lima, 19 de agosto de 2020...14 de agosto de 2020 o archivos robados de canon usa filtrados por la...
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 19 de agosto de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Vulnerabilidades en PostgreSQL ................................................................................................................... 3
Ataque de ransomware Darkside .................................................................................................................. 4
La semana en Ransomware - Crimen simplificado ........................................................................................ 5
Suplantan sitio web ....................................................................................................................................... 7
Crean sitio web fraudulento de programa Quedate En Casa ........................................................................ 8
Malware “IcedID” renovado con nuevas capacidades para evadir la detección ........................................10
Detección de botnet FritzFrog peer-to-peer (P2P), también conocida como GOZ, Mapp, ZeuS P2P,
dirigido a servidores SSH. ............................................................................................................................11
Índice alfabético ..........................................................................................................................................13
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 137
Fecha: 19-08-2020
Página: 3 de 13
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Vulnerabilidades en PostgreSQL
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red e internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que especialistas en ciberseguridad, han reportan el hallazgo de dos vulnerabilidades en el sistema de gestión de bases de datos de código abierto PostgreSQL. La explotación exitosa de estas fallas de seguridad permitiría realizar escaladas de privilegios en los sistemas afectados.
2. Detalles de la alerta:
PostgreSQL también llamado Postgres, es un sistema de gestión de bases de datos relacional orientado a objetos y de código abierto.
Un equipo de especialistas en ciberseguridad, han detectado dos vulnerabilidades identificados con los códigos CVE-2020-14349 y CVE-2020-14350, cuya explotación exitosa podría permitir realizar escaladas de privilegios en los sistemas afectados.
A continuación, se presentan breves descripciones de las vulnerabilidades reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2020-14349: La forma en que PostgreSQL maneja search_path durante las replicaciones permite a los actores de amenazas remotos escalar privilegios dentro de la base de datos afectada.
Los usuarios de un editor de replicación pueden crear objetos en el esquema público y aprovecharlos para ejecutar funciones SQL arbitrarias bajo la identidad que ejecuta la replicación, a menudo un superusuario. Esta es una falla de severidad media que recibió un puntaje de 4.7/10 en la escala de CVSS.
CVE-2020-14350: La forma en que PostgreSQL maneja las declaraciones CREATE EXTENSION permitiría a los actores de amenazas escalar privilegios en el sistema objetivo.
Según los especialistas, un usuario remoto con permiso para crear objetos en el esquema de la nueva extensión o un esquema de una extensión de requisito previo puede ejecutar funciones SQL arbitrarias bajo la identidad del superusuario.
Asimismo, Las versiones de PostgreSQL afectadas por estas vulnerabilidades son: 9.5, 9.5.0, 9.5.1, 9.5.2, 9.5.3, 9.5.4, 9.5.5, 9.5.6, 9.5.7, 9.5.8, 9.5.9, 9.5.10, 9.5. 11, 9.5.12, 9.5.13, 9.5.14, 9.5.15, 9.5.16, 9.5.17, 9.5.18, 9.5.19, 9.5.20, 9.5.21, 9.5.22, 9.6.0, 9.6.1, 9.6.2, 9.6.3, 9.6.4, 9.6.5, 9.6.6, 9.6.7, 9.6.8, 9.6.9, 9.6.10, 9.6.11, 9.6.12, 9.6. 13, 9.6.14, 9.6.15, 9.6.16, 9.6.17, 9.6.18, 10.0, 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 10.10, 10.10.4, 10.11, 10.12, 10.13, 11.0, 11.1, 11.2, 11.3, 11.4, 11.5, 11.6, 11.7, 11.8, 12.0, 12.1, 12.2, 12.3.
Cabe precisar, si bien estas fallas de seguridad podrían ser explotadas de forma remota por los ciberdelincuentes no autenticados, aún no se detectan intentos de explotación activa. Las actualizaciones ya están disponibles.
3. Recomendaciones:
Actualizar los parches de seguridad del sitio web oficial del fabricante.
Tener un antivirus o antimalware activo y estar actualizado.
Actualizar el sistema operativo.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 137
Fecha: 19-08-2020
Página: 4 de 13
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Ataque de ransomware Darkside
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. El 19 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre el nacimiento de una nueva familia de ransomware llamada Darkside (detectada por Trend Micro como Ransom[.]Win32[.]DARKSIDE.YXAH-THA). Los operadores detrás de este ransomware amenazan con publicar los datos de las víctimas que no pagan, una táctica similar empleada por los operadores de familias de ransomware como Maze y Nefilim. Asimismo, informan que la extensión de archivo utilizada para agregar los nombres de los archivos cifrados se basa en la dirección MAC de la víctima.
2. Según la fuente, los actores de la amenaza detrás del ransomware verifican la capacidad financiera de la posible empresa objetivo. A partir de ahí, determinan cuánto rescate pagarán sus objetivos. También se indicó que los operadores no atacarán organizaciones de los sectores médico, educativo, sin fines de lucro y gubernamental.
3. La imagen demuestra como vería el usuario su pantalla, cuando haya sido víctima de Ransomware, aquí le indican que no puede usar su propia información.
4. Se recomienda:
Los usuarios deben desarrollar buenas prácticas de seguridad para hacer frente a una variedad de amenazas.
Solo descargue aplicaciones de centros de descarga oficiales o tiendas de aplicaciones.
Nunca haga clic en enlaces y descargue archivos adjuntos de correos electrónicos o cualquier otro mensaje que provenga de fuentes no confiables.
Actualice regularmente el software y las aplicaciones para asegurarse de que se reparen las últimas vulnerabilidades.
Equipe los sistemas con soluciones de seguridad que puedan bloquear y defender contra amenazas.
Fuentes de información https[:]//www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/threat-recap-darkside-crysis-negasteal-coinminer
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 137
Fecha:19-08-2020
Página: 5 de 13
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta La semana en Ransomware - Crimen simplificado Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico, redes sociales, entre otros Código de familia C Código de subfamilia C01 Clasificación temática familia Código Malicioso
Descripción
1. El 19 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información que se detalla a continuación: El Ransomware continúa su asedio a organizaciones en todo el mundo, con nuevas variantes lanzadas todos los días y se continúan reportando ataques. La noticia más importante de esta semana es la información sobre un conjunto de herramientas de piratería que facilita que los piratas informáticos sin experiencia comprometan una red e implementen un rescate.
2. Este 'Kit de herramientas' es utilizado por la operación Dharma Ransomware-as-a-Service e incluye todas las herramientas que un aspirante a pirata informático necesita para extenderse lateralmente a través de una red mientras roban las credenciales de los usuarios. Contribuyentes y los que proporcionaron nueva información ransomware y las historias de esta semana incluyen: @DanielGallagher , @FourOctets , @BleepinComputer , @serghei , @malwareforme , @Seifreed , @malwrhunterteam , @PolarToffee , @VK_Intel , @ demonslay335 , @struppigel , @fwosar , @jorntvdw , @LawrenceAbrams , @Ionut_Ilascu , @ xiaopao80087499 , @ 3xp0rtblog , @JakubKroustek , @TopLineComms, @SophosLabs y @thepacketrat.
9 de agosto de 2020
Nueva variante GET Dharma Ransomware
Jakub Kroustek encontró una nueva variante de Dharma Ransomware que agrega la extensión .get .
10 de agosto de 2020
Avaddon ransomware lanza un sitio de filtración de datos para extorsionar a las víctimas.
Avaddon ransomware es la última operación de ciberdelito para lanzar un sitio de filtración de datos que se utilizará para publicar los datos robados de las víctimas que no pagan una demanda de rescate.
o Nueva variante de OOON STOP Ransomware.
Michael Gillespie encontró una nueva variante de ransomware STOP que agrega la extensión [.oonn] a los archivos cifrados.
o Nueva variante de BigLock ransomware.
Michael Gillespie encontró una nueva variante de ransomware BigLock que agrega la extensión [.pandemic] a los archivos cifrados y suelta una nota de rescate llamada PROTECT.txt .
o Nueva variante de XATI Dharma Ransomware.
Michael Gillespie encontró una nueva variante de ransomware Dharma que agrega la extensión [.xati] a los archivos cifrados.
o Nueva variante de Matrix Ransomware.
Michael Gillespie encontró una nueva variante de ransomware Matrix que agrega el [.AB89] a los archivos cifrados y suelta una nota de rescate llamada AB89_INFO.rtf .
11 de agosto de 2020 o Ciudad de Colorado obligada a pagar un rescate de $ 45,000 para descifrar archivos. o Una ciudad en Colorado, EE. UU., Se vio obligada a pagar $ 45,000 después de que los dispositivos de la ciudad
fueron encriptados en julio y no pudieron restaurar los archivos necesarios desde la copia de seguridad.
12 de agosto de 2020 o Dharma ransomware creó un conjunto de herramientas de piratería para facilitar el ciberdelito. o La operación Dharma Ransomware-as-a-Service (RaaS) facilita que un aspirante a ciberdelincuente ingrese al
negocio del ransomware al ofrecer un conjunto de herramientas que hace casi todo por ellos.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
13 de agosto de 2020
o Nuevo ransomBlox ransomware.
o Xiaopao encontró un nuevo ransomware llamado ransomBlox.
14 de agosto de 2020
o Archivos robados de Canon USA filtrados por la banda de ransomware Maze.
o Una banda de ransomware ha publicado archivos no cifrados presuntamente robados a Canon durante un ataque de ransomware a principios de este mes.
o Más del 25% de todas las universidades del Reino Unido fueron atacadas por ransomware.
Un tercio de las universidades del Reino Unido que respondieron a una solicitud de libertad de información (FOI) admitieron ser víctimas de un ataque de ransomware. Estos representan más del 25% de las universidades y colegios del país.
o Nueva variante HiddenTear.
Karsten Hahn encontró una nueva variante de HiddenTear que agrega la extensión .id - []. LOCKED y deja caer una nota de rescate llamada CÓMO RECUPERAR SUS ARCHIVOS !!!. Txt .
o Nueva variante BACK Dharma Ransomware
Jakub Kroustek encontró una nueva variante de Dharma Ransomware que agrega la extensión .Back .
o Se venden nuevos Coronavirus RaaS
3xp0rt ha encontrado a un actor de amenazas vendiendo Coronavirus Ransomas-as-a-Service por $ 5,000.
o Nueva variante VARI STOP Ransomware
Michael Gillespie encontró una nueva variante de ransomware STOP que agrega la extensión .vari a los archivos cifrados.
3. Se recomienda:
El primer paso que debemos tener en cuenta es que nunca hay que pagar el rescate. Ya sea en forma de bitcoins u otra modalidad, no tienes ninguna garantía de que vayan a dar una contraseña para desbloquear los archivos que te han cifrado o de que no puedan introducirte otro virus.
Las actualizaciones de los sistemas operativos tienen como objetivo reducir o eliminar cualquier posible brecha de seguridad. Por tanto, especialmente si trabajas con sistemas operativos Windows se deben mantener siempre actualizados a la última versión.
La inmensa mayoría de los virus entran por medio de un truco o engaño, a través del cual alguien se descarga un archivo que contiene malware en su ordenador. La descarga de este fichero puede ser inocente, podemos incluso tomar precauciones para no hacerlo y sin embargo un día acabar descargando un programa que no debemos y encontrarnos con el problema.
Fuentes de información https[:]//www.bleepingcomputer.com/news/security/the-week-in-ransomware-august-14th-2020-crime-made-easy/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 137
Fecha: 19-08-2020
Página: 7 de 13
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Suplantan sitio web
Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude
Descripción
1. El 18 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó la circulación del enlace hxxps://empresas-netinterlbank-pe.com/login/ por medio del WhatsApp y mensajes de texto (SMS) suplantan la identidad del sitio web del Banco Interbank, donde solicitan al usuario iniciar sesión para acceder a su plataforma bancaria, con la finalidad de robar sus datos personales y credenciales de su cuenta bancaria.
2. Por otro lado, se verificó el enlace en la página de Cisco Talos, donde es catalogado como phishing. Asimismo, el Antivirus Kaspersky lo cataloga como una amenaza de perdida de datos.
3. Se recomienda:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes de dudosa procedencia.
Evitar brindar información personal.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 137
Fecha: 19-08-2020
Página: 8 de 13
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Crean sitio web fraudulento de programa Quedate en casa Tipo de ataque Robo de información Abreviatura RobInfo Medios de propagación Red, internet, redes sociales Código de familia K Código de subfamilia K01 Clasificación temática familia Uso inapropiado de recursos.
Descripción
1. El 19 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó la circulación de un enlace fraudulento por medio del WhatsApp y mensajes de texto (SMS) hxxp://quedateencas.com suplantando la identidad del “Programa Quedate en Casa”, donde invita al usuario completar una solicitud para recibir el apoyo económico (bono) durante el Estado de Emergencia.
2. Al ingresar al enlace, el usuario deberá completar obligatoriamente los pasos del formulario, luego solicita que comparta dicho enlace a 10 usuarios de WhatsApp, de lo contrario no podrá obtener el apoyo, con la finalidad de robar información e identidad de los usuarios.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. Por otro lado, se verificó el enlace en la página de Virus Total, donde es catalogado como phishing. Asimismo, el Antivirus Kaspersky lo cataloga como una amenaza de perdida de datos.
4. Se recomienda:
Evitar ingresar a enlaces no confiables.
Evitar descargar y abrir archivos de fuentes no confiables.
No brindar datos personales en sitios web que consideren malicioso.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina de Guerra del Perú, OSINT.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 137
Fecha: 19-08-2020
Página: 10 de 13
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Malware “IcedID” renovado con nuevas capacidades para evadir la detección
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
Los investigadores de Juniper Threat Labs., han descubierto recientemente una evolución del troyano bancario “IcedID” en sus métodos de phishing, particularmente en cómo intentan evadir la detección implementando un archivo adjunto protegido por contraseña, ofuscación de palabras clave y código de macro minimalista en sus documentos troyanizados. También usan una DLL para el descargador de la segunda etapa, que muestra un nuevo nivel de madurez de este actor de amenazas.
2. Detalles:
Según Paul Kimayong, investigador de seguridad de Juniper Threat Labs., los actores de amenaza detrás de esta campaña, investigan a sus objetivos antes de un ataque, para identificar los nombres de los clientes y usarlos para atraer a la víctima a que abra un correo electrónico de phishing que contiene la carga maliciosa. Esto hace que sea mucho más probable que el phishing tenga éxito, dado que el remitente y el destinatario tienen una relación comercial establecida.
Los correos electrónicos de phishing que se envían a las víctimas, se hacen pasar por direcciones de correo del departamento de contabilidad que incluye un documento (factura) adjunto en formato .ZIP protegido con contraseña, llamado request.zip. La protección por contraseña es para evitar que las soluciones de análisis anti-malware descifren e inspeccionen el archivo adjunto. La contraseña se incluye en el cuerpo del mