lima, 15 de enero de 2021

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 15 de enero de 2021

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Vulnerabilidad en el OS JunOS empleado en muchas de las soluciones de red de Juniper Networks. ........ 3

Vulnerabilidad en Windows 10 ..................................................................................................................... 4

Nueva campaña distribuye el troyano RokRat .............................................................................................. 5

Aplicación maliciosa “Telegram Update.apk” ............................................................................................... 6

Suplantan identidad de Banco BCP ............................................................................................................... 7

Nuevo malware “Sunspot” ............................................................................................................................ 8

Nuevo malware “Rogue” ............................................................................................................................... 9

Aplicación maliciosa “WhatsApp-PRO.apk” ................................................................................................10

“Oski” representa un nuevo malware .........................................................................................................11

Difusión de malware-troyano por medio de noticias falsas ........................................................................12

WhatsApp desactivará su cuenta si no acepta compartir datos con Facebook ..........................................13

Vulnerabilidad de escalamiento de privilegios de Cisco en servicio de Connected Mobile Experiences ...14

Nuevo troyano bancario para Android ........................................................................................................15

Vulnerabilidad Crítica en productos NVIDIA ...............................................................................................16

Cibercriminales filtran documentos robados sobre la vacuna para el COVID-19 .......................................18

Al descubierto troyano llamado ROGUE que permite el acceso remoto a dispositivos Android ...............19

Ataque contra gobierno y empresas de Colombia ......................................................................................20

FBI advierte a compañías sobre ataques del ransomware “Egregor” en todo el mundo ...........................22

Vulnerabilidad crítica en Apache Velocity impactan en sitios web gubernamentales ...............................23

Múltiples vulnerabilidades críticas en AirWave Glass de Aruba .................................................................25

Vínculos entre el backdoor Sunburst y el malware ruso Kazuar .................................................................26

Señuelos de vacuna COVID_19 para difundir phishing ...............................................................................28

Phishing, suplantando la identidad de la empresa de registro de nombres de dominio y hosting web

Namecheap ..................................................................................................................................................30

Índice alfabético ..........................................................................................................................................32

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 010

Fecha: 15-01-2021

Página: 3 de 32

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidad en el OS JunOS empleado en muchas de las soluciones de red de Juniper Networks.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV

Medios de propagación Internet y red

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad han revelado el hallazgo de una vulnerabilidad en JunOS, el sistema operativo empleado en muchas de las soluciones de red de Juniper Networks. La explotación exitosa de estas fallas de seguridad por parte de ciberdelincuentes permitiría el despliegue de múltiples escenarios maliciosos.

2. Detalles de la alerta:

A continuación, se muestra una breve descripción de la vulnerabilidades y exposiciones comunes (CVE) identificada:

• CVE-2021-0208: Una vulnerabilidad de validación de entrada incorrecta en el servicio Routing Protocol Daemon (RPD) de Juniper Networks Junos OS permite a un atacante enviar un paquete RSVP con formato incorrecto cuando se utilizan LSP bidireccionales, que cuando lo recibe un enrutador de salida bloquea el RPD y provoca una Denegación de servicio (DoS) condición. La recepción continua del paquete respaldará la Denegación de servicio. Esta vulnerabilidad recibió un puntaje de 8.8/10 de acuerdo al CVSS.

Este problema afecta a Juniper Networks Junos OS:

o 19.2 versiones anteriores a 19.2R3 17.4 versiones anteriores a 17.4R3-S2

o 18.3 versiones anteriores a 18.3R3-S2 18.1 versiones anteriores a 18.1R3-S10

o 19.3 versiones anteriores a 19.3R2-S5, 19.3R3

o 20. 1 versiones anteriores a 20.1R1-S4, 20.1R2

o 19.1 versiones anteriores a 19.1R1-S5, 19.1R3-S3



o 18.4 versiones anteriores a 18.4R1-S8, 18.4R2-S6, 18.4R3-S2

o Versiones de 15.1X49 anteriores a 15.1X49-D240 en la serie SRX

o Todas las versiones anteriores a 17.3R3-S10 excepto 15.1X49-D240 para la serie SRX

Juniper Networks Junos OS Evolved:

o 19.3 versiones anteriores a 19.3R2-S5-EVO 19.4 versiones anteriores a 19.4R2-S2-EVO

o Versiones 20.1 anteriores a 20.1R1-S4-EVO.

3. Recomendaciones:

• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

• Los administradores de sistemas verificar a detalle sus aplicaciones web para prevenir la explotación del ataque.

• Actualizar los parches de seguridad en el sitio web oficial del fabricante.

• Realizar concientización constante a los usuarios sobre este tipo de amenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 15-01-2021

Página: 4 de 32

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad en Windows 10

Tipo de ataque Vulnerabilidad Abreviatura VulneWindows10

Medios de propagación Red, internet


Clasificación temática familia Malware

Descripción

1. El 15 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que Un usuario ha reportado una vulnerabilidad Zero-Day en Windows 10 permite corromper por completo un disco duro usando un simple comando.

2. Este comando puede estar oculto en un acceso directo de Windows, en un ZIP, en un batch, o en cualquier otro tipo de archivo que permite ejecutar la línea de comandos. Al ejecutar el comando, Windows lanza un mensaje diciendo que es necesario reiniciar para reparar uno de los discos corruptos. Lo más grave del asunto es que este comando puede ejecutarse por cualquier usuario de Windows 10 que tenga una cuenta estándar y con pocos privilegios.

3. El comando corrompe de manera irrecuperable la unidad de almacenamiento. Ese comando está orientado para la unidad C, pero puede dañar cualquiera al cambiar el nombre de la unidad.

4. El fallo consiste en que, al ejecutar el comando, se indica que se acceda al atributo $i30 de NTFS en un archivo de una manera concreta. Este "$i30" es un atributo de NTFS asociado con directorios que contienen a su vez una lista de archivos y subcarpetas de un directorio. Esto es cómodo para hacer análisis forense de unidades de almacenamiento.

5. Tras ejecutar el comando, Windows muestra el error el archivo o directorio está dañado o es ilegible. Posteriormente, insta a reiniciar para que se ejecute la herramienta de reparación de discos en Windows 10. Sin embargo, el disco no puede ser recuperado, y en el registro se ve cómo se muestran numerosos errores indicando que la Master File Table (MFT) del disco tiene un registro que está dañado.

