Lima, 20 de julio de 2020...Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C01 Clasificación temática familia

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 20 de julio de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Nuevas campañas de sextorsión a través de correos electrónicos ............................................................... 3

Troyano Mekotio ........................................................................................................................................... 4

Los fallos críticos de seguridad de Cisco permiten la adquisición completa del firewall del enrutador. ..... 5

Malware dirigido a Any Run, servicio de Sandbox ........................................................................................ 6

Los estafadores piratearon Twitter y varias cuentas fueron secuestradas ................................................... 7

Abreviatura .................................................................................................................................................... 7

Cajeros automáticos DIEBOLD hackeados con software ............................................................................... 8

Piratas informáticos rusos se dirigen a investigación de vacuna COVID-19 con malware personalizado .... 9

Malware “joker” ataca nuevamente al sistema de Android .......................................................................10

Ataque tipo phishing suplantando la identidad de disney ..........................................................................11

Malware suplanta a la aplicación facebook. ...............................................................................................13

Malware blackrock para android, afecta a cientos de APPS. ......................................................................14

Apple lanza actualizaciones de seguridad ...................................................................................................15

El ransomware avaddon sigue utilizando las macros de excel 4.0 ..............................................................17

Ataque badpower corrompe los cargadores rápidos. .................................................................................18

Empresa de telecomunicaciones “Telecom” de Argentina sufre ataque por ransomware ........................19

Falla en dispositivos IOT con Bluetooth podría conducir a ataques de suplantación de identidad............20

Detección del Troyano Emotet, ...................................................................................................................21

Índice alfabético ..........................................................................................................................................23

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 107

Fecha: 20-07-2020

Página: 3 de 23

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Nuevas campañas de sextorsión a través de correos electrónicos

Tipo de ataque Email Extortion Abreviatura Email Extortion

Medios de propagación Correo electrónico

Código de familia N Código de subfamilia N01

Clasificación temática familia Criptomonedas

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte de nuevas campañas de sextorsión que están siendo dirigidas a varios Países de habla hispana, el envío del contenido es a través de correos electrónicos supuestamente con imágenes y videos que comprometen a la posible víctima. Los ciberdelincuentes exigen una cantidad de dinero en dólares para ser transferida a una cuenta de la criptomoneda Bitcoin.

2. Detalles de la alerta:

Se vienen reportando incidentes relacionados a sextorsión mediante el envío de correos electrónicos amenazantes, dentro de su contenido aseguran tener evidencia como fotos y videos que comprometen a la posible víctima. Para no difundir exigen dinero.

Asimismo, dependiendo de la campaña, los ciberdelincuentes intentan infundir más miedo a sus posibles víctimas asegurando que han conseguido hackear su cuenta de correo electrónico y por eso ven que el email se envía desde esa dirección. La realidad, no obstante, es que la cuenta de correo no ha sido comprometida y la suplantación se realiza mediante una técnica conocida como spoofing, que hace creer al receptor del mensaje que este ha sido enviado desde una determinada dirección cuando en realidad el emisor es otro totalmente distinto.

También, se ha observado que los ciberdelincuentes se aprovechaban de contraseñas filtradas desde hace años para introducirlas en el asunto del mensaje y así dar más credibilidad al supuesto hackeo de la cuenta de correo. Además, se ha observado como suplantaban la identidad de las fuerzas policiales, descargaban malware o incluso, más recientemente, amenazaban con infectar a miembros de nuestra familia con el Coronavirus.

La finalidad de los ciberdelincuentes es generar miedo entre los receptores de este tipo de mensajes y que estos no paren de pensar si realmente ha sido vulnerado su privacidad tal como describen en el email.

Una característica común en este tipo de extorsión, es que nunca se adjunta ninguna imagen, video u otro tipo de información de prueba del supuesto hackeo de nuestro dispositivo.

3. Recomendaciones:

Eliminar correos electrónicos con contenido sospechoso.

Cambiar periódicamente las contraseñas de su cuenta email.

Utilizar contraseñas seguras.

Añadir capas de seguridad adicionales como el doble factor de autenticación a los servicios online que se utilice.

Actualizar los parches de seguridad del sistema operativo.

Contar con un antivirus y estar actualizado.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 20-07-2020

Página: 4 de 23

Componente que Reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS

ARMADAS

Nombre de la alerta Troyano Mekotio

Tipo de ataque Troyanos Abreviatura Troyanos

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. El 20 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de un troyano llamado Mekotio, una familia de troyanos bancarios que apunta a sistemas Windows presente en Latinoamérica y distribuida a través de campañas maliciosas dirigidas a países específicos, como Chile o España, entre otros. Sin embargo, en esta ocasión analizamos con mayor profundidad sus características, las etapas de sus infecciones y sus capacidades maliciosas, entre las que se destaca el robo de criptomonedas y credenciales bancarias.

