PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 30 de junio de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Vulnerabilidad critica en los firewalls de Palo Alto Networks y dispositivos VPN. ....................................... 3

El troyano brasileño Mispadu, en campaña activa contra usuarios españoles ............................................ 4

Los piratas informáticos atacan ampliamente a los clientes de Microsoft 365 utilizando archivos [.slk]

maliciosos ...................................................................................................................................................... 5

Falla de Apache Spark permite desfigurar sitio web y crear backdoors en el servidor ................................ 6

Malware chino “golang” dirigido a máquinas con Windows y Linux ............................................................ 7

Suplantan la identidad de Amazon. ............................................................................................................... 8

Falsos correos atacan a usuarios de Office 365. ........................................................................................... 9

Ciberdelincuentes exponen usuarios de Telegram .....................................................................................10

Ataques de fuerza bruta dirigidos a RDP crecen durante la pandemia ......................................................11

Detección del malware Wiper. ....................................................................................................................12

Índice alfabético ..........................................................................................................................................14

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 3 de 14

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidad critica en los firewalls de Palo Alto Networks y dispositivos VPN.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red e internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad han identificado una (1) vulnerabilidad critica en el software PAN-OS que ejecuta todos los firewalls de última generación de la empresa Palo Alto Networks, la falla de seguridad es una omisión de autentificación que podría permitir a los atacantes remotos no autentificados obtener acceso y controlar los dispositivos.

2. Detalles de la alerta:

Palo alto público en un aviso de seguridad de redes en su portal web sobre la vulnerabilidad identificada con el código CVE-2020-2021. Esta falla de seguridad es una omisión de autenticación que podría permitir a los atacantes remotos no autenticados obtener acceso y controlar los dispositivos vulnerables, cambiar su configuración, cambiar las políticas de control de acceso y apagarlos.

Las versiones afectadas de PAN-OS incluyen versiones anteriores a PAN-OS 9.1.3; PAN-OS 9.0 versiones anteriores a PAN-OS 9.0.9; PAN-OS 8.1 versiones anteriores a PAN-OS 8.1.15, y todas las versiones de PAN-OS 8.0 (EOL). La versión 7.1 no se ve afectada.

Además, la vulnerabilidad es explotable solo si:

El dispositivo está configurado para usar la autenticación SAML (Security Assertion Markup Language) con inicio de sesión único (SSO, por sus siglas en ingles) para la administración de acceso,

La opción Validar certificado de proveedor de identidad está deshabilitada “sin marcar” en el perfil del servidor del proveedor de identidad SAML.

Si bien los ajustes de configuración mencionados anteriormente no son parte de las configuraciones predeterminadas, parece que encontrar dispositivos vulnerables no debería ser un gran problema para los atacantes.

Especialistas en ciberseguridad manifiestan que organizaciones notables que brindan autenticación de dos factores, inicio de sesión único (SSO) y servicios de identidad recomiendan esta configuración vulnerable o solo pueden funcionar con esta configuración.

Cabe precisar, Palo Alto Networks ha parcheado la vulnerabilidad crítica y fácilmente explotable (CVE-2020-2021) que afecta a PAN-OS, el sistema operativo personalizado que se ejecuta en sus firewalls de próxima generación y dispositivos VPN empresariales, y está instando a los usuarios a actualizar a una versión fija tan pronto como sea posible.

3. Recomendaciones:

Actualizar los parches de seguridad.

Si la actualización no es posible, el riesgo puede mitigarse temporalmente utilizando un método de autenticación diferente y desactivando la autenticación SAML.

Implementar las mejores prácticas en ciberseguridad.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 4 de 14

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta El troyano brasileño Mispadu, en campaña activa contra usuarios españoles

Tipo de ataque Troyano Abreviatura Troyano

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. El 30 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, investigadores de ESET informaron que, tras descubrir un directorio abierto en una página con contador de visitas a una web y diferentes archivos, entre ellos uno con un enlace a contenido pornográfico y la opción de descargar un fichero con supuestas fotografías y vídeos. Los expertos comprobaron que, al ejecutar el archivo descargado, de nombre “load2.msi” o también “videosXS_caserasXC_fotosXV_982NA2020.msi “, se iniciaba la cadena de infección con una serie de scripts en VBS que terminaban poniendo a Mispadu en acción.

