PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 5 de agosto de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Vulnerabilidades en algunos dispositivos ZyXEL ........................................................................................... 3

Detenidos los responsables del mayor hackeo a Twitter .............................................................................. 4

La vulnerabilidad en Newsletter de WordPress ............................................................................................ 5

El FBI ha emitido una alerta de seguridad sobre los ataques de ransomware Netwalker dirigidos a

organizaciones gubernamentales estadounidenses y extranjeras. .............................................................. 6

Empresa “GARMIN” sufre ataque del ransomware WastedLocker .............................................................. 7

Adguard descubre 295 extensiones maliciosas que secuestra los resultados de búsqueda de Google

Chrome y Bing ............................................................................................................................................... 8

Detección del troyano bancario Qbot ........................................................................................................... 9

Índice alfabético ..........................................................................................................................................11

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 123

Fecha: 5-08-2020

Página: 3 de 11

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidades en algunos dispositivos ZyXEL

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red e internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo. de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que un equipo de investigadores en ciberseguridad, han detectado dos vulnerabilidades en algunos productos de almacenamiento conectado a la red (NAS) de ZyXEL, la explotación exitosa de las fallas de seguridad permitiría a los ciberdelincuentes esquivar los controles de acceso a los sistemas vulnerables de forma relativamente fácil.

2. Detalles de la alerta:

ZyXEL es una compañía fabricante de dispositivos de red con sede en China.

De acuerdo a las investigaciones realizadas por un equipo de especialistas en ciberseguridad, los productos que han sido afectados por las fallas de seguridad son los siguientes:

ZyXEL NAS 326

NAS520

NAS540

NAS542

A continuación, se presentan breves descripciones de las vulnerabilidades reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).

CVE-2020-13364: Las inadecuadas restricciones de acceso en un script CGI para aplicaciones web permitirían a los actores de amenazas obtener acceso no autorizado a funciones restringidas. Los hackers maliciosos podrían iniciar servicios Telnet o SSH para generar una contraseña para la cuenta de usuario “NsaRescueAngel” con privilegios root.

Esta es una vulnerabilidad de severidad media que recibió un puntaje de 7.1/10.

CVE-2020-13365: Una serie de restricciones de acceso inadecuadas en un script CGI para las aplicaciones web afectadas permitirían a los actores de amenazas iniciar servicios Telnet o SSH para generar una contraseña de acceso a la cuenta “NsaRescueAngel” con privilegios de root, permitiendo a los actores de amenazas obtener acceso no autorizado a funcionalidades restringidas. Esta es una vulnerabilidad de severidad media, por lo que recibió un puntaje de 7.1/10.

Cabe precisar, La compañía ZyXEL ya ha publicado las actualizaciones de seguridad en el sitio web oficial de la empresa.

3. Recomendaciones:

Actualizar los parches de seguridad en el sitio web oficial de proveedor.

Tener un antivirus y estar actualizado.

Cambiar las credenciales y utilizar contraseñas seguras.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 123

Fecha: 05-08-2020

Página: 4 de 11

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Detenidos los responsables del mayor hackeo a Twitter

Tipo de ataque Crypto robbing ransomware Abreviatura BitCoin

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia N Código de subfamilia N01

Clasificación temática familia Criptomonedas

Descripción

1. Según los informes, un adolescente de 17 años ha sido arrestado acusado de ser el presunto autor intelectual del reciente hack de Twitter que atacó varias cuentas importantes de la red social en cuestión de minutos como parte de una estafa masiva para conseguir criptomonedas.

2. Fue detenido junto a dos compañeros más, ambos presuntos colaboradores del mayor ataque a Twitter en su historia. Según el Departamento de Justicia de EE. UU., Mason Sheppard, alias «Chaewon», de 19 años, del Reino Unido, Nima Fazeli, alias «Rolex», de 22 años, de Florida, y el menor anteriormente mencionado, fueron acusados esta semana de conspiración para cometer fraude electrónico, conspiración para cometer lavado de dinero y el acceso intencional a ordenadores seguros.

3. El canal de noticias de Florida WFLA identificó esta semana a un adolescente de 17 años llamado Graham Clark de ‘Tampa Bay’ en relación con el ciber ataque a Twitter, quien presuntamente es el menor que el Departamento de Justicia de los Estados Unidos mencionó en su comunicado de prensa. Según los informes, Graham ha sido acusado de 30 delitos graves de comunicaciones y fraude organizado, por estafar a cientos de personas usando cuentas comprometidas. El 15 de julio, Twitter enfrentó el mayor lapso de seguridad en su historia después de que el atacante lograse secuestrar cerca de 130 cuentas de Twitter con muchos seguidores y repercusión, incluidas Barack Obama, Kanye West, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos, Warren Buffett, Uber y Apple.