6. El comando no sólo puede generar problemas al ejecutarlo, sino que con simplemente bajar un archivo que enlace a él podemos quedarnos sin disco duro. Para ello, basta con crear un archivo .URL, y ponerle como ubicación de su icono el comando. Así, cuando Windows vaya a cargar la miniatura del icono del archivo, el comando se ejecuta sin que ni siquiera tengamos que abrir el archivo. El archivo puede esconderse dentro de archivos .ZIP, donde al descomprimirlos ya puede ejecutarse el comando.

7. Se recomienda:

• Para mitigar el fallo se recomienda actualizar al a versión más reciente.

• Otra de las fuentes de virus es el software que descargamos de Internet creyendo que son algo inofensivo. Quizás piensas que te estás descargando un antivirus, pero lo que estás bajándote en realidad es un peligroso malware disfrazado de antivirus.

Fuentes de información hxxps://blog.segu-info.com.ar/2021/01/bug-en-windows-10-permite-corromper-el.html?m=1

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 08-01-2021

Página: 5 de 32

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Nueva campaña distribuye el troyano RokRat Tipo de ataque Troyano Abreviatura Troyano Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C01 Clasificación temática familia Código malicioso

Descripción

1. El 8 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se obtuvo conocimiento que el grupo de Amenaza persistente Avanzada 37 (APT-37) de Corea del Norte, también conocido como ScarCruft, Reaper y Group123, viene utilizando el troyano de acceso remoto “RokRat” mediante una campaña de phishing, dirigido al gobierno de Corea del Sur. Este troyano ejecuta una macro en la memoria para instalar la mencionada herramienta de acceso remoto (RAT). El archivo contiene una macro incrustada que utiliza una técnica de autodescodificación de VBA (Visual Basic para aplicaciones) para descodificarse a sí mismo dentro de los espacios de memoria de Microsoft Office sin escribir en el disco. Luego incrusta una variante de RokRat en el Bloc de notas.

2. La principal responsabilidad de la macro incrustada en el archivo es inyectar un Shellcode a un proceso Notepad.exe que descarga la carga útil de RokRat en formato cifrado desde una URL de Google Drive.

3. Recomendaciones:

• Evitar descargar y abrir archivos de fuentes de dudosa procedencia.

• Realizar copias de seguridad periódicas en los equipos.

• Mantener el conocimiento de las últimas amenazas y zonas vulnerables de la organización.

• Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 9-01-2021

Página: 6 de 32

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Aplicación maliciosa “Telegram Update.apk” Tipo de ataque Troyanos Abreviatura Troyanos Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C01 Clasificación temática familia Código malicioso

Descripción

1. El 9 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un nuevo aplicativo fraudulento denominada “Telegram Update.apk”, que viene circulando por redes sociales, el cual invita al usuario descargar e instalarlo desde una tienda de aplicaciones digitales. Para ser instalado, solicita al usuario acceso a llamadas del teléfono, localización, bluetooth, cámara, registro de llamadas e internet.

2. Por otro lado, se analizó su SHA-256: c927993e134cd7c67bd3c41a0637ee66f8eb0a1103adbf330ba4d62ed053921c en la página web “Virus Total”, donde es catalogado como troyano.

3. Recomendaciones:

• Evitar descargar e instalar aplicaciones de plataformas no oficiales.

• Realizar copias de seguridad periódicas en los equipos móviles.

• En lo posible contar con antivirus para la protección del equipo móvil.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 10-01-2021

Página: 7 de 32

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Suplantan identidad de Banco BCP Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 10 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un sitio web fraudulento (hxxps://moultrieurology.com/smsviabcp.bcp.peru.activar.tus.cuentas/personas/iniciar-sesion) que suplanta la página del Banco de Crédito del Perú (BCP) para realizar estafas cibernéticas. Al ingresar a dicho enlace, solicita al usuario iniciar sesión para acceder a la plataforma del banco, esta modalidad tiene como la finalidad robar datos personales y credenciales de su cuenta bancaria.

2. Cabe resaltar, que dicho enlace se encuentra activo y que la página “Virus Total” lo detecta como malicioso.

3. Recomendaciones:

• Evitar ingresar a enlaces no confiables.



Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 12-01-2021

Página: 8 de 32

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Nuevo malware “Sunspot” Tipo de ataque Malware Abreviatura Malware Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso.

Descripción

1. El 12 de enero de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de un nuevo malware denominado “Sunspot”, fue utilizado en el ataque a la empresa SolarWinds. Este malware está diseñado para vigilar el servidor de compilación en busca de procesos asociados al producto Orion (uno de los principales productos de SolarWinds). Una vez que se detecta dicho comando, el malware reemplaza de forma silenciosa los archivos de código fuente dentro de la aplicación Orion con archivos que cargan otro malware (Sunburst).

2. El malware Sunburst se activará dentro de las redes internas de empresas y agencias gubernamentales, permitiendo que el atacante recopile y envíe la información.

3. Recomendaciones:




Fuentes de información Comandancia de Ciberdefensa de la Marina, OSINT.

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 010

Fecha: 13-01-2021

Página: 9 de 32

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Nuevo malware “Rogue” Tipo de ataque Malware Abreviatura Malware Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso.

Descripción

1. El 13 de enero de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un nuevo malware denominado “Rogue”, que parece ser la última versión del malware llamado “Dark Shades v6.0”, el cual cuenta con una amplia gama de funciones para obtener el control sobre el dispositivo host y exfiltrar cualquier tipo de datos (como fotos, ubicación, contactos y mensajes), modificar los archivos en el dispositivo e incluso descargar cargas útiles maliciosas adicionales, asegurando al mismo tiempo que el usuario concede permisos intrusivos para llevar a cabo sus actividades maliciosas.

2. Además, está diseñado para frustrar la detección al ocultar el icono del dispositivo del usuario, eludir las restricciones de seguridad de Android al explotar las funciones de accesibilidad para registrar las acciones del usuario y registra su propio servicio de notificación para espiar cada notificación que aparece en el teléfono infectado.