2. Además del inicio de la cadena de infección tras la descarga y ejecución del fichero “load2.msi” los investigadores de ESET también descubrieron que el fichero ZIP alojado en esa misma web y al que se hacía referencia en el archivo “links.txt” descubierto en la web con el contador de visitas también realizaba parte de la misma cadena de infección, por lo que es lógico pensar que se trata de un archivo usado en una campaña (la misma u otra similar) de propagación del troyano bancario Mispadu.

3. Este archivo comprimido contiene a su vez dos ficheros, un instalador MSI que incluye Adobe en su nombre para intentar pasar inadvertido y un instalador del navegador Mozilla Firefox al que se le ha puesto de nombre un simple “- “. El instalador MSI del fichero con Adobe en su nombre contiene un Script en Visual Basic que es exactamente el mismo que el segundo Unpacker mencionado en la cadena de infección. De cualquier forma, la manera en la que se concatenan y ejecutan los escripts es bastante compleja y es característica del troyano bancario Mispadu desde que los investigadores de ESET comenzaron a seguirle la pista.

4. Se recomienda:

Evitar hacer clic en enlaces sospechosos, aunque vengan de alguien conocido. La propagación de la campaña se hace entre los contactos de la propia víctima.

Instalar una solución de seguridad confiable en cada uno de los dispositivos conectados a Internet que utilice y mantener estos dispositivos actualizados.

Fuentes de información

https[:]//blogs.protegerse.com/2020/06/29/eset-descubre-una-nueva-campana-del-troyano-bancario-mispadu-afectando-a-usuarios-espanoles/

https[:]//www.silicon.es/el-troyano-brasileno-mispadu-en-campana-activa-contra-usuarios-espanoles-2416757

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 5 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Los piratas informáticos atacan ampliamente a los clientes de Microsoft 365 utilizando archivos [.slk] maliciosos

Tipo de ataque Troyano Abreviatura Troyano Medios de propagación USB, disco, red, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 30 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 28 de junio de 2020 por GBHackers, sobre hackers que estan utilizando un nuevo método de ataque que omite tanto la seguridad predeterminada de Microsoft 365 (EOP) como la seguridad avanzada (ATP).

2. La campaña de ataque diseñada específicamente para omitir Microsoft 365 utiliza un archivo adjunto .slk malicioso que contiene una macro incrustada para descargar e instalar un troyano de acceso remoto.

3. El "Enlace simbólico" (SLK) es un formato de hoja de cálculo basado en texto, es un formato de archivo alternativo a XLSX, El ataque apunta específicamente a las cuentas de Microsoft 365 y, hasta hace poco, estaba aislado de un pequeño número de organizaciones.

4. Los atacantes usan correos electrónicos altamente personalizados para atacar a sus objetivos, están altamente personalizados y usan el tema de la organización más relevante y la persona objetivo.

5. El archivo SLK malicioso ejecuta dos para crear una secuencia de comandos de instalación maliciosa que instala el software en función de los comandos proporcionados por los atacantes.

6. Se recomienda:

Se recomienda a los usuarios configurar su cuenta de Office 365 para rechazar archivos SLK, ya que son relativamente extraños.

Fuentes de información https[:]//gbhackers.com/microsoft-365-customers-targeted/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 6 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Falla de Apache Spark permite desfigurar sitio web y crear backdoors en el servidor Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 30 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información sobre seguridad perimetral en Apache Spark, según estos desarrolladores de Apache Spark acaban de lanzar de forma oficial una alerta de riesgo de ejecución remota de código que afecta a su software. La vulnerabilidad fue identificada como CVE-2020-9480.

2. Apache Spark es un framework (marco de trabajo) de código abierto para la computación en clúster de propósito general distribuido. Spark proporciona una interfaz para programar grupos completos con paralelismo de datos implícito y tolerancia a las fallas.

3. Los especialistas en seguridad perimetral señalan que, en Apache Spark 2.4.5 y versiones anteriores, el servidor principal del administrador de recursos independiente puede configurarse para requerir autenticación a través de una clave compartida.

4. A causa de algunas fallas en el mecanismo de autenticación de Spark, la autenticación de la clave compartida falla. Los actores de amenazas podrían abusar de esta vulnerabilidad para la ejecución de comandos en el host sin autorización del administrador, lo que derivaría en la ejecución remota de código.

5. Se recomienda:

Actualizar Apache Stark a la versión 2.4.6 o bien a 3.0.0.

Fuentes de información https[:]//noticiasseguridad.com/vulnerabilidades/falla-de-apache-spark-permite-desfigurar-sitio-web-y-crear-backdoors-en-el-servidor/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 7 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Malware chino “golang” dirigido a máquinas con Windows y Linux Tipo de ataque Crypto robbing ransomware Abreviatura BitCoin Medios de propagación USB, disco, red, correo, navegación de internet Código de familia N Código de subfamilia N01 Clasificación temática familia Criptomonedas

Descripción

1. El 30 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó una nueva variante del malware de criptominería “GOLANG” dirigido a máquinas con sistema operativo Windows y Linux. La nueva variante de malware apunta a extraer la criptomoneda Monero utilizando un minero conocido XMRig. Se ha identificado que las direcciones IP vinculadas con este ciberataque provienen de China.

2. También se ha observado que el malware Golang se centra en atacar los marcos de aplicaciones web, los

servidores de aplicaciones y los servicios que no son HTTP, como Redis y MSSQL, en lugar de apuntar a los usuarios finales. Los ciberdelincuentes están utilizando nuevamente a Golang como lenguaje de malware, ya que los antivirus no lo rastrean comúnmente.

3. Como se dirige a servidores vulnerables, sigue siendo un vector de amenaza principal que los ciberdelincuentes

buscan explotar, el malware también agrega un usuario de puerta trasera

4. Se recomienda:

Tener un firewall de aplicaciones web configurada correctamente

Evitar instalar softwares desconocidos y sin analizar.

Realizar copias de seguridad periódicas.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 8 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Suplantan la identidad de Amazon. Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 30 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que

ciberdelincuentes siguen aprovechándose del confinamiento social generado por la pandemia del Covid-19 (Coronavirus), mediante una campaña de tipo phishing en la que suplantan la identidad de Amazon, con el envío de correos fraudulentos, indicando una supuesta premiación a la fidelidad de sus clientes, ofreciéndoles una tarjeta de regalo Amazon, un televisor Samsung QLED y un iPhone 11. Para ello, el usuario deberá ingresar sus datos personales en el enlace “bestprizeworld.com” para la verificación si llegó a obtener alguno de dichos beneficios.

2. Se recomienda:

Evitar ingresar a enlaces no confiables o no solicitados.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 9 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Falsos correos atacan a usuarios de Office 365. Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 30 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que ciberdelincuentes siguen aprovechándose del confinamiento social generado por la pandemia Covid-19 (Coronavirus), mediante una nueva campaña de phishing dirigida a usuarios de Office 365, enviando un correo electrónico para registrarse en una capacitación con el asunto: "Capacitación COVID-19 para empleados: un certificado para los lugares de trabajo de salud".

2. El enlace dirige a los usuarios a una página web maliciosa (servidor del atacante), con la finalidad de proporcionar sus credenciales de inicio de sesión, y una vez que la víctima abra el correo electrónico visualizará un archivo adjunto, en la que se indica que es una actualización de Office365, pero en realidad se vincula a dos URL maliciosas que cargan el malware Trickbot.

3. Se recomienda:

Evitar ingresar a enlaces no confiables o no solicitados.

Evitar descargar y abrir archivos de fuentes no confiables.

Evitar brindar información personal como bancaria por la web

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 10 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Ciberdelincuentes exponen usuarios de Telegram

Tipo de ataque Fuga de información Abreviatura FugaInfo

Medios de propagación Red, internet, redes sociales

Código de familia K Código de subfamilia K02

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 30 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que la empresa tecnológica “Kor.ru” reportó una vulnerabilidad en la función de importación de contactos incorporado a Telegram, la misma que viene siendo explotada por ciberdelincuentes permitiéndoles filtrar datos personales de millones de usuarios en la darknet (Aproximadamente 900MB de datos conteniendo números de teléfono e identificaciones de usuarios).