2. Durante la mayor parte de su existencia esta amenaza tuvo como único objetivo a usuarios de países Latinoamericanos, comenzando con un fuerte foco en Brasil y luego centrándose mayoritariamente en Chile. Sin embargo, en el transcurso de los últimos meses se han registrado variantes de Mekotio dirigidas especialmente a usuarios de España, con lo cual puede concluirse que los cibercriminales están expandiendo sus operaciones constantemente

3. Es importante destacar que un bajo número de detecciones no implica que la amenaza no esté presente en otros países de Latinoamérica. A su vez, debe considerarse que, si los atacantes lo consideraran rentable, podría haber nuevas campañas dirigidas específicamente a países que actualmente no presentan detecciones, como es el caso de España.

4. El proceso de infección comienza con una campaña de spam. Generalmente, los correos enviados hacen uso de la ingeniería social para simular ser correos legítimos y suplantar la identidad de empresas u organismos gubernamentales con el objetivo de engañar al usuario y lograr que haga clic sobre el enlace malicioso incluido en el cuerpo del mensaje.

5. Se recomienda:

Aplicar buenas prácticas y criterios de seguridad para evitar ser víctimas de Mekotio.

No abrir enlaces contenidos en correos no deseados.

Evitar la descargar archivos adjuntos en correos no deseados, en caso de que un archivo comience a descargarse automáticamente, no abrirlo.

Ser especialmente prudentes a la hora de descargar/ejecutar instaladores .msi o ejecutables .exe, verificando su legitimidad y sometiéndolos al análisis de un producto de seguridad.

Fuentes de información https[:]//www.welivesecurity.com/la-es/2020/07/14/mekotio-troyano-bancario-dirigido-

principalmente-chile-tambien-busca-criptomonedas/

http://www.gob.pe/


https://www.welivesecurity.com/la-es/2020/07/14/mekotio-troyano-bancario-dirigido-principalmente-chile-tambien-busca-criptomonedas/

https://www.welivesecurity.com/la-es/2020/07/14/mekotio-troyano-bancario-dirigido-principalmente-chile-tambien-busca-criptomonedas/


www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 107

Fecha: 20-07-2020

Página: 5 de 23

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Los fallos críticos de seguridad de Cisco permiten la adquisición completa del firewall del enrutador.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 19 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 16 de julio de 2020 por GBHackers, sobre vulnerabilidades críticas con Cisco Small Business que permite a un atacante remoto tomar el control total de la cuenta con privilegios elevados.

2. CVE-2020-3330: La vulnerabilidad se encuentra en los enrutadores de firewall VPN Wireless-N RV110W de Cisco Small Business, existe debido a una cuenta de sistema predeterminada con una contraseña estática. Al explotar el dispositivo, el atacante puede tomar el control completo sobre el sistema afectado.

3. CVE-2020-3323: La vulnerabilidad reside en la interfaz de administración basada en web de los enrutadores Cisco Small Business RV110W, RV130, RV130W y RV215W. La vulnerabilidad se debe a la validación incorrecta de la entrada proporcionada por el usuario en la interfaz de administración basada en la web

4. CVE-2020-3144: Una vulnerabilidad en la interfaz de administración basada en la web de Cisco RV110W Wireless-N VPN Firewall, RV130 VPN Router, RV130W Wireless-N Multifunction VPN Router y RV215W Wireless-N VPN Router.

5. La vulnerabilidad se debe a una gestión de sesión inadecuada, la explotación exitosa permite a un atacante ejecutar código arbitrario como usuario raíz de la vulnerabilidad

6. CVE-2020-3331: La interfaz de administración basada en la web de Cisco RV110W Wireless-N VPN Firewall y Cisco RV215W Wireless-N VPN Router podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un dispositivo afectado.

7. La vulnerabilidad se debe a la validación incorrecta de la entrada proporcionada por el usuario en la interfaz de administración basada en la web.

8. CVE-2020-3140: La vulnerabilidad reside en la interfaz de administración web del software Cisco Prime License Manager (PLM) que podría permitir que un atacante remoto no autenticado obtenga acceso no autorizado a un dispositivo afectado.

9. La vulnerabilidad se debe a la validación incorrecta de la entrada proporcionada por el usuario en la interfaz de administración basada en la web.

10. Se recomienda:

Utilizar los parches que ofrece Cisco para cubrir dichas vulnerabilidades.

Fuentes de información https[:]//gbhackers.com/critical-cisco-security-flaws-allow-complete-router-firewall-takeover/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-07-2020

Página: 6 de 23


Nombre de la alerta Malware dirigido a Any Run, servicio de Sandbox

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, Red, correo, navegación de internet.



Descripción

1. El 19 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó vulnerabilidades en servicio Sanbox, según especialistas de seguridad de informática, que han alertado a los desarrolladores de malware ahora comprueban si su malware se está ejecutando en el servicio de análisis de malware Any.Run para evitar que los investigadores analicen fácilmente su malware.

2. Any.Run es un servicio de sandbox de análisis de malware que permite a los investigadores y usuarios analizar malware de manera segura sin riesgo para sus computadoras.

3. Cuando se envía un ejecutable a Any.Run, el servicio de espacio aislado creará una máquina virtual de Windows con un escritorio remoto interactivo y ejecutará el archivo enviado dentro de él.

4. Si detecta que el programa se está ejecutando en Any.Run, ¡mostrará el mensaje ‘Any.run Deteceted!' y salir Esto hará que el malware no se ejecute, por lo que el entorno limitado no puede analizarlo.

5. Con las plataformas de sandbox de análisis de malware en línea cada vez más utilizadas por los investigadores de seguridad, podemos esperar ver que más malware continúe dirigiéndose a ellos.

6. Se recomienda:

Ingresar a la plataforma oficial de Sandbox y ver las actualizaciones de sus servicios como Any Run.

Mantener actualizado el antivirus.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/malware-adds-online-sandbox-detection-to-evade-analysis/

http://www.gob.pe/


https://www.bleepingcomputer.com/news/security/malware-adds-online-sandbox-detection-to-evade-analysis/

https://www.bleepingcomputer.com/news/security/malware-adds-online-sandbox-detection-to-evade-analysis/


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-07-2020

Página: 7 de 23


Nombre de la alerta Los estafadores piratearon Twitter y varias cuentas fueron secuestradas

Tipo de ataque Mal uso y abuso de los servicios tecnológicos Abreviatura MalUsoServTec

Medios de propagación Red, internet.

Código de familia K Código de subfamilia K01

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 20 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó robo de información según especialistas de seguridad informática, debido a esto los piratas informáticos pudieron secuestrar decenas de cuentas de Twitter de alto perfil el miércoles después de obtener acceso a las herramientas y sistemas internos de administración de usuarios.

2. Las cuentas secuestradas se usaron más tarde para promover una estafa de criptomonedas que permitió a los atacantes recaudar más de $ 100,000 de víctimas crédulos a quienes se les prometió recibir bitcoins gratis a cambio de una transferencia de prueba o duplicar sus bitcoins.

3. Las compañías y ejecutivos de tecnología, las celebridades y los intercambios de criptomonedas se encontraban entre las cuentas de Twitter que los piratas informáticos lograron asumir en rápida sucesión para promover su estafa.

4. Las cuentas de Twitter de @Apple, @Bitcoin, @BarackObama, @JeffBezos, @JoeBiden, @elon_musk, @BillGates, @WarrenBuffett, @Uber, @kanyewest, @wizkhalifa, @coinbase, @Ripple, @Gemini, @binance, @ justinsuntron, @Tronfoundation y @SatoshiLite son solo algunos de los secuestrados en el ataque.

5. Inmediatamente después de que se notó el incidente, Twitter bloqueó las cuentas verificadas (en las que los estafadores enfocaron sus ataques) de tuitear y restablecer sus contraseñas.

6. Tres horas más tarde, Twitter dijo que la funcionalidad de tuitear se restableció en las cuentas afectadas, pero que podría inadvertirse durante la investigación en curso.

7. Las cuentas de Twitter secuestradas se bloquearon de inmediato y el equipo de Twitter eliminó los tweets de estafa criptográfica y, como se anunció justo después de que se detectó el ataque, la funcionalidad se limitó a las cuentas de alto perfil (incluidos los perfiles verificados) para limitar el impacto en la plataforma.

8. Se recomienda:

Estar pendiente de la nueva actualización de Twitter cuando lo anuncien en su página oficial.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/scammers-hacked-twitter-and-hijacked-accounts-using-admin-tool/

http://www.gob.pe/


https://www.bleepingcomputer.com/news/security/scammers-hacked-twitter-and-hijacked-accounts-using-admin-tool/

https://www.bleepingcomputer.com/news/security/scammers-hacked-twitter-and-hijacked-accounts-using-admin-tool/


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-07-2020

Página: 8 de 23


Nombre de la alerta Cajeros automáticos DIEBOLD hackeados con software

Tipo de ataque Ataque de fuerza Bruta Abreviatura AtaqFueBru

Medios de propagación Red, correo, navegación de internet

Código de familia A Código de subfamilia A01

Clasificación temática familia Acceso no autorizado

Descripción

1. El 20 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información que se detalla a continuacion: La seguridad en los cajeros automáticos sigue siendo un problema que afecta a instituciones bancarias de todo el mundo. Recientemente, la compañía fabricante de cajeros Diebold Nixdorf reconoció un incremento en los ataques de jackpotting contra sus cajeros modelo ProCash en algunos países de Europa.