4. Se recomienda:

Aplicar buenas prácticas y criterios de seguridad para evitar ser víctimas de un ciberataque.

No abrir enlaces contenidos en correos no deseados.

Evitar la descargar archivos adjuntos en correos no deseados, en caso de que un archivo comience a descargarse automáticamente, no abrirlo.

Fuentes de información https[:]//blog.segu-info.com.ar/2020/07/gigaleak-filtrado-de-codigo-fuente-de.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 123

Fecha: 05-08-2020

Página: 5 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta La vulnerabilidad en Newsletter de WordPress Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet. Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 05 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por el equipo de inteligencia de amenazas de Wordfence, la vulnerabilidad en el plugin Newsletter WordPress que proporciona las herramientas necesarias para crear boletines receptivos y campañas de marketing por correo electrónico en blogs de WordPress utilizando un compositor visual.

2. El boletín ya se ha descargado más de 12 millones de veces desde que se agregó al repositorio oficial de plugins de WordPress y ahora está instalado en más de 300,000 sitios.

3. Si bien los dos defectos se clasifican como problemas de gravedad media y alta que podrían permitir a los atacantes agregar administradores deshonestos e inyectar puertas traseras después de explotar con éxito el problema XSS reflejado en sitios que ejecutan versiones vulnerables del complemento Newsletter.

4. Además, la falla de inyección de objetos PHP "podría usarse para inyectar un objeto PHP que podría procesarse mediante código de otro plugin o tema y usarse para ejecutar código arbitrario, cargar archivos o cualquier otra táctica que pudiera conducir a la toma de control del sitio.

5. Al menos 150,000 sitios de WordPress con instalaciones activas de boletines informativos aun potencialmente expuestos a posibles ataques si los piratas informáticos comienzan a explotar estos errores como parte de futuras campañas.

6. Se recomienda:

A los propietarios de sitios de WordPress que utilicen el complemento Newsletter que actualicen sus instalaciones para bloquear ataques que puedan usar una vulnerabilidad fija que permita a los piratas informáticos inyectar puertas traseras, crear administradores deshonestos y potencialmente apoderarse de sus sitios web.

Fuentes de información http[:]//www.bleepingcomputer.com/news/security/newsletter-plugin-bugs-let-hackers-inject-backdoors-on-300k-sites/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 123

Fecha:05-08-2020

Página: 6 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta El FBI ha emitido una alerta de seguridad sobre los ataques de ransomware Netwalker dirigidos a organizaciones gubernamentales estadounidenses y extranjeras.

Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico, redes sociales, entre otros Código de familia C Código de subfamilia C01 Clasificación temática familia Código malicioso

Descripción

1. El 05 de Agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro informacion que se detalla a continuacion: El FBI ha emitido una nueva alerta flash de seguridad para advertir sobre los ataques de ransomware de Netwalker dirigidos a organizaciones gubernamentales estadounidenses y extranjeras. Los federales recomiendan a las víctimas que no paguen el rescate y denuncien incidentes a sus oficinas locales del FBI.

2. El FBI advierte sobre una nueva ola de ataques que comenzó en Junio, la lista de víctimas incluye la Escuela de Medicina de UCSF y el gigante australiano de logística Toll Group. Los operadores de ransomware Netwalker han estado muy activos desde marzo y también aprovecharon el brote en curso de COVID-19 para atacar a las organizaciones.

3. Los actores de la amenaza inicialmente aprovecharon los correos electrónicos de phishing que entregaban un cargador de Visual Basic Scripting (VBS), pero desde abril de 2020, los operadores del ataque comenzaron a explotar los dispositivos vulnerables de la Red Privada Virtual (VPN), los componentes de la interfaz de usuario en las aplicaciones web o las contraseñas débiles del Protocolo de escritorio remoto conexiones para acceder a las redes de sus víctimas. Asimismo los ciberdelincuentes buscaban nuevos colaboradores que les proporcionaran acceso a grandes redes empresariales.

4. Dos de las vulnerabilidades más comunes explotadas por los actores que usan Netwalker son Pulse Secure VPN (CVE-2019-11510) y Telerik UI (CVE-2019-18935) . Una vez que un actor se ha infiltrado en una red, se puede ejecutar una combinación de programas maliciosos para obtener credenciales de administrador, robar datos valiosos y cifrar archivos de usuario. Para cifrar los archivos de usuario en una red de víctimas, los actores suelen lanzar un script malicioso de PowerShell integrado con el ejecutable del ransomware.

5. Se recomienda:

Copia de seguridad de datos críticos sin conexión.