3. Rogue también utiliza la infraestructura Firebase de Google como un servidor de comando y control (C2) para disfrazar sus intenciones maliciosas, abusando de la función de mensajería en la nube de la plataforma para recibir comandos del servidor, Realtime Database y Cloud Firestore para cargar datos y documentos acumulados del dispositivo víctima.

4. Recomendaciones:




http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 14-01-2021

Página: 10 de 32

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Aplicación maliciosa “WhatsApp-PRO.apk” Tipo de ataque Troyanos Abreviatura Troyanos Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C01 Clasificación temática familia Código malicioso

Descripción

1. El 14 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó un nuevo aplicativo fraudulento denominada “WhatsApp-PRO.apk”, que viene circulando por redes sociales, el cual invita al usuario a descargar e instalar desde una tienda de aplicaciones digitales. Al instalar el aplicativo, solicita al usuario privilegios de acceso a llamadas telefónicas, mensaje de texto y contactos.

2. Por otro lado, se analizó su SHA-256: 3108a8f33ffbc3246a88a5d998f289248dde40172df8d593625fa08cdcaa6976 en la página web “Virus Total”, donde es catalogado como troyano.

3. Recomendaciones:

• Evitar descargar e instalar aplicaciones de plataformas no oficiales.

• Realizar copias de seguridad periódicas en los equipos móviles.

• En lo posible contar con antivirus para la protección del equipo móvil.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 15-01-2021

Página: 11 de 32

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta “Oski” representa un nuevo malware Tipo de ataque Malware Abreviatura Malware Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso.

Descripción

1. El 15 de enero de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un nuevo malware denominado “Oski” que tiene como objetivo adquirir activamente datos confidenciales y sensibles, que consiste en nombres oficiales de los usuarios, contraseñas de sus sistemas e información financiera (credenciales).

2. Una vez instalado con éxito, Oski comienza a reunir una gran cantidad de datos personales de la víctima, para luego, utilizar estos datos sensibles de forma ilegal con el fin de obtener ingresos.

3. Asimismo, este malware está escrito en lenguaje C++ y puede funcionar como un descargador para descargar otro malware en segundo plano.

4. Recomendaciones:






http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 13-01-2021

Página: 12 de 32

Componente que reporta DIRECCIÓN DE INTELIGENCIA – FUERZA AÉREA DEL PERÚ

Nombre de la alerta Difusión de malware-troyano por medio de noticias falsas

Tipo de ataque Malware Abreviatura Malware


Código de familia C Código de subfamilia C02

Clasificación temática familia Código Malicioso

Descripción

1. El 13ENE2020, se detectó que grupos de hackers vienen difundiendo un video falso respecto a un escándalo de índole

sexual del presidente de Los Estados Unidos de América, Donald Trump; con el fin de distribuir un troyano (RAT) de acceso remoto. El mensaje se difunde a través de un correo electrónico titulado “GOOD LOAN OFFER”, el cual tiene adjunto un archivo java (.jar) de nombre “TRUMP_SEX_SCANDAL_VIDEO.jar”; al ser descargado se instala automáticamente el archivo malicioso Qua o Quaverse RAT (QRAT) en la computadora de la víctima.

2. El QRAT es un troyano de acceso remoto que permite la obtención de información del sistema, la realización de operaciones de archivos y la adquisición de credenciales de aplicaciones como Google Chrome, Firefox, Thunderbird y Microsoft Outlook. Así mismo, este troyano informa a la víctima antes de ejecutarse, por lo que posiblemente reciba un mensaje de autorización, el cual debe ser validado por la víctima al hacer click en el botón “acepto”.

3. Recomendaciones

El personal que haga uso de los distintos medios de comunicación en el ciberespacio (correo electrónico, whatsapp, telegram, etc.), deberán tener en cuenta la fuente de la cual reciben el correo antes de abrir o ejecutar cualquier archivo que este contenga, ya que podrían ser víctimas de un ataque cibernético.

Fuentes de información hxxps://thehackernews.com/2021/01/hackers-using-fake-trumps-scandal-video.html

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 13-01-2021

Página: 13 de 32


Nombre de la alerta WhatsApp desactivará su cuenta si no acepta compartir datos con Facebook

Tipo de ataque Acceso no autorizado a carpetas privadas Abreviatura AccNoAutCarpPri

Medios de propagación Dispositivos electrónicos, red e internet

Código de familia A Código de subfamilia A01

Clasificación temática familia Acceso no autorizado

Descripción

1. El 13ENE2021, la página web “The Hacker News”, publicó un informe sobre las nuevas políticas de privacidad del WhatsApp, las cuales tienen que ser aceptadas antes de la fecha límite, caso contrario las cuentas de los usuarios estarán inaccesibles, los perfiles permanecerán inactivos y WhatsApp terminará eliminando las cuentas después de 120 días de inactividad .

2. La actualización obligatoria de WhatsApp le permite compartir más datos de los usuarios con otras plataformas de Facebook, incluida la información de registro de la cuenta, números de teléfono, datos de transacciones, información relacionada con el servicio, interacciones en la plataforma, información del dispositivo móvil, dirección IP y otros datos recopilados de los usuarios.

3. Asimismo, detalla que las actualizaciones y/o políticas de intercambio de datos con Facebook y sus otros servicios no se aplicaran en los Estados de la Unión Europea (EU), en vista que forman parte del Espacio Económico Europeo (EEE), que se rigen por el reglamento general de protección de datos (GDPR).

4. Recomendaciones

Utilizar otros medios aplicaciones como Telegram que es un medio más seguro hasta el momento.

Fuentes de información hxxps://thehackernews.com/2021/01/whatsapp-will-delete-your-account-if.html

http://www.gob.pe/


https://faq.whatsapp.com/general/account-and-profile/about-inactive-account-deletion/?lang=fb

https://faq.whatsapp.com/general/account-and-profile/about-inactive-account-deletion/?lang=fb


www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 14-01-2021

Página: 14 de 32


Nombre de la alerta Vulnerabilidad de escalamiento de privilegios de Cisco en servicio de Connected Mobile Experiences

Tipo de ataque Abuso de privilegios o de políticas de seguridad

Abreviatura AbuPrivPolSeg


Código de familia K Código de subfamilia K01

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 14ENE2021, se tuvo conocimiento de la vulnerabilidad CVE-2021-1144 que afecta a los productos de CISCO que ofrecen el servicio Connected Mobile Experiences (CMX) que se usa mediante redes inalámbricas para enviar contenido personalizado a los dispositivos móviles y reunir información sobre los clientes para tomar mejores decisiones de negocio.

Esta vulnerabilidad está considerada con una puntuación de 8.8/10 (nivel alto), y aprovecha el manejo incorrecto de las verificaciones de autorización para cambiar una contraseña; asimismo, esta vulnerabilidad afecta a las versiones 10.6.0, 10.6.1 y 10.6.2 de Cisco que usan el servicio CMX.

Por otro lado, esta vulnerabilidad permite al atacante, mediante un exlploit enviar una solicitud HTTP modificada a un dispositivo afectado y alterar las contraseñas de cualquier usuario en el sistema para luego hacerse pasar por ese usuario autenticado sin privilegios.

2. Recomendaciones

Las unidades u organizaciones que hagan uso de este servicio de la empresa de CISCO, deberán tener en cuenta estas vulnerabilidades y solicitar una actualización de los parches de seguridad.

Fuentes de información hxxps://nvd.nist.gov/vuln/detail/CVE-2021-1144

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 14-01-2021

Página: 15 de 32


Nombre de la alerta Nuevo troyano bancario para Android

Tipo de ataque Troyano Abreviatura Troyano

Medios de propagación USB, disco, red, correo, navegación de internet


Clasificación temática familia Código malicioso

Descripción

1. El 14ENE2021, se detectó un nuevo malware para Android dedicada al robo de credenciales bancarias de aquellos usuarios que instalan en sus dispositivos aplicaciones maliciosas, el cual fue subido al sitio web “VirusTotal”, luego de que un usuario de Twitter “MalwareHunterTeam” publicara el hash de la muestra y las imágenes de las detecciones de las diferentes violaciones de seguridad para Android.

2. Asimismo, para lograr detectar el momento en el que el usuario abre la aplicación legítima, el malware bancario para Android aprovecha los permisos de accesibilidad, que se solicitan cuando el usuario ejecuta la aplicación maliciosa tras su instalación. Esto permite al malware instalar un servicio de accesibilidad en el dispositivo al que se notifican todos los eventos de accesibilidad que se producen (pulsaciones de botones, cambios en campos de texto, etc). Cabe resaltar que este malware recibe la información asociada, permitiéndole determinar si se ha abierto una aplicación bancaria de entre las afectadas, en cuyo caso se procede a mostrar una vista web con un formulario de phishing similar a la ventana de inicio de sesión legítima de la entidad.

3. Recomendaciones

Se recomienda no instalar aplicaciones fuentes confiables, ya que este tipo de malware suele distribuirse a través de páginas web fraudulentas como falsas actualizaciones del reproductor multimedia y otras aplicaciones.

Fuentes de información hxxps://unaaldia.hispasec.com/2021/01/detectado-un-nuevo-troyano-bancario-para-android.html

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 14-01-2021

Página: 16 de 32


Nombre de la alerta Vulnerabilidad Crítica en productos NVIDIA

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC




Descripción

1. El 14ENE2021, el equipo de seguridad de la compañía NVIDIA, realizó un anuncio donde indica la publicación de actualizaciones de seguridad en sus controladores de pantalla GPU y software vGPU, donde se corrigen dieciséis (16) vulnerabilidades de nivel crítico.

2. Seis (06) de las vulnerabilidades reportadas están presentes en el controlador de pantalla de GPU, tres solo afectan a los sistemas Windows, una afecta a todos los sistemas Linux y las dos últimas a ambos sistemas operativos, la vulnerabilidad más grave reportada de todas ellas recibe una puntuación de 8.4/10 que está identificada con el codigo CVE-2021-1051, el problema reside en el mismo controlador de GPU para los sistemas operativos Windows, el mismo que podría ser aprovehado por un ciberdelincuente de forma remota y realizar una Denegación de Servicio (DoS) y tener la capacidad de tener permisos de administrador.

http://www.gob.pe/



www.gob.pe

[email protected]

3. Del mismo modo, el resto de errores reportados afectan al plugin vGPU del administrador de Nvidia y podrían conducir a la pérdida de integridad y confidencialidad, que tendrían como consecuencia la modificación de datos y divulgación de información potencialmente confidencial. Estos fallos recibieron puntajes CVSS inferiores a 5.5/10.

4. Recomendaciones Los usuarios que tengan instalados dispositivos de la marca NVIDIA, deberán de instalar las actualizaciones para solucionar los errores en los controladores de pantalla GeForce, NVIDIA RTX/Quadro y NVS para sistemas Windows y Linux, además de actualizar los controladores Tesla para Windows.

Fuentes de información

▪ hxxps://unaaldia.hispasec.com/2021/01/vulnerabilidad-critica-de-nvidia.html ▪ hxxps://www.nvidia.com/en-us/security/ ▪ hxxps://nvidia.custhelp.com/app/answers/detail/a_id/5142 ▪ hxxps://nvd.nist.gov/vuln-metrics/cvss/v3-

calculator?vector=AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 14-01-2021

Página: 18 de 32


Nombre de la alerta Cibercriminales filtran documentos robados sobre la vacuna para el COVID-19

Tipo de ataque Robo de Información Abreviatura ROBLNFO

Medios de propagación Red, internet, redes sociales

Código de familia K Código de subfamilia K01

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 14ENE2021, la Agencia Europea de Medicamentos (EMA), encargada de evaluar y aprobar medicamentos para la Unión Europea (UE), reveló que ciberdelincuentes publicaron en Internet una parte de los documentos relacionados con las vacunas contra el COVID-19 que fueron robados el mes pasado en un ciberataque y que las autoridades encargadas de hacer cumplir la ley están tomando las medidas necesarias.

2. Los datos a los que tuvieron acceso los ciberdelincuentes incluían “capturas de pantalla de correo electrónico, comentarios de revisiones realizadas por partes de la EMA, documentos de Word, archivos PDF y presentaciones de PowerPoint”. Las empresas afectadas fueron notificadas sobre el incidente a su debido tiempo.

3. Recomendaciones

Hacer copias de seguridad, cambios de contraseñas, contar con antivirus actualizados, restricción de accesos a los equipos, análisis periódicos en el servidor.

Fuentes de información

hxxps://www.welivesecurity.com/la-es/2021/01/14/cibercriminales-filtran-documentos-

robados-sobre-vacuna-covid-

19/?utm_campaign=welivesecurity&utm_source=twitter&utm_medium=social

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 15-01-2021

Página: 19 de 32


Nombre de la alerta Al descubierto troyano llamado ROGUE que permite el acceso remoto a dispositivos Android





Descripción

1. 15ENE2021, Investigadores de la compañía Check Point Software Technologies Ltd, descubrieron un nuevo troyano llamado ROGUE que permite acceso remoto a sistemas operativos Android. Este tipo de malware puede obtener control de modificar y robar cualquier tipo de datos, como fotos, ubicación, contactos, mensajes y puede cargar software maliciosos ocultos en aplicaciones web para móviles, mediante el aprovechamiento de la plataforma de Firebase, servicio proporcionado por Google para el desarrollo de aplicaciones web y aplicaciones móviles como: Mensajería en la nube, Base de datos en tiempo real (para cargar datos desde el dispositivo) y Cloud Firestore (para cargar archivos), el mismo que utiliza para ocultar sus actividades ilícitas.

2. Recomendaciones

Los usuarios de las unidades u organizaciones deberán tener en cuenta al instalar aplicaciones desconocidas en sus dispositivos móviles que hagan uso del servicio de la plataforma de Firebase.

Fuentes de información hxxps://securityaffairs.co/wordpress/113369/malware/rogue-android-rat-darkweb.html

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 15-01-2021

Página: 20 de 32


Nombre de la alerta Ataque contra gobierno y empresas de Colombia





Descripción

1. El 15ENE2021, se detectó mediante un informe publicado por ESET, ataques denominados “Operación Spalax”, los cuales iniciaron el 2020. Estos ataques se dan por medio de correos electrónicos de phishing, que conducen a la descarga de archivos maliciosos, por medio de archivos “.rar” alojados en OneDrive o MediaFire los cuales contienen varios droppers responsables de descifrar y ejecutar RAT (Troyano de Acceso Remoto) como Remcos, njRAT y AsyncRAT en una computadora victimizada.

2. Los correos electrónicos de esta campaña de phishing se caracterizan por tratar temas relacionados con infracciones de tránsito, asistencia a audiencias judiciales y pruebas obligatorias de COVID-19, lo que aumenta la probabilidad de que usuarios desprevenidos abran los mensajes.

http://www.gob.pe/



www.gob.pe

[email protected]

3. Así mismo, las RAT no solo tienen capacidades de control remoto, sino también la capacidad de espiar objetivos capturando pulsaciones de teclas, grabando capturas de pantalla, robando datos del portapapeles, ex filtrando documentos confidenciales e incluso descargando y ejecutando otro malware.

4. Recomendaciones

El personal que trabaje para entidades del estado y privadas debe verificar la información que descarga de sus correos electrónicos, evitando descargar archivos “.rar” de dudosa procedencia ya que estos pueden contener software malicioso.

Fuentes de información hxxps://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha : 15-01-2021

Página: 22 de 32


Nombre de la alerta FBI advierte a compañías sobre ataques del ransomware “Egregor” en todo el mundo

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Red, internet, redes sociales



Descripción

1. El 15ENE2021, mediante un comunicado de la agencia norteamericana Buró Federal de Investigaciones (FBI), se advirtió a todas las empresas y compañías, sobre el ataque de ransomware “Egregor”, que ya afectó a más de 150 víctimas en distintas partes del mundo, robando información y cifrando archivos para luego solicitar un rescate utilizando diferentes tácticas para lograr sus objetivos.

2. Cabe resaltar que, el ransomware “Egregor”, es distribuido por varios grupos de ciberdelincuentes, por lo que las tácticas empleadas para comprometer los equipos de sus víctimas pueden ser muy diferentes entre un ataque y otro. “Egregor” utiliza correos de phishing con archivos adjuntos maliciosos con el objetivo de acceder a redes corporativas y a cuentas personales de empleados.

3. Así mismo, se detectado que “Egregor” puede usar del protocolo de escritorio remoto (RDP) o de servicios de VPN para obtener acceso a las redes, utilizando también esto para moverse lateralmente dentro de las mismas. Este malware utiliza algunas herramientas conocidas como pentesting Cobalt Strike, Qbot, la herramienta de escaneo de redes Advanced IP Scanner o AdFind y 7zip o Rclone.

4. Recomendaciones

Realizar un Backup de La Información de forma periódica y mantener los respaldos con información sensible sin acceso a Internet. Utilizar una solución de seguridad confiable en cada uno de los dispositivos y mantenerla actualizada. Evitar hacer clic en archivos adjuntos recibidos por medio de correos extraños, implementar el doble factor de autenticación siempre que sea posible, y conectarse a redes seguras evitando principalmente redes Wii-Fi públicas.

Fuentes de información hxxps://www.welivesecurity.com/la-es/2021/01/08/fbi-advierte-companias-ataques-ransomware-egregor-en-mundo/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 15-01-2021

Página: 23 de 32

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Vulnerabilidad crítica en Apache Velocity impactan en sitios web gubernamentales





Descripción

1. Resumen:

Especialistas en ciberseguridad revelaron el hallazgo de una vulnerabilidad de severidad crítica de tipo secuencia de comandos en sitios cruzados o Cross-site scripting (XSS) en Apache Velocity Tools que podría ser explotada por actores de amenazas para comprometer sitios web del gobierno de EE. UU., incluyendo la NASA. La falla fue reportada hace 90 días, aunque al parecer no ha sido corregida hasta la fecha. La explotación de esta vulnerabilidad también podría permitir a un actor de amenazas recopilar las cookies de sesión de usuarios registrados y secuestrar una gran cantidad de sesiones.

2. Detalles:

El investigador de seguridad Jackson Henry, del grupo de piratería ética Sakura Samurai, había descubierto e informado por primera vez la vulnerabilidad XSS a Apache a principios de octubre de 2020. Aunque el proyecto reconoció el informe de Henry y emitió una solución públicamente visible en GitHub el 5 de noviembre de 2020, nunca se llevó a cabo una divulgación pública adecuada, lo que dejó a los investigadores de Sakura Samurai preocupados.

El cross-site scripting (XSS) es un tipo de vulnerabilidad informática muy común en las aplicaciones web que permite a los atacantes colocar secuencias de comandos maliciosas en páginas web y, a su vez, instalan malware en los navegadores web de los usuarios. Estos ataques no se limitan solamente a las páginas web disponibles en Internet, sino que también puede haber aplicaciones que tengas instaladas en tu ordenador que sean vulnerables a estos ataques de cross-site scripting (XSS).

Apache Velocity es un motor de plantillas basado en Java utilizado por los desarrolladores para diseñar vistas en una arquitectura Modelo-Vista-Controlador (MVC). Velocity Tools es un subproyecto que comprende clases que facilitan aún más la integración de Velocity en aplicaciones web y estándar.

Los expertos mencionan que la falla está presente en todas las versiones de Velocity Tools a pesar de que se publicó una corrección desde hace meses. Aunque no se ha completado formalmente el proceso formal de divulgación, la falla fue identificada como CVE-2020-13959.

La clase Apache Velocity Tools que contiene esta falla está incluida en más de 2600 binarios únicos de aplicaciones de software prominentes disponibles para descargar desde npm, PyPI, Maven Central y otros repositorios de código abierto. La popularidad del componente entre los desarrolladores hace que la divulgación oportuna de las vulnerabilidades que afectan a Velocity Tools sea crucial.

La falla XSS existe en cómo la clase de vista VelocityViewServlet representa las páginas de error. Cuando se accede a una URL no válida, la página de error “plantilla no encontrada” refleja la parte de la ruta de recursos de la URL tal como está, sin escapar de posibles scripts XSS. Posteriormente, un actor de amenazas podría engañar a una víctima para que haga clic en dicha URL, conduciendo a una página de phishing alterada donde podrá extraer la información de su sesión de inicio de sesión.

Las implementaciones vulnerables son empleadas por múltiples sitios web del gobierno de EE. UU., incluidos *.nasa.gov, y *.gov.au. Las variaciones más sofisticadas de este exploit XSS, cuando se combinan con algunos ataques de ingeniería social, pueden permitir a los atacantes recopilar las cookies de sesión de los usuarios registrados y potencialmente secuestrar sus sesiones. Esto es especialmente relevante para los portales de inicio de sesión de empleados y contratistas alojados en dominios gubernamentales, como el que se muestra a continuación.

CVE-2020-13959

3. Productos afectados:

Todas las versiones de Apache Velocity Tools.

http://www.gob.pe/


https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13959


www.gob.pe

[email protected]

4. Solución:

Es necesario ser proactivo y cuidar nuestra actividad en la red. No debemos ingresar a páginas web que nos parezcan sospechosas y debemos contar con una solución de seguridad y mantener actualizada todas las aplicaciones y navegadores web con la última versión disponible.

• Google Chrome, utiliza un filtro llamado XSSAuditor que analiza la solicitud HTTP y elimina funciones sospechosas de JavaScript.

• Mozilla Firefox, utiliza un filtro XSS que modifica la carga útil mediante entidades HTML o codificaciones de URL. Esto evita que se ejecute código malicioso en el navegador.

• Microsoft Internet Explorer, utiliza un filtro que divide los datos enviados en dos categorías: confiables y no confiables con el objetivo de verificar la ejecución inmediata del código.

En caso de tener o administrar un sitio web es necesario aplicar las siguientes medidas:

• Utilizar frameworks seguros que, por diseño, automáticamente codifican el contenido para prevenir XSS, como en Ruby 3.0o React JS.

• Codificar los datos de requerimientos HTTP no confiables en los campos de salida HTML (cuerpo, atributos, JavaScript, CSS, o URL) resuelve los XSS Reflejado y XSS Almacenado. La hoja de trucos OWASP para evitar XSS tiene detalles de las técnicas de codificación de datos requeridas.

• Aplicar codificación sensitiva al contexto, cuando se modifica el documento en el navegador del cliente, ayuda a prevenir XSS DOM. Cuando esta técnica no se puede aplicar, se pueden usar técnicas similares de codificación, como se explica en la hoja de trucos OWASP para evitar XSS DOM.

• Habilitar una Política de Seguridad de Contenido (CSP) supone una defensa profunda para la mitigación de vulnerabilidades XSS, asumiendo que no hay otras vulnerabilidades que permitan colocar código malicioso vía inclusión de archivos locales, bibliotecas vulnerables en fuentes conocidas almacenadas en Redes de Distribución de Contenidos (CDN) o localmente.

Fuentes de información ▪ hxxps://www.bleepingcomputer.com/news/security/undisclosed-apache-velocity-xss-

vulnerability-impacts-gov-sites/ ▪ hxxps://es.godaddy.com/blog/que-es-el-cross-site-scripting-xss-y-como-puedes-evitarlo/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 15-01-2021

Página: 25 de 32


Nombre de la alerta Múltiples vulnerabilidades críticas en AirWave Glass de Aruba





Descripción

1. Resumen:

Aruba ha publicado 3 vulnerabilidades de severidad CRÍTICA y otra de severidad ALTA de tipo Omisión de autenticación remota mediante falsificación de solicitud del lado del servidor no autenticado, ejecución de comandos arbitrarios no autenticados en la interfaz administrativa web, ejecución de código arbitrario no autenticado en la interfaz administrativa web y múltiples inyecciones de comandos autenticadas a través de glassadmin cli que afecta a AirWave Glass de Aruba. La explotación exitosa de estas vulnerabilidades podría permitir el acceso a la interfaz de administración web o el compromiso total del sistema operativo del host subyacente al entorno Airwave Glass.

2. Detalles:

Existe una vulnerabilidad de falsificación de solicitudes del lado del servidor (Server-Side Request Forgery (SSRF)) a través de un endpoint final, no autenticado, podrían permitir a un atacante la divulgación de información sensible para omitir la autenticación y obtener acceso de administrador en la interfaz de administración web.

También existe una vulnerabilidad causada por una validación de entrada insuficiente que podría permitir a un atacante ejecutar comandos arbitrarios en un entorno de contenedores dentro de Airwave Glass y comprometer el sistema operativo del host subyacente, mediante una validación insuficiente de los datos de entrada o una deserialización insegura de Java.

Además, existen múltiples inyecciones de ejecución remota de código en Airwave Glass, a través de la cli. Glassadmin, podrían permitir a un atacante con privilegios de glassadmin ejecutar código arbitrario, como root, en el sistema operativo host subyacente.

CVE-2020-24638, CVE-2020-24639, CVE-2020-24640, CVE-2020-24641

3. Productos afectados:

AirWave Glass, versión 1.3.2 y anteriores.

4. Solución:

Aruba ha publicado la versión 1.3.3 de Airwave Glass que corrigen estas múltiples vulnerabilidades de seguridad. Igualmente, Aruba recomienda que la cli y la gestión web de las interfaces para Airwave Glass se limitarán a la capa 2 dedicado segmento / VLAN y/o controlado por políticas de firewall en la capa 3 y encima.

Fuentes de información ▪ hxxps://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-

vulnerabilidades-airwave-glass-aruba-0 ▪ hxxps://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-001.txt

http://www.gob.pe/







www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 14-01-2021

Página: 26 de 32


Nombre de la alerta Vínculos entre el backdoor Sunburst y el malware ruso Kazuar


Medios de propagación USB, disco, red, correo, navegación de internet



Descripción

1. Resumen:

Investigadores de Kaspersky han realizado una investigación y han detectado una relación entre el backdoor Sunburst UNC2452 o Dark Halo) utilizado en el incidente de SolarWinds y una cepa de malware ruso llamado Kazuar (Turla). Los puntos en común compartidos entre las dos familias de malware incluyen el uso de un algoritmo de suspensión para permanecer inactivo durante un período aleatorio entre las conexiones a un servidor de comando y control (C2), el uso extensivo del hash FNV-1a para ofuscar el código malicioso y el uso de un hash.

2. Detalles:

Investigadores de Kaspersky han indicado que se han descubierto varias características que se superponen con otro backdoor conocida como Kazuar, un malware basado en .NET documentado por primera vez por Palo Alto Networks en el año 2017. La atribución del compromiso de la cadena de suministro de SolarWinds ha sido difícil en parte debido a la poca o ninguna pista que vincula la infraestructura de ataque con campañas anteriores u otros grupos de amenazas conocidos. Pero en el último análisis de Kaspersky del backdoor Sunburst ha revelado una serie de características compartidas entre el malware y Kazuar.

Los puntos en común compartidos entre las dos familias de malware incluyen el uso de un algoritmo de suspensión para permanecer inactivo durante un período aleatorio entre las conexiones a un servidor C2, el uso extensivo del hash FNV-1a para ofuscar el código malicioso y el uso de un algoritmo para generar identificadores únicos de víctimas. Sunburst utiliza un hash FNV-1a modificado de 64 bits con el propósito de ofuscar cadenas. FNV-1a también ha sido ampliamente utilizado por Kazuar .NET Backdoor desde sus primeras versiones.

Mientras que Kazuar selecciona al azar un período de reposo entre dos y cuatro semanas entre las conexiones C2, Sunburst opta al azar por un período de reposo entre 12 y 14 días antes de contactar al servidor para el reconocimiento inicial. Se indicó que la fórmula utilizada para calcular el tiempo de sueño sigue siendo la misma.

Kazuar es un backdoor con todas las funciones escrita utilizando .NET Framework y se basa en un canal de C2 para permitir que los actores interactúen con el sistema comprometido y exfiltran datos. Sus características abarcan la gama típica de software espía, con soporte para ejecutar comandos maliciosos, capturar capturas de pantalla e incluso implementar funcionalidades adicionales a través de un comando de complemento.

El equipo de la Unidad 42 de Palo Alto Networks vinculó la herramienta al grupo de amenazas ruso Turla también conocido como Uroburos y Snake, basándose en el hecho de que el linaje del código en Kazuar se remonta al menos a 2005.

3. Indicadores de compromiso (IoC):

Hash:

• MD5:150d0addf65b6524eb92b9762db6f074

• SHA-256:60000bc2598eff85a6a83d5302fc3ed2565005d8fd0d9f09d837123a1599ef8d

• MD5:053ddb3b6e38f9bdbc5fb51fdd44d3ac

• SHA-256:2d8151dabf891cf743e67c6f9765ee79884d024b10d265119873b0967a09b20f

• MD5:1f70bef5d79efbdac63c9935aa353955

• SHA-256:1749c96cc1a4beb9ad4d6e037e40902fac31042fa40152f1d3794f49ed1a2b5c

• MD5:2c4a910a1299cdae2a4e55988a2f102e

• SHA-256:019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134

http://www.gob.pe/


https://securelist.com/sunburst-backdoor-kazuar/99981/

https://malpedia.caad.fkie.fraunhofer.de/details/win.kazuar

https://en.wikipedia.org/wiki/Fowler%E2%80%93Noll%E2%80%93Vo_hash_function#FNV-1a_hash


www.gob.pe

[email protected]

4. Recomendaciones:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

Fuentes de información ▪ hxxps://securelist.com/sunburst-backdoor-kazuar/99981/ ▪ hxxps://thehackernews.com/2021/01/researchers-find-links-between-sunburst.html

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 15-01-2021

Página: 28 de 32

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Señuelos de vacuna COVID_19 para difundir phishing

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02


Descripción

1. Resumen:

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “PROOFPOINT”, informa la propagación de señuelos, sobre una campaña de vacuna del COVID-19, su principal objetivo de esta campaña de phishing era robar las credenciales de inicio de sesión de Office 365 (correo electrónico y contraseña). Estos correos electrónicos estaban dirigidos a varios miembros del personal en funciones como vicepresidente, gerente general y director general. Los correos electrónicos se enviaron principalmente a empresas de Estados Unidos.

2. Detalles de los señuelos del COVID-19.

• Los correos electrónicos incitaban a las víctimas potenciales a hacer clic en un enlace para "confirmar su correo electrónico para recibir la vacuna".

• El correo electrónico supuestamente era de un ejecutivo que solicitaba al destinatario su cooperación en la adquisición confidencial de una empresa extranjera.

Imagen: correo electrónico malicioso con una URL. de phishing.

Imagen: correo electrónico malicioso solicitando al destinatario su información personal.

http://www.gob.pe/



www.gob.pe

[email protected]

• Indicadores de compromiso.

o Archivos analizados: Nombre: DESCARGAR-NUEVAS VACUNAS-COVID-19-REPORT-

SAFETY1.xlsx.iso MD5: 070af4c8b6dec6ec5253c217169b7fd7 SHA-1: 4c9367504f569c64a74bd0bb019e6137528c07bf SHA-256: bf78ad88ad9124adde7b3fdfb867b5e848d042ae56acbb75bcfd71962c6a5fd8

Nombre: DESCARGAR-NUEVAS VACUNAS-COVID-19-REPORT-SAFETY1.xlsx.exe

MD5: 9e719a17220c4d93818c356acf9aac13 SHA-1: 047695b12bd793941b178594cfac29e12ac11c83 SHA-256:

2a0b7eba6ec8d395dcc4485e2369c2ec289819c378e0f1f81a87a7622e0da17c

3. Recomendaciones:

• No acceder a los enlaces que porque generalmente puede tratarse de un código malicioso.

• Evitar responder mensajes que le soliciten información personal o financiera para participar en sorteos, ofertas laborales, ofertas comerciales o peticiones de ayuda humanitaria.

• Mantener actualizado el software instalado; sin embargo, debería hacerse usando herramientas integradas y oficiales que las ofrecen los desarrolladores de software oficiales.

Fuentes de información hxxps://www.proofpoint.com/us/blog/threat-insight/attackers-use-covid-19-vaccine-lures-spread-malware-phishing-and-bec

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 14-01-2021

Página: 30 de 32

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Phishing, suplantando la identidad de la empresa de registro de nombres de dominio y hosting web Namecheap

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Resumen:

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo una campaña de phishing, a través de los diferentes navegadores web, suplantando la identidad de la empresa de registro de nombres de dominio y alojamiento web Namecheap (es un registrador de nombres de dominio acreditado por ICANN, que proporciona registro de nombres de dominio y alojamiento web, con sede en Phoenix, Arizona, EE. UU.), con la finalidad obtener información confidencial de las víctimas, como dirección de correo electrónico, contraseñas, tarjetas de crédito, entre otros.

2. Imágenes: Proceso de estafa de los ciberdelincuentes.

1

2

3

Se solicita la

modificación del usuario

y contraseña, ya que los

datos ingresados no

eran los correctos.

Se solicita información

de usuario y contraseña.

Inicio de la plataforma.

http://www.gob.pe/



www.gob.pe

[email protected]

3. La URL Maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo la siguiente información:

• Dominio: normativagruppoisp-web.com

• Talla: 59B

• Sistema operativo: Windows 7 de 32 bits

• Puntuación de amenaza: 50/100

• País: Canadá

• URL: hxxps://normativagruppoisp-web.com/

• Topología URL:

4. Cómo funciona el phishing:

• Los correos electrónicos incluyen enlaces a sitios web preparados por los ciberdelincuentes en los que solicitan información personal.

• Medios de propagación del phishing: WhatsApp, telegram, redes sociales, SMS entre otros.

• Los ciberdelincuentes intentan suplantar a una entidad legitima (organismo público, entidad financiera, servicio técnico, etc.)

5. Referencia:

Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar a los usuarios y conseguir que se revele información personal, como contraseñas, datos de tarjetas de crédito o de la seguridad social y números de cuentas bancarias, entre otros.

6. Recomendaciones

• Verifica la información en los sitios web oficiales.

• No introduzcas datos personales en páginas sospechosas.

• Mantener el sistema operativo actualizado.

• No descargue ni abra archivos de fuentes no confiables.

Fuentes de información Análisis propio de redes sociales y fuente abierta

http://www.gob.pe/


hxxps://normativagruppoisp-web.com/


www.gob.pe

[email protected]

Página: 32 de 32

Índice alfabético

Abuso de privilegios o de políticas de seguridad ............................................................................................................ 14 Acceso no autorizado ...................................................................................................................................................... 13 Acceso no autorizado a carpetas privadas ...................................................................................................................... 13 Código malicioso ...................................................................................................................... 5, 6, 8, 9, 10, 11, 15, 26, 28 Explotación de vulnerabilidades conocidas ............................................................................................... 3, 16, 19, 23, 25 Fraude .......................................................................................................................................................................... 7, 30 Intento de intrusión ................................................................................................................................... 3, 16, 19, 23, 25 internet ........................................................................................................................................................................ 6, 13 malware ............................................................................................................... 4, 8, 9, 11, 12, 15, 19, 21, 22, 23, 26, 29 Malware ............................................................................................................................................. 4, 8, 9, 11, 12, 20, 26 phishing ............................................................................................................................. 5, 15, 20, 22, 23, 28, 29, 30, 31 Phishing ........................................................................................................................................................... 7, 28, 30, 31 ransomware ..................................................................................................................................................................... 22 Ransomware .................................................................................................................................................................... 22 Red, internet ................................................................................................................ 4, 12, 14, 16, 18, 19, 20, 22, 23, 25 Red, internet, redes sociales ..................................................................................................................................... 18, 22 redes sociales ..................................................................................................................................................... 1, 6, 10, 31 Redes sociales .......................................................................................................................................... 7, 8, 9, 11, 28, 30 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ............................................................ 7, 28, 30 servidor ........................................................................................................................................................ 8, 9, 18, 25, 26 software .................................................................................................................... 4, 5, 7, 8, 9, 11, 16, 19, 21, 23, 26, 29 Troyanos ...................................................................................................................................................................... 6, 10 URL ......................................................................................................................................................... 4, 5, 23, 24, 28, 31 USB, disco, red, correo, navegación de internet ......................................................................................... 5, 6, 10, 15, 26 Uso inapropiado de recursos ..................................................................................................................................... 14, 18 Vulnerabilidad.............................................................................................................................................. 3, 4, 14, 16, 23

http://www.gob.pe/


lima, 15 de enero de 2021

Documents