2. Por otro lado, la compañía de Mensajeria Instantaena, Telegram, señaló que los datos filtrados están desactualizados. De acuerdo al informe realizado por la compañía , el 84% de las entradas de datos en la base de datos se recopilaron antes de mediados de 2019. Como tal, al menos el 60% de la base de datos está desactualizada. Además, el 70% de las cuentas filtradas provino de Irán, mientras que el 30% restante de Rusia.

3. Se recomienda:

Los usuarios que hagan uso de la aplicación Telegram, deberán realizar el cambio de contraseña de sus cuentas de Telegram, a fin de evitar que sean vulneradas por ciberdelincuentes.

Fuentes de información

https[:]//twitter.com/SeguInfo/status/1276297378128003072 https[:]//blog.segu-info.com.ar/2020/06/millones-de-usuarios-de-

telegram.html?utm_source=Segu.Info&utm_medium=[Segu.Info]&utm_campaign=[Segu.Info]

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 11 de 14

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Ataques de fuerza bruta dirigidos a RDP crecen durante la pandemia

Tipo de ataque Ataque de fuerza bruta Abreviatura AtaqFueBru

Medios de propagación Red, correo, navegación de internet

Código de familia A Código de subfamilia A02

Clasificación temática familia Acceso no autorizado

Descripción

1. Resumen:

La compañía de seguridad informática ESET, ha publicado un estudio basado en su telemetría donde revela un incremento notable en el número de ataques vía Protocolo de Escritorio Remoto de Windows (RDP). Esto es debido no solo al aumento en el uso por parte de las empresas de este protocolo, sino también a que no terminan de aplicar medidas de seguridad como el uso de contraseñas robustas o capas adicionales de seguridad como el doble factor de autenticación.

2. Detalles:

Los delincuentes cibernéticos están aprovechando la oportunidad que les están ofreciendo millones de empresas en todo el mundo al permitir el uso de las conexiones remotas, sin tener en cuenta la seguridad, para que sus empleados puedan seguir trabajando desde casa. De esta forma, los trabajadores siguen pudiendo acceder a los recursos necesarios para realizar sus tareas, pero a costa de poner en peligro los activos de la empresa.

A pesar de que el RDP es una herramienta realmente útil para afrontar situaciones como las que está viviendo en la actualidad, es también importante que su uso venga acompañado de ciertas medidas de seguridad que impidan que los delincuentes puedan sacar provecho de la situación. Y es que los ataques están viniendo de múltiples frentes, con amenazas como backdoors, mineros de criptomonedas y el ransomware como algunos de sus mayores exponentes.

3. Recomendaciones:

Es importante conocer bien la situación y adoptar las siguientes medidas de seguridad necesarias para impedir que los sistemas de la empresa se vean afectadas:

Evitar exponer a internet aquellos servicios RDP que no sean esenciales y limitar el número de usuarios que pueden conectarse remotamente a la red corporativa a aquellos que sean estrictamente esenciales.

Utilizar contraseñas robustas para todas aquellas cuentas que puedan utilizar la conexión remota a la red corporativa mediante RDP.

Usar, siempre que sea posible, una autenticación de doble factor.

Las conexiones remotas entre los usuarios y la red corporativa se deben realizar siempre mediante una red privada virtual (VPN).

Si se dispone de un cortafuego perimetral, se deben desactivar las conexiones remotas a aquellas máquinas locales que no sean esenciales a través del puerto 3389 (TCP/UDP).

En caso de detectar algún sistema inseguro o que está siendo atacado, debe aislarse de inmediato del resto de la red. La segmentación de redes debe de hacerse de forma que impida los movimientos laterales desde equipos de los empleados a sistemas críticos de la empresa.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información

hxxps://blogs.protegerse.com/2020/06/30/los-ataques-de-fuerza-bruta-dirigidos-a-rdp-crecen-durante-la-pandemia/

hxxps://www.welivesecurity.com/la-es/2020/06/29/crecieron-ataques-fuerza-bruta-dirigidos-rdp-durante-pandemia/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 087

Fecha: 30-06-2020

Página: 12 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del malware Wiper.

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 29 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Redes Zone”, se informa sobre la detección del Malware “Wiper”, el cual está dirigido a bancos, compañías y organización públicas y privadas, que al ser ejecutado ataca al master boot record (registro de arranque principal) y las operaciones realizadas por el core file system (sistema de archivos núcleo), dificultando la posible recuperación del equipo. Una vez que el malware accede a un sistema se propaga y en la mayoría de los casos puede ser muy difícil de detectar y eliminar lo que puede provocar una interrupción con graves consecuencias, poniendo en riesgo los datos confidenciales de la empresa como información personal, documentos y cualquier tipo de archivos que tengamos almacenados en el ordenador.

El malware se propaga a través de sitios web o correos electrónicos que contienen archivos o software maliciosos, que al ser ejecutado tiene el objetivo principal de destruir sistemas y/o datos, causando generalmente grandes daños financieros y la reputación de las compañías afectadas.

Si un pendrive o cualquier otro dispositivo es infectado, la finalidad de esta amenaza es eliminar todo tipo de información que pueda encontrar a su paso, incluso si el usuario ha creado copias de seguridad para guardar sus archivos en discos externos.

El malware puede realizar la destrucción del disco duro de la siguiente manera:

Creando una lista de archivos específicos. Listando archivos en carpetas específicas. Rescribiendo una cierta cantidad de bytes al comienzo de cada archivo. Sobrescribiendo el archivo por completo si los archivos son más pequeños que un determinado tamaño.

Escribiendo una cantidad de bytes cada cierta cantidad de archivos.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso. Archivo analizado:

Nombre: Coronavirus Tipo: win32 exe Tamaño: 16.00 KB (16384 bytes) Máquina de destino: Procesadores Intel 386 MD5: 674805b536e872a7b6412711699ee44f SHA-1: 8926009b3d9c76ec9f30a42ac149621b5a722a2a SHA-256: adde95e8813ca27d88923bd091ca2166553a7b904173ef7a2c04bb3ddf8b14a9

2. Que es un malware:

Programa o software malicioso que se crea con la intención de dañar dispositivos, robar datos y en general causar problemas en un sistema informático sin el conocimiento del usuario.

3. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios

Fuentes de información https[:]//www.redeszone.net/tutoriales/seguridad/malware-wiper-consejos-seguridad/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 14 de 14

Índice alfabético

Acceso no autorizado ...................................................................................................................................................... 11 Ataque de fuerza bruta .................................................................................................................................................... 11 backdoors ................................................................................................................................................................ 2, 6, 11 Código malicioso ...................................................................................................................................................... 4, 5, 12 Criptomonedas .................................................................................................................................................................. 7 Crypto robbing ransomware ............................................................................................................................................. 7 Explotación de vulnerabilidades conocidas ................................................................................................................... 3, 6 Fraude ............................................................................................................................................................................ 8, 9 fuerza bruta ................................................................................................................................................................. 2, 11 Intento de intrusión ....................................................................................................................................................... 3, 6 internet .................................................................................................................................................................... 3, 5, 11 malware ......................................................................................................................................................... 2, 7, 9, 12, 13 Malware ................................................................................................................................................................... 2, 7, 12 phishing ......................................................................................................................................................................... 8, 9 Phishing ......................................................................................................................................................................... 8, 9 puerto .............................................................................................................................................................................. 11 ransomware ..................................................................................................................................................................... 11 Red, correo, navegación de internet ............................................................................................................................... 11 Red, internet ................................................................................................................................................................ 6, 10 Red, internet, redes sociales ........................................................................................................................................... 10 redes sociales ..................................................................................................................................................................... 1 Redes sociales ................................................................................................................................................................ 8, 9 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 8 servidor .................................................................................................................................................................. 2, 3, 6, 9 servidores .......................................................................................................................................................................... 7 software ............................................................................................................................................. 3, 5, 6, 7, 8, 9, 12, 13 URL ..................................................................................................................................................................................... 9 USB, disco, red, correo, navegación de internet ..................................................................................................... 4, 7, 12 Uso inapropiado de recursos ........................................................................................................................................... 10 Vulnerabilidad................................................................................................................................................................ 2, 3