Asegurar que las copias de datos críticos estén en la nube o en un disco duro externo o dispositivo de almacenamiento.

Asegurar sus copias de seguridad y asegúrese de que no se pueda acceder a los datos para su modificación o eliminación del sistema donde residen los datos.

Instalar y actualizar regularmente el software antivirus o antimalware en todos los hosts.

Usar redes seguras y evite usar redes públicas de Wi-Fi.

Considerar instalar y usar una VPN.

Utilizar la autenticación de dos factores con contraseñas seguras.

Mantener las computadoras, dispositivos y aplicaciones actualizadas y parcheadas.

Fuentes de información https[:]//securityaffairs.co/wordpress/106671/cyber-crime/fbi-warns-netwalker-ransomware-attacks.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 123

Fecha: 05-08-2020

Página: 7 de 11

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Empresa “GARMIN” sufre ataque del ransomware WastedLocker

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 05 de agosto de 2020, se detectó que la empresa de dispositivos GPS Garmin, sufrió un ataque del ransomware denominado “WastedLocker”, mismo que obligó a la empresa a paralizar la fabricación de sus dispositivos; obteniendo problemas en los servicios en la nube a los que se conectan sus dispositivos.

2. Cabe resaltar, que la empresa obtuvo la clave para descifrar los ficheros que fueron secuestrados por el ransomware. Por el momento se desconoce cuál es el origen de la clave, ya que la implementación de cifrado de WastedLocker no tiene debilidades, por lo que posiblemente la empresa en mención haya accedido a pagar 10 millones de dólares.

3. Se recomienda:

Mantener los sistemas operativos actualizados y crear periódicamente copias de seguridad para mantener la integridad y disponibilidad de la información.

Evitar abrir correos de dudosa procedencia, ya que un ransomware puede estar oculto en documentos, imágenes, archivos PDF, etc.

Fuentes de información https[:]//unaaldia.hispasec.com/2020/08/garmin-obtiene-la-clave-de-cifrado-para-wastedlocker.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 123

Fecha: 5-08-2020

Página: 8 de 11

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Adguard descubre 295 extensiones maliciosas que secuestra los resultados de búsqueda de Google Chrome y Bing

Tipo de ataque Spyware Abreviatura Spyware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C08

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

La compañía de soluciones de bloqueo de anuncios AdGuard, ha descubierto 295 extensiones de Chrome que secuestran e insertan anuncios dentro de los resultados de búsqueda de Google y Bing, estás extensiones han sido instaladas por más de 80 millones de usuarios de Google Chrome. Casi todas las extensiones 295 todavía están disponibles en la Chrome Web Store oficial.

2. Detalles:

La compañía descubrió un grupo de 295 extensiones con actividad maliciosa mientras estaba investigando una serie de extensiones falsas de bloqueo de anuncios que estaban disponibles en la Chrome Web Store oficial. Además de los falsos bloqueadores de anuncios, AdGuard indicó que también encontró extensiones que se hacen pasar por widgets de pronóstico del tiempo y utilidades de captura de captura de pantalla.

Sin embargo, la gran mayoría de las extensiones maliciosas (245 de las 295 extensiones) eran utilidades simplistas que no tenían otra función que aplicar un fondo personalizado para la página "nueva pestaña" de Chrome.

En un análisis técnico compartido, AdGuard dijo que todas las extensiones cargaron código malicioso del dominio fly-analytics.com, y luego procedieron a inyectar anuncios silenciosamente dentro de los resultados de búsqueda de Google y Bing.

Las extensiones ya han comenzado a retirarse de la tienda después de que los investigadores se comunicaran con el equipo de la Tienda Web de Google y después de que la compañía AdGuard publicará en su blog los detalles de sus hallazgos.

En la publicación, la compañía detalló las malas prácticas adicionales en Chrome Web Store, como moderadores de tiendas que permiten una gran cantidad de extensiones de imitación para clonar complementos populares, capitalizar sus marcas, llegar a millones de usuarios y al mismo tiempo contener código malicioso que funciona como fraude publicitario o relleno de cookies.

Hay que señalar, que cuando Google elimina una extensión de Chrome Web Store por actividad maliciosa, la extensión también se deshabilita en los navegadores de los usuarios y se marca como "malware" en la sección Extensión de Chrome. La lista completa de 295 extensiones de inyección de anuncios está disponible a continuación, al final de este artículo.

3. Indicadores de Compromiso

Ver las extensiones maliciosas aquí.

4. Recomendaciones:

Desinstalar manualmente las extensiones maliciosas de sus navegadores.

Instalar extensiones solo de los desarrolladores en los que confía.

No creer en la descripción de la extensión.