2. Los actores de amenazas siguen dependiendo del uso de un dispositivo externo, aunque este nuevo método también parece involucrar partes de la pila del software de los cajeros comprometidos. El análisis sigue en proceso, por lo que más información podría surgir eventualmente. El jackpotting se refiere a una variante de ataque que consiste en extraer todo el dinero en efectivo de un cajero automático de forma ilegítima. La nueva variante de ataque, conocida como “black box”, los atacantes conectan sus propios dispositivos a la máquina, comprometiendo el sistema por completo.

3. En los incidentes recientes, los atacantes se centran en los sistemas exteriores y están destruyen partes de la fascia para obtener acceso físico a los compartimientos interiores. A continuación, los hackers desconectan el cable USB entre el dispensador CMD-V4 y el dispositivo electrónico, o un cable especial. Este cable está conectado a la caja negra (black box) del atacante para enviar comandos ilegítimos.

4. La investigación sugiere que los estafadores emplean un disco duro sin cifrar con un ataque fuera de línea. Hace apenas unos días, una institución bancaria en Europa tuvo que clausurar más de 140 cajeros automáticos después de sufrir dos ataques consecutivos vía jackpotting, aunque se ignora el alcance de las pérdidas totales, según informa Instituto Internacional de Seguridad Cibernética (IICS).

5. Se recomienda:

Implementar mecanismos de protección para los módulos que almacenan el efectivo

Usar la pila de software con la más reciente funcionalidad de seguridad

Utilizar la configuración más segura de comunicaciones cifradas, incluyendo autenticación física

Limitar el acceso físico al cajero automático

Controlar el acceso a las áreas utilizadas por el personal para dar servicio al cajero automático.

Fuentes de información https[:]//noticiasseguridad.com/hacking-incidentes/cajeros-automaticos-diebold-hackeados-

con-laptop-y-software-hackeado-de-otros-cajeros/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-07-2020

Página: 9 de 23


Nombre de la alerta Piratas informáticos rusos se dirigen a investigación de vacuna COVID-19 con malware personalizado




Clasificación temática familia Código Malicioso

Descripción

1. El 20 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información

que se detalla a continuacion: hackers que probablemente trabajan para los servicios de inteligencia rusos han estado

atacando a organizaciones involucradas en la investigación y el desarrollo de una vacuna contra el nuevo coronavirus.

La actividad está en curso, atribuida al grupo de amenazas APT29, también rastreado como Cozy Bear, The Dukes e

Yttrium. Los objetivos están en los sectores de gobierno, salud, diplomático, think-tank y energía.

2. Un aviso de seguridad cibernética publicado por el Centro Nacional de Seguridad Cibernética (NCSC) en el Reino Unido, detalla que el adversario ha estado ejecutando estos ataques durante 2020 contra entidades en Canadá, Reino Unido y los Estados Unidos. El informe comprende información de múltiples fuentes, siendo un esfuerzo conjunto de NCSC, el Establecimiento de Seguridad de Comunicaciones de Canadá (CSE), la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y CISA (Agencia de Seguridad de Infraestructura y Seguridad Cibernética).

3. El aviso revela que Cozy Bear comienza sus ataques con spear phishing pero también explota vulnerabilidades graves conocidas en los productos Citrix ( CVE-2019-19781 ), Pulse Secure ( CVE-2019-11510 ) y Fortigate ( CVE-2019-13379) y El software Zimbra's Collaboration Suite ( CVE-2019-9670 ). Existen parches para todos estos defectos.

4. Después de obtener acceso a la red, Cozy Bear utiliza un descargador de primera etapa conocido como SoreFang y el malware personalizado "WellMess" y "WellMail". WellMess está escrito en Golang para ejecutar comandos de shell arbitrarios en Windows y Linux. Fue reportado públicamente por primera vez por el CERT de Japón a principios de julio de 2018 y cinco meses después por la compañía japonesa de seguridad cibernética LAC. WellMail obtuvo su nombre del NCSC y también está escrito en Golang. Su propósito es ejecutar comandos o scripts y los resultados se entregan a un servidor de control y comando codificado.

5. Se recomienda:

Evitar descargar e instalar programas desconocidos, no siga enlaces provenientes de correos y mensajes para acceder a servicios bancarios, dude de cualquier email sospechoso.

Mantener protegido el sistema con soluciones de seguridad como: cortafuegos, filtros antispam, etc.

En caso de ser actacados se debera realizar un análisis completo del equipo con el fin de eliminar códigos maliciosos que pudieran ser encontrados.

Posteriormente, cambie todas sus contraseñas de servicios como bancos, correo electrónico, redes sociales, etc.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/russian-hackers-target-covid-19-

vaccine-research-with-custom-malware/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-07-2020

Página: 10 de 23

Componente que Reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Malware “joker” ataca nuevamente al sistema de Android


Medios de propagación Red, navegación de internet.



Descripción

1. El 16 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó nuevamente el malware “JOKER” dirigido al sistema Android, este aprovecha la vulnerabilidad en mensajes de texto (SMS) para provocar suscripciones automáticas en servicios premium, robar las credenciales del usuario y venderlas en el mercado negro. Las aplicaciones en donde se ha detectado “Joker” fueron: Advocate Wallpaper, Age Face, Altar Message, Antivirus Security - Security Scan, Beach Camera, Board picture editing, Certain Wallpaper, Climate SMS, Collate Face Scanner, Cute Camera, Dazzle Wallpaper, Declare Message, Display Camera, Great VPN, Humour Camera, Ignite Clean, Leaf Face Scanner, Mini Camera, Print Plant scan, Rapid Face Scanner, Reward Clean, Ruddy SMS, Soby Camera, y Spark Wallpaper.

2. Por otro lado, se identificó que dicho malware actúa también en aplicaciones legítimas, permitiendo que pueda acceder a permisos del sistema para realizar descarga de archivos en el teléfono o la Tablet; asimismo, añade un software adicional para el robo de las credenciales del usuario.

3. Cabe resaltar, que anteriormente este malware ha traspasado las medidas de seguridad de Google Play Protect y ha adquirido nuevas funciones, entre ellas destaca el descargado de archivos en el equipo telefónico.

4. Se recomienda:

Desinstalar la aplicación infectada del dispositivo.

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Instalar una solución de seguridad para prevenir futuras infecciones.

Fuentes de información Comandancia de Ciberdefensa de la Marina.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-07-2020

Página: 11 de 23


Nombre de la alerta Ataque tipo phishing suplantando la identidad de disney

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico.

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 17 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que ciberdelincuentes suplantan la identidad de Disney Plus mediante un anuncio fraudulento publicado en la red social Facebook dirigida a usuarios de Argentina, donde anuncian la supuesta llegada de Disney Plus al país.

2. Al ingresar al anuncio, este redirige al usuario a una página fraudulenta, donde solicita que ingrese sus datos personales e información bancaria para completar el registro.

http://www.gob.pe/



www.gob.pe

[email protected]

3. Por otro lado, se obtuvo el dominio el cual se encuentra alojado la página fraudulenta.

4. Se recomienda:





http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-07-2020

Página: 13 de 23


Nombre de la alerta Malware suplanta a la aplicación facebook.




Clasificación temática familia Código malicioso.

Descripción

1. El 17 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó de un aplicativo fraudulento de redes sociales de nombre “facebookbackup.apk”, circula principalmente por redes sociales, invitando a los usuarios a descargar e instalarlo desde una tienda de aplicaciones digitales, que en su lugar sería una aplicación maliciosa.

2. Por otro lado, se analizó el citado enlace en la página web “Virus Total” donde es catalogado como Malicioso.

3. Se recomienda:




Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 20-07-2020

Página: 14 de 23


Nombre de la alerta Malware blackrock para android, afecta a cientos de APPS.




Clasificación temática familia Código malicioso.

Descripción

1. El 17 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un malware de nombre “BlackRock” que infecta dispositivos Android y es capaz de afectar a 337 aplicaciones de comunicaciones, redes sociales y financieras de phishing, robando las claves de inicio de sesión de las apps que estamos usando, recolectando nuestro nombre de usuario y contraseñas.

2. La recopilación de datos se realiza mediante el uso de una técnica llamada «superposiciones». De este modo, cuando detecta que un usuario quiere utilizar una app legítima, abre una ventana falsa en la parte superior. Allí, gracias a los datos que la víctima le facilita sin ser consciente del engaño, el malware BlackRock recopila los datos de inicio de sesión y los datos de la tarjeta de crédito.

3. Ahora mismo el malware BlackRock se distribuye disfrazado de paquetes falsos de actualización de Google, ofrecidos en sitios de terceros. Afortunadamente, este software malicioso no ha sido detectado en la Google Play Store.

4. Se recomienda:





http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 20-07-2020

Página: 15 de 23

Componente que Reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Apple lanza actualizaciones de seguridad Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión.

