establezca un valor de tiempo de espera de 1.5 veces el especificado por el cliente. Un atacante remoto puede aprovechar esta vulnerabilidad para causar denegación de servicio, como se demostró por SlowITe.

3. Recursos afectados:

MQTT versión 3.1.1.

4. Se recomienda:

Actualizar MQTT a la versión 5.0 de la página oficial del proveedor.

Fuentes de información https[://]www.incibe-cert.es/en/early-warning/vulnerabilities/cve-2020-13849



www.gob.pe

[email protected]


Fecha: 06-06-2020

Página: 5 de 16

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Malware USBCulrprit dirigido a sistemas con espacios libres

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet.



Descripción

1. El 06 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre el malware USBCulprit del grupo llamado Cycldesk, publicada recientemente por los investigadores de Kaspersky. Este malware según los expertos está destinado para robar información de redes en espacios de aire.

2. Según los investigadores, este grupo de hackers de Cycldesk APT también conocidos como Goblin Panda, AP 27 y Conimes, en los últimos dos años han estado atacando a los gobiernos del sudeste asiático como Vietnam, Tailandia y Laos, a través de herramientas a fin de robar información.

3. El USBCulprit, es una herramienta recientemente revelada, el cual depende de los medios USB para poder filtrar información de las víctimas. El cual posee tanto movimiento lateral, como capacidad de robo de datos. Asimismo, USBCulprint fue construido para llegar a equipos físicamente aisladas, donde solo se transfiere datos a través de medios extraíbles, como una unidad USB.

4. Según el análisis de los especialistas, esta herramienta una vez instalada escanea varias rutas en el dispositivo infectado, para poder recolectar documentos que tienen ciertas extensiones, para luego ser transferirlos a unidades de USB conectadas en el sistema. Por lo cual los investigadores indican que este grupo de Cycldesk busca llegar a redes con espacios de aire.

5. Asimismo, según el investigador Giampaola Delola de seguridad de Kaspersky, la actividad de este grupo no solo no ha cesado desde el año 2013, sino que está evolucionando al agregar nuevo malware y apuntar a nuevos países.

6. Se recomienda:

Mantener actualizado el sistema operativo.

Mantener actualizado el antivirus.

No descargar aplicaciones de fuentes no confiables.

Descargar aplicaciones de tiendas oficiales.

Fuentes de información https[://]securelist.com/cycldek-bridging-the-air-gap/97157/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 063

Fecha: 06-06-2020

Página: 6 de 16

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades de inyección de comandos en Apache kylin Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC Medios de propagación Red, navegación de internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 06 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio se tuvo conocimiento del informe de los especialistas en seguridad de la información, sobre la vulnerabilidad de inyección de comandos en Apache Kylin (almacén de datos analíticos de código abierto par big data) de la firma Trend Micro que permite el despliegue de escenarios maliciosos, esta información fue publicada el 29 de mayo de 2020 por la web de Noticias de seguridad informática.

2. Esta vulnerabilidad existe debido a un error al procesar las solicitudes de autenticación dentro de la aplicación Apache lo que permite a los hackers remotos evadir el proceso de autenticación en la aplicación afectada.

3. Asimismo, existen APIs relajantes en Kylin, que pueden conectar los comandos del sistema operativo con la cadena

ingresada por el usuario. Debido a que la entrada del usuario no es verificada de forma adecuada, los actores de amenazas podrían ejecutar cualquier comando del sistema sin verificación alguna.

4. Se recomienda:

Instalar las actualizaciones de la página oficial.

Inhabilitar funciones y configuración de ejecuciones de comandos remotos, mencionan los expertos en seguridad de

la información.

Fuentes de información https[://]noticiasseguridad.com/importantes/cve-2020-1956-vulnerabilidad-de-inyeccion-de-comandos-en-apache-kylin/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 06-06-2020

Página: 7 de 16

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Robo de la base de datos servicio de hosting de la Darknet Tipo de ataque Mal uso y abuso de los servicios tecnológicos Abreviatura MALUSOSERVTEC Medios de propagación Red, navegación de internet Código de familia K Código de subfamilia K01 Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 06 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del robo de la base de datos y la información borrada del servicio de hosting gratuito (Daniel’s Hosting) la más grande de la darknet, esta información fue publicada el 01 de junio de 2020 por la web de Información Trecebits.

2. La información filtrada es muy sensible, ya que la dirección de correo se puede utilizar para vincular a sus propietarios con ciertos portales de la darknet, en donde se realizan actos ilegales. En esta información se pueden encontrar 3.671 direcciones de correo electrónico, 7.205 contraseñas y 8.580 datos de acceso para dominios “.onion”.

3. Asimismo, los propietarios de estos sitios web cuyos datos fueron filtrados, movieron sus páginas web a otro servicio de hosting, pero no cambiaron sus contraseñas, los piratas informáticos podrían asaltar las nuevas cuentas utilizando la información filtrada de Daniel’s Hosting.

4. Se recomienda:

Evitar todo tipo de compras en la darknet.

Extremar las medidas de seguridad al navegar por páginas web con extensión “onion”.

Fuentes de información https[://]www.trecebits.com/2020/06/01/se-filtran-miles-de-datos-del-mayor-hosting-de-la-dark-web/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 06-06-2020

Página: 8 de 16

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades críticas de los enrutadores Cisco Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC Medios de propagación Red, navegación de internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 06 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio se tuvo conocimiento del informe de los especialistas de seguridad de aplicaciones Cisco, sobre las vulnerabilidades críticas en el equipo de enrutador incluido en el software IOS XE y en Cisco IOS, esta información fue publicada el 04 de junio de 2020 por la web de Noticias de seguridad informática.

2. Una de las vulnerabilidades está relacionada con los controles de autorización para la infraestructura de hosting de aplicaciones de Cisco IOS XE Software. Esta condición permite a los hackers remotos no autenticados ejecutar comandos de API sin la autenticación requerida.

3. El software de Sistema Operativo iPhone de cisco (IOS) administra de forma errónea las solicitudes de tokens de

autorización, lo que permite a los atacantes de la web explotar la vulnerabilidad empleando una llamada API especialmente diseñada para solicitar el token y ejecutar comandos API IOx en el dispositivo.

4. Se recomienda:

Instalar las actualizaciones y parches de seguridad de la página oficial de Cisco.

Fuentes de información https[://]noticiasseguridad.com/vulnerabilidades/4-vulnerabilidades-criticas-de-los-enrutadores-cisco-ios-permiten-robo-de-datos-aplica-este-parche/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha : 06-06-2020

Página: 9 de 16

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Fallos críticos en Zoom permiten hackear los dispositivos de los usuarios


Medios de propagación Red, internet



Descripción

1. El 06 de junio de 2020, se tomó conocimiento que las vulnerabilidades de Zoom vuelven a hacerse eco en las noticias al descubrirse que dos fallos críticos en la aplicación que han permitido a usuarios malintencionados vulnerar los sistemas de los usuarios de Zoom a través de su funcionalidad de chats.

Ambas vulnerabilidades son del tipo path traversal, que son explotadas para escribir o crear archivos en los sistemas que tengan instalada la versión vulnerable de la aplicación, para así ejecutar código malicioso.

2. Según los investigadores, ambas vulnerabilidades pueden ser explotadas con poca o ninguna interacción por parte de los usuarios que se convirtiesen en víctimas del ataque, y se pueden ejecutar enviando mensajes personalizados a través del chat de la aplicación a un usuario particular o a todo un grupo.

La primera vulnerabilidad se ha identificado con el código CVE-2020-6109 y se encontraba en el servicio GIPHY de Zoom, recientemente adquirido por Facebook, para permitir a los usuarios buscar e intercambiar GIFs animados durante una conversación. La versión vulnerable de Zoom no comprueba si el GIF compartido se está cargando desde el servicio de GIPHY o no, permitiendo así incluir GIFs de servicios de terceros que se encuentran en servidores controlados por los atacantes. El GIF en cuestión es almacenado por defecto en el sistema de la víctima en una carpeta específica vinculada a la aplicación. Además de esto, debido a que Zoom no sanea correctamente los nombres de los archivos, también podría haber permitido a los atacantes llevar a cabo el mencionado ataque path traversal, haciendo que la aplicación almacene archivos maliciosos con formato de GIF en cualquier ubicación del sistema de la víctima, como, por ejemplo, en la carpeta de inicio.

3. A la segunda vulnerabilidad de ejecución de código remoto se le ha dado el identificador CVE-2020-6110, y se basa en la manera en que la versión vulnerable de Zoom procesa ciertas partes de código en el chat. Según los investigadores, esta funcionalidad está hecha de manera que el usuario tenga la mejor experiencia posible, y una de las extensiones implementadas para lograr este objetivo permite incluir partes del código fuente, lo cual requiere la instalación de un plugin adicional; sin embargo, para recibir dichos fragmentos de código este plugin no es necesario. La funcionalidad de la que hablamos crea un archivo ZIP del fragmento de código compartido antes de enviarlo y luego, de manera automática, lo extrae en el sistema que lo recibe; el proceso de extracción y los contenidos que de ahí se obtienen no son verificados por Zoom, permitiendo así a un atacante enviar binarios a los dispositivos.

4. «De manera adicional, la vulnerabilidad path traversal permite que el archivo ZIP personalizado por el atacante escribir en archivos que se encuentran fuera del directorio generado aleatoriamente». Investigadores de Cisco Talos, Ambas vulnerabilidades han sido comprobadas en la versión 4.6.10 de Zoom y ya han sido solventadas con el lanzamiento de la versión 4.6.12 de la aplicación.

5. Los usuarios deben mantener el equipo y sus aplicaciones actualizados a la última versión y, en lo posible, evitar utilizar aplicaciones inseguras. Además de Zoom existe una gran oferta de aplicaciones de videoconferencia que podrían ser una buena alternativa para aumentar la seguridad de nuestros datos, aunque siempre se ha de tener en cuenta que ningún software es perfecto ni está exento de la posibilidad de ser vulnerado por usuarios maliciosos con los conocimientos necesarios.

6. Se recomienda:

Los usuarios que tengan a disposición el uso de zoom, deberán solicitar al encargado del Departamento de Informática, que instalen la versión 4.6.12 del programa.

Fuentes de información https[://]unaaldia.hispasec.com/2020/06/dos-nuevos-fallos-criticos-en-zoom-permiten-hackear-los-dispositivos-de-los-usuarios.html

http://www.gob.pe/mailto:[email protected]://owasp.org/www-community/attacks/Path_Traversal


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 06-06-2020

Página: 10 de 16

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Vulnerabilidad en Docker Desktop para Windows.


Medios de propagación Redes, internet



Descripción

1. El 05 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Cybersecurity-help” (ayuda de seguridad cibernética), se informa sobre una vulnerabilidad existente en “Docker (programa de código abierto que automatiza el despliegue de aplicaciones dentro de contenedores de software) Desktop (escritorio) para Windows” (sistema operativo o conjunto de programas que posibilita la administración de los recursos de una computadora).

2. La vulnerabilidad detectada ha sido registrada con el código: CVE-2020-11492.

Detalles de la Vulnerabilidad:

o La vulnerabilidad existe en Docker Desktop para Windows, debido que el servicio de escritorio Docker y el servicio principal de Windows para Docker, se comunica como cliente a los procesos secundarios utilizando canalizaciones con nombre, el cual un ciberdelincuente puede configurarlo mediante un proceso malicioso de privilegios inferiores, a fin de suplantar la cuenta del Servicio de escritorio Docker (SYSTEM), lo que permite a los ciberdelincuente realizar las siguientes acciones:

Ejecutar comandos arbitrarios en el sistema. obtener escala privilegios en el sistema. Suplantar los privilegios del sistema afectado.

o Software afectado:

Docker Desktop para Windows.

o Versiones de software Vulnerables:

Versión: 1.12.0, 1.12.1, 1.12.3, 1.12.5, 1.13.0, 1.13.1, 2.0.0.0-win78, 2.0.0.0-win81, 2.0.0.2, 2.0.0.3, 2.1 .0.0,

2.1.0.1, 2.1.0.2, 2.1.0.3, 2.1.0.4, 2.1.0.5, 2.2.0.0, 2.2.0.3, 2.2.0.4, 2.2.0.5, 17.03.0, 17.03.1-ce-win12, 17.06.0-ce-win18, 17.06.1-ce-rc1-win24, 17.06.2-ce-win27, 17.09.0-ce-win32, 17.09.0-ce-win33, 17.09.1-ce-win42, 17.12.0-ce-win46, 17.12.0-ce-win47, 18.03.0-ce-win59, 18.03.1-ce-win64, 18.03.1-ce-win65,18.06.0-ce-win70, 18.06.0-ce-win72, 18.06.1-ce-win73.

o Vectores: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C

o Gravedad: Medio

o Nivel de Riesgo: 6.7



www.gob.pe

[email protected]

Grafico 1: Detalles de los Vectores

Vector de Ataque Local

Complejidad del Ataque Bajo

Privilegios Requerido Alto

Interacción de usuario Ninguno

Alcance Sin alterar

Confidencialidad alto

Integridad Alto

Disponibilidad Alto

Grafico 3: Nivel Medio

Riesgo

3. Referencia:

Vulnerabilidad. - Es la debilidad presente en un sistema informático el cual afecta y/o compromete la Seguridad de este componente, lo que le permitiría a un atacante explotar y violar la confidencialidad, integridad, disponibilidad y el control de acceso, así como la consistencia del sistema y de la información contenida y resguardada en el mismo.

4. Algunas Recomendaciones

Mantener el sistema operativo actualizado.

Evitar la ejecución de archivos sospechosos.

Utilizar tecnologías de seguridad.

Fuentes de información https[://]www.cybersecurity-help.cz/vdb/SB2020052719

6.7



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 06-06-2020

Página: 12 de 16


Nombre de la alerta Aparición del ransomware Cuba o Fidel,

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros



Descripción

1. El 05 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web Segu-Info, se informa sobre la aparición del Ransomware Cuba o Fidel, el cual ha estado cifrando archivos en varias empresas de Latinoamérica y se propaga por archivos con macros adjuntos de correo electrónico, escritorios remotos, sitios web de torrents y anuncios maliciosos.

Previo al cifrado de sus datos, los ciberdelincuentes exfiltran todos sus archivos hacia servidores de almacenamiento, a fin de tener un medio de extorsión; comprometiendo así la confidencialidad de sus activos.

2. CUBA cifra todo tipo de documentos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, fotos, música, videos, archivos de imágenes, archivos, etc. Además, cambia los nombres de los archivos agregando la extensión ".cuba" y crea el archivo de texto "!!FAQ for Decryption!!.txt", que es la "nota de rescate.

Cuba borra todas las instantáneas de volumen del sistema operativo Windows con la ayuda del siguiente comando:

Detalles:



www.gob.pe

[email protected]

3. Los correos electrónicos de contacto con los creadores del malware son:

iracomp2@protonmail[.]ch,

iracomp4@protonmail[.]ch y

happy_sysadmin@protonmail[.]ch. Después del contacto inicial, supuestamente se recibe información sobre una herramienta de descifrado y cómo pagarla.

4. Registros creados por. Cuba virus (Fidel), en la computadora.

o HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

o HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

o HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

o HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

Puede acceder a ellos abriendo el editor de registro de Windows y eliminando cualquier valor creado por Cuba Virus (Fidel) allí.

5. Análisis:

Archivo Analizado:

o Nombre: listdrop.exe

o Tipo de Archivo: Win32 EXE

o Tamaño de Archivo: 625.00 KB (640000 bytes)

o MD5: f9239348c88b2593814541d33c2df11d

o SHA-1: 0763e80f967822c263d85525d29cb535004e3156

o SHA-256: b952e63fe46b25ee4ecb725373bddd1b1776fbc4ba73aee7b7b384a3b0f7f71e

Hash: b952e63fe46b25ee4ecb725373bddd1b1776fbc4ba73aee7b7b384a3b0f7f71e


No aceptes correos electrónicos de remitentes que no conoces.

Verifica los remitentes usando google.

No abras archivos sospechosos.

No ejecutes ningún programa sino conoces su contenido.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información https[://]blog.segu-info.com.ar/2020/06/ransomware-cuba-propagado-en-america.html



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 06-06-2020

Página: 14 de 16


Nombre de la alerta Detección de archivos con malware

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet



Descripción

1. El 06 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes, vienen distribuyendo Malware a través de correo electrónicos, adjuntando archivos ejecutables infectados, los cuales han sido creados recientemente, aprovechando la inmovilización social y el uso masivo del internet por parte de la población, a consecuencia de la pandemia COVID-19.

2. La finalidad de la propagación de los Malware, es encriptar los archivos de las víctimas para solicitar un rescate, robar información confidencial o utilizar como botnet la maquina infectada.

3. Dentro la detección de los Archivos Adjuntos tenemos:

Archivo Detectado:

o Nombre de Archivo: Otuwen64.exe

o Clasificación: Malware Trojan. Dridex

o Tipo de Archivo: PE32 ejecutable (consola) Intel 80386, para MS Windows

o Tamaño de Archivo: 223232 (Bytes)

o MD5: 2e6342c961b4bb19b3d7c3434515a331

o SHA1: 5825e5879481b7cac0696c2c33c782a7b907b789

o SHA256: fab8c2c93b9c79d275d371c941311afb4bbb7514ecec11e6e948878e929bff69

o Creado: 05JUN20

o Virustotal:

Archivo Detectado:

o Nombre de Archivo: DWRCS.EXE

o Clasificación: Malware HEUR: RemoteAdmin.DameWare

o Tipo de Archivo: PE32 + ejecutable (GUI) x86-64, para MS Windows

o Tamaño de Archivo: 687992 (Bytes)

o MD5: de0e653465765d2b631d687c640e337d

o SHA1: b53fcf7b63bdb7679721e5ec9cb762e0cb6d2099

o SHA256: 550da479d4486be982abcf661912e07619024a4b2fd9265e89d364baeb363a9a

o Creado: 05JUN20



www.gob.pe

[email protected]

o Virustotal:

Archivo Detectado: o Nombre de Archivo: svchost.exe o Clasificación: Virus, Viruta o Tipo de Archivo: PE32 ejecutable (GUI) Intel 80386, para MS Windows o Tamaño de Archivo: 139264 (Bytes) o MD5: 8cfa63f3f1dea0a01d7b1665dfd8fa8c o SHA1: c5a3e674fabc77e509c04f8f7de47eae2c66a00a o SHA256: f61230755e835465dc784a6c61982bee7b3c661001343a50eb8e6ed8cdd6692c o Creado: 05JUN20 o Virustotal:

Archivo Detectado: o Nombre de Archivo: Setup.exe o Clasificación: W32.AIDetectVM o Tipo de Archivo: PE32 ejecutable (GUI) Intel 80386, para MS Windows o Tamaño de Archivo: 22319848 (Bytes) o MD5: f39af9d4b139e5148a61df4818a33e10 o SHA1: 45e3894252955116cb65c82fe4e554231f2be27b o SHA256: 4c4bb3bc9833e6072c9d183ed41b57d4c6194837e8c7c60118490fb3dbe1ac0e o Creado: 05JUN20 o Virustotal:


No aceptes correos electrónicos de remitentes que no conoces.

Verifica los remitentes usando google.

No abras archivos sospechosos.

No ejecutes ningún programa sino conoces su contenido.

Siempre ten presente que los ciberdelincuentes, quieren obtener siempre tus datos personales.

Fuentes de información Análisis propio de redes sociales y fuente abierta



www.gob.pe

[email protected]

Página: 16 de 16

Índice alfabético

botnet .............................................................................................................................................................................. 14 Código malicioso ................................................................................................................................................ 3, 5, 12, 14 Correo electrónico ................................................................................................................................................... 2, 3, 12 Correo electrónico, redes sociales, entre otros .............................................................................................................. 12 Explotación de vulnerabilidades conocidas ............................................................................................................. 4, 9, 10 hxxp ................................................................................................................................................................................... 3 Intento de intrusión ......................................................................................................................................... 4, 6, 8, 9, 10 internet .......................................................................................................................................................... 6, 7, 8, 10, 14 Mal uso y abuso de los servicios tecnológicos .................................................................................................................. 7 malware ............................................................................................................................................................. 2, 5, 13, 14 Malware ................................................................................................................................................................... 2, 5, 14 ransomware ........................................................................................................................................................... 2, 12, 13 Ransomware .................................................................................................................................................................... 12 Red, internet .............................................................................................................................................................. 3, 4, 9 redes sociales ............................................................................................................................................................... 1, 15 servidor .............................................................................................................................................................................. 4 servidores .................................................................................................................................................................... 9, 12 software ................................................................................................................................................................... 8, 9, 10 troyanos ............................................................................................................................................................................. 3 Troyanos ............................................................................................................................................................................ 3 USB, disco, red, correo, navegación de internet ......................................................................................................... 5, 14 Uso inapropiado de recursos ............................................................................................................................................. 7 Vulnerabilidad.................................................................................................................................................... 2, 4, 10, 11 Vulnerabilidades ........................................................................................................................................................ 2, 6, 8

lima, 6 de junio de 2020 · 2020. 6. 9. · pecert │equipo de respuestas ante incidentes de...

Documents