Leer las opiniones de los usuarios tampoco ayudará. La mayoría de las extensiones maliciosas tienen excelentes críticos y, sin embargo, son maliciosas.

No utilice la búsqueda interna de Chrome Web Store, siga los enlaces en los sitios web de desarrolladores de confianza directamente.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información

hxxps://www.zdnet.com/article/cluster-of-295-chrome-extensions-caught-hijacking-google-and-bing-search-results/?ftag=COS-05-10aaa0g&taid=5f2ac991cb760200018d2729&utm_campaign=trueAnthem%3A+Trending+Content&utm_medium=trueAnthem&utm_source=twitter

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 123

Fecha: 5-08-2020

Página: 9 de 11

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del troyano bancario Qbot

Tipo de ataque Troyano Abreviatura Troyano

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. El 05 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “AskCyberSecurity.com”, se informa sobre la detección del Troyano bancario Qbot, también conocido como Qakbot, Pinkslipbot y Quakbot, Es una familia de Malware diseñado para robar credenciales bancarias, información de sesiones bancarias en línea, datos personales de la víctima o cualquier otro dato bancario, el cual se distribuye a través de correos electrónicos no deseados, campañas de Phishing.

Qbot infecta la computadora de la víctima a través del secuestro de navegadores web como Chrome, Internet Explorer, Safari, Opera, etc, la configuración de estos se modifica sin el permiso del usuario.

Detalles del proceso de infección del Troyano Qbot:

o Qbot se carga en la memoria de explorer.exe, desde un ejecutable introducido mediante phishing, un cuentagotas de exploit o un recurso compartido de archivos abierto.

o El troyano Qbot se copia en la ubicación predeterminada de la carpeta de la aplicación, como se define en la clave de registro.

o Qbot crea una copia de sí mismo en la clave de registro específica HKCU, software, Microsoft, Windows, CurrentVersion, Run para ejecutarse cuando el sistema se reinicia.

o Qbot suelta un archivo .dat con un registro de la información del sistema y el nombre de la botnet.

o Qbot ejecuta su copia desde la carpeta % APPDATA%, para cubrir sus pistas reemplaza el archivo infectado por uno legítimo.

o El Troyano crea una instancia de explorer.exe y se inyecta en él, luego los actores de la amenaza usan el proceso de explorer.exe siempre en ejecución para actualizar Qbot desde su servidor externo de comando y control.

Imagen del proceso de infección del Troyano Qbot:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: wscript.exe

Tipo: Win32 EXE

Tamaño: 1.18 MB (1235984 bytes)

MD5: 736da6e9869923614bceee0aa2041456

SHA-1: a138067ecc87b601d2cb7ab7abe92c45c9d4b3fe

SHA-256: 9227048434aa9c943cce1d581e833a8c514f4e912722df425526673319de7317

Nombre: x64helper

Tipo: Win32 EXE

Tamaño: 633.52 KB (648724 bytes)

MD5: 15588e558eb227ee9997ac303dbcf107

SHA-1: b755d8cf85f7d29948b32a46a3feaa11b5d6f8c9

SHA-256: bdae935d644ccc36799f2158a23ebcf5f5ddc29e7d5c1eb6c9fe4ff21ca60958

2. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//www.askcybersecurity.com/qbot-malware-stealing-bank-account/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 11 de 11

Índice alfabético

backdoors .......................................................................................................................................................................... 5 botnet ................................................................................................................................................................................ 9 Código malicioso .................................................................................................................................................... 6, 7, 8, 9 Correo electrónico ............................................................................................................................................................. 6 Correo electrónico, redes sociales, entre otros ................................................................................................................ 6 Criptomonedas .................................................................................................................................................................. 4 Crypto robbing ransomware ............................................................................................................................................. 4 Explotación de vulnerabilidades conocidas ................................................................................................................... 3, 5 Intento de intrusión ....................................................................................................................................................... 3, 5 internet .............................................................................................................................................................................. 3 malware ....................................................................................................................................................................... 8, 10 Malware ......................................................................................................................................................................... 7, 9 phishing ......................................................................................................................................................................... 6, 9 Phishing ............................................................................................................................................................................. 9 ransomware ............................................................................................................................................................... 2, 6, 7 Ransomware ...................................................................................................................................................................... 6 Red, internet ...................................................................................................................................................................... 5 redes sociales ..................................................................................................................................................................... 1 servidor .............................................................................................................................................................................. 9 software ......................................................................................................................................................................... 6, 9 Spyware ............................................................................................................................................................................. 8 USB, disco, red, correo, navegación de internet ................................................................................................... 4, 7, 8, 9 Vulnerabilidades ............................................................................................................................................................ 2, 3