Descripción

1. El 17 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que la compañía Apple ha lanzado actualizaciones de seguridad para abordar vulnerabilidades en múltiples productos, la cual un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

2. Se recomienda a los usuarios y administradores a revisar las páginas de seguridad de Apple para los siguientes productos y aplicar las actualizaciones necesarias:

Safari 13.1.2

o Disponible para los siguientes productos: macOS Mojave

macOS High Sierra

macOS Catalina

iOS 12.4.8

o Disponible para los siguientes productos: iphone 5s

iphone 6

6 más

Ipad aire

iPad mini 2 y 3

iPod touch (6ta generación)

watchOS 5.3.8

o Disponible para los siguientes productos: Apple Watch Series 1 y más allá

Xcode 11.6

o Disponible para los siguientes productos: macOS Mojave 10.15.2 y versiones anteriores

iOS 13.6 y iPadOS 13.6

o Disponible para los siguientes productos: iPhone 6s y más allá

iPad Air 2 y más allá

http://www.gob.pe/



www.gob.pe

[email protected]

iPad mini 4 en adelante

iPod touch (7a generación)

tvOS 13.4.8

o Disponible para los siguientes productos: Apple TV 4K

Apple TV HD

watchOS 6.2.8

o Disponible para los siguientes productos: Apple Watch Series 1 y más allá

macOS Catalina 10.15.6

o Actualización de seguridad 2020-004 Mojave,

o Actualización de seguridad 2020-004 High Sierra

o Disponible para los siguientes productos: macOS Catalina 10.15.5


http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 20-07-2020

Página: 17 de 23


Nombre de la alerta El ransomware avaddon sigue utilizando las macros de excel 4.0

Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Red, correo electrónico, navegación de internet. Código de familia C Código de subfamilia C09 Clasificación temática familia Código malicioso.

Descripción

1. El 18 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó el ransomware de nombre “AVADDON”, el cual se convirtió en el último malware en utilizar macros maliciosas de Excel 4.0 en las campañas. Los correos electrónicos que contenían archivos adjuntos maliciosos de Excel se enviaron a destinos específicos, principalmente en Italia. Cuando se ejecuta, la macro maliciosa descarga el ransomware cifrando los archivos para luego agrega su propia extensión a los archivos cifrados, dejando caer una nota de rescate en cada carpeta que afecta. Eso enlaza con un sitio de pago accesible a través de la red Tor que contiene una identificación única que la víctima puede utilizar para iniciar sesión. Entonces pueden ver la cantidad del rescate e instrucciones sobre cómo pagar.

2. Se recomienda:

Realizar copias de seguridad con frecuencia.

Establecer contraseñas seguras a los ordenadores y a los documentos relevantes.



Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 20-07-2020

Página: 18 de 23


Nombre de la alerta Ataque badpower corrompe los cargadores rápidos.

Tipo de ataque Malware Abreviatura Malware Medios de propagación Red, Navegación de internet. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso.

Descripción

1. El 20 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un malware llamado BadPower que tiene como objetivo alterar el firmware de los dispositivos de carga rápida para entregar voltaje adicional y causando daños a los sistemas conectados (carga), como componentes fundidos, o incluso incendiar dispositivos. El malware BadPower funciona alterando los parámetros de carga predeterminados para entregar más voltaje del que puede manejar el dispositivo receptor para cuando el usuario conecta su teléfono inteligente o computadora portátil infectada al cargador rápido, el código malicioso modifica el firmware del cargador y, en el futuro, el cargador rápido ejecutará una sobrecarga de energía para cualquier dispositivo conectado posteriormente.

2. TIPO DE ATAQUE BADPOWER:

Usando un hardware.

El atacante utiliza un dispositivo especial disfrazado de teléfono móvil para conectar el puerto de carga del cargador y piratear el firmware interno del mismo, hackeando el cargador.

Cuando el usuario utiliza el cargador comprometido para cargar otros dispositivos, el cargador realiza un ataque de sobrecarga de energía en el dispositivo que se está cargando.

Usando un dispositivo hackeado.

Tras hackear un móvil, portátil u otro dispositivo de un usuario, el cibercriminal implanta un programa malicioso con la capacidad de ataque de BadPower en él, convirtiendo el dispositivo terminal en un agente de ataque de BadPower.

Cuando el usuario conecta el dispositivo al cargador, el programa malicioso del dispositivo invade el firmware interno del cargador.

Cuando el usuario utiliza el cargador hackeado para volver a cargar el dispositivo, el cargador realizará un ataque de sobrecarga de energía en el dispositivo comprometido.

3. Se recomienda:

Fortalecer el firmware para evitar modificaciones no autorizadas.

Realizar copias de seguridad con frecuencia.



Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRAL DE


Fecha: 20-07-2020

Página: 19 de 23

Componente que Reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Empresa de telecomunicaciones “Telecom” de Argentina sufre ataque por ransomware

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros.

Código de familia C Código de subfamilia -

Clasificación temática familia

Código malicioso

Descripción

1. El 19 de julio de 2020, se detectó que la empresa de telecomunicaciones “Telecom”, con sede en Argentina, fue víctima de un ataque por Ransomware, solicitando un rescate de siete millones quinientos mil dólares ($ 7.500.000) en criptomonedas.

2. Cabe mencionar, que el ciberataque fue realizado el 18JUL20 y no afectó a los usuarios ni al servicio que la empresa brinda.

3. Se recomienda:

Los encargados de las áreas de informática, deberán de actualizar y licenciar sus sistemas operativos y antivirus, así como, implementar software que detecten diversos tipos de malware.

Fuentes de información https[:]//es.cointelegraph.com/news/argentina-major-telecom-hacked-criminals-demands-ransom-in-monero/amp

http://www.gob.pe/


https://es.cointelegraph.com/news/argentina-major-telecom-hacked-criminals-demands-ransom-in-monero/amp

https://es.cointelegraph.com/news/argentina-major-telecom-hacked-criminals-demands-ransom-in-monero/amp


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-07-2020

Página: 20 de 23

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Falla en dispositivos IOT con Bluetooth podría conducir a ataques de suplantación de identidad

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude financiero

Descripción

1. Resumen:

Investigadores del Centro de Educación e Investigación en Seguridad e Información (CERIAS) de la Universidad de Purdue han descubierto recientemente una nueva vulnerabilidad CRÍTICA que afecta a dispositivos IoT con Bluetooth de baja energía (BLE) que podría conducir a ataques de suplantación de identidad al hacerse pasar por el dispositivo IoT, falsificar datos maliciosos de los dispositivos IoT e ingresar datos falsos al dispositivo del usuario.

2. Detalles:

Bluetooth Low Energy (BLE) es el protocolo de comunicación de baja energía más utilizado en dispositivos móviles e IoT. Se prevé que las ventas de dispositivos Bluetooth de baja energía (BLE) se tripliquen para 2023 a 1.600 millones de envíos anuales, según la firma de asesoría de mercado ABI.

Los dispositivos BLE dependen del emparejamiento, un procedimiento crítico, para generar confianza entre dos dispositivos cuando se conectan por primera vez. Una vez emparejados, las reconexiones entre dispositivos BLE a menudo son transparentes para el usuario.

Según los investigadores, la vulnerabilidad radica en los procedimientos de reconexión para dispositivos BLE previamente emparejados. Y las reconexiones ocurren con frecuencia en escenarios de uso típicos. Los dispositivos Bluetooth a menudo se mueven fuera del alcance y luego regresan al alcance nuevamente más tarde, y restablecen una conexión con dispositivos previamente emparejados.

El análisis de los investigadores reveló dos debilidades críticas de diseño de BLE, para algunos dispositivos BLE, la autenticación durante la reconexión del dispositivo es opcional en lugar de obligatoria y para otros, la autenticación se puede eludir si el dispositivo del usuario no hace cumplir el dispositivo IoT para autenticar los datos comunicados.

Después de descubrir las debilidades de diseño en la especificación BLE, los investigadores analizaron las implementaciones de pila BLE convencionales, incluidas las pilas de protocolos BLE en Linux, Android, iOS y Windows para ver si los "dispositivos del mundo real" eran vulnerables a las fallas de seguridad. Se determinó que tres de los dispositivos probados eran vulnerables porque no lograron garantizar que el dispositivo IoT conectado autenticara sus datos y aceptara datos no autenticados.

Esta vulnerabilidad tiene un amplio impacto en plataformas que admiten comunicaciones BLE, incluidas Linux, Android e iOS y puede afectar a más de mil millones de dispositivos BLE y 16,000 aplicaciones BLE. Los investigadores informaron los hallazgos a Google y Apple, y ambos confirmaron la falla. Apple asignó CVE-2020-9770 a la vulnerabilidad. Los resultados presentarán en el 14º Taller USENIX sobre Tecnologías Ofensivas (WOOT 2020) el próximo mes.

Específicamente, la debilidad y las vulnerabilidades de diseño permiten al atacante eludir la autenticación en las reconexiones BLE, lo que podría conducir a ataques de falsificación contra los dispositivos del usuario. Es decir, un atacante puede suplantar fácilmente los datos de todos los dispositivos IoT que no están protegidos por la autenticación a nivel de aplicación. Los investigadores han lanzado una demostración del ataque contra un rastreador de ejercicios.

3. Recomendación:

Para evitar este tipo de ataques, tanto la especificación BLE como las implementaciones actuales de la pila BLE en Linux, Android e iOS deben actualizarse permanentemente para asegurar el procedimiento de reconexión.

Los usuarios deben instalar la versión más reciente del firmware para aplicar los parches de seguridad necesarios para corregir las vulnerabilidades.

Fuentes de información hxxps://securityboulevard.com/2020/07/bluetooth-reconnection-flaw-could-lead-to-

spoofing-attacks/

http://www.gob.pe/


https://friends.cs.purdue.edu/pubs/WOOT20.pdf

https://pursec.cs.purdue.edu/projects/blesa.html


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 20-07-2020

Página: 21 de 23

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del Troyano Emotet,

Tipo de ataque Troyano Abreviatura Troyano




Descripción

1. El 20 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Bleepingcomputer”, se informa sobre la detección del Troyano Emotet, también conocida como Geodo, la cual se distribuye a través de una campaña masiva de correos electrónicos no deseados o maliciosos, dirigido a usuarios de todo el mundo y tiene como finalidad el robo de contraseñas, cookies, claves SSH, distribuirse a través de una red y en última instancia acceder a los operadores de ransomware.

Emotet es una infección de malware que se propaga a través de correos electrónicos no deseados que contienen documentos maliciosos de Word o Excel. Estos documentos utilizan macros para descargar e instalar el troyano Emotet en la computadora de la víctima, que instala otro malware con el tiempo y usa la computadora infectada para enviar más correos electrónicos no deseados.

Emotet se ejecuta desde tres clústeres de servidores separados, conocidos como Epoch 1, Epoch 2, Epoch 3.

Una vez que el malware se está ejecutando, desplegará más módulos o correos electrónicos maliciosos que roban el correo de una víctima, se propagan a otras computadoras o usan la computadora infectada para enviar spam

Imágenes:

o Correo no deseado del malware Emotet

o Documento en Word malicioso

de Emotet

http://www.gob.pe/



www.gob.pe

[email protected]

Indicadores de compromiso.

o Archivos analizados:

Nombre: PieDemo Tipo de archivo: Win32 EXE Tamaño: 228.46 KB (233942 bytes) MD5: 7a56186927928a6d54ea6ca055afeccf SHA-1: 57e1cffddc534a7a4527def34ecbcaeccf8c136c SHA-256: d4e181d528b848c324773ec9425826055a42b5562bee5d0ca905b4eb4743cd5f

Nombre: PieDemo Tipo de archivo: Win32 EXE Tamaño: 228.06 KB (233530 bytes) MD5: 62f979be778c0d83047350fa2d1de2a1 SHA-1: 204352067166f193834bb1869b97db0da237403a SHA-256: 8d97001be89a2c44fdbe6b46883c800edcb581a7ea62e47c2b2aeb9a9f786a8f

2. Algunas Recomendaciones:

Mantener un protocolo de actualizaciones de sistemas operativos, antivirus y todas las aplicaciones.

Concienciar constantemente a los usuarios en temas relacionados a seguridad de la información.

Bloquear los indicadores de compromisos (IOC) mostrados.

No abra documentos adjuntos de remitentes desconocido.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/emotet-spam-trojan-surges-back-to-

life-after-5-months-of-silence/

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 23 de 23

Índice alfabético

Acceso no autorizado ........................................................................................................................................................ 8 Código malicioso .................................................................................................................. 4, 6, 10, 13, 14, 17, 18, 19, 21 Correo electrónico ....................................................................................................................................................... 3, 19 Correo electrónico, redes sociales, entre otros .............................................................................................................. 19 Criptomonedas .................................................................................................................................................................. 3 Explotación de vulnerabilidades conocidas ................................................................................................................. 5, 15 Fraude ........................................................................................................................................................................ 11, 20 Intento de intrusión ..................................................................................................................................................... 5, 15 internet ................................................................................................................................................................ 10, 17, 18 IoT .................................................................................................................................................................................... 20 Mal uso y abuso de los servicios tecnológicos .................................................................................................................. 7 malware ............................................................................................................................. 2, 3, 6, 9, 10, 14, 17, 18, 19, 21 Malware ............................................................................................................................................. 2, 6, 9, 10, 13, 14, 18 phishing ............................................................................................................................................................. 2, 9, 11, 14 Phishing ..................................................................................................................................................................... 11, 20 puerto .............................................................................................................................................................................. 18 ransomware ..................................................................................................................................................... 2, 17, 19, 21 Ransomware .............................................................................................................................................................. 17, 19 Red, correo, navegación de internet ............................................................................................................................. 6, 8 Red, internet ............................................................................................................................................................ 5, 7, 15 redes sociales ..................................................................................................................................................... 1, 9, 13, 14 Redes sociales ................................................................................................................................................ 11, 13, 14, 20 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................................... 20 servidor .............................................................................................................................................................................. 9 servidores ........................................................................................................................................................................ 21 software ....................................................................................................................... 2, 5, 8, 9, 10, 12, 13, 14, 17, 18, 19 troyanos ............................................................................................................................................................................. 4 Troyanos ............................................................................................................................................................................ 4 USB, disco, red, correo, navegación de internet ..................................................................................................... 4, 9, 21 Uso inapropiado de recursos ............................................................................................................................................. 7

http://www.gob.pe/


Documents

Lima, 20 de julio de 2020...Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C01 Clasificación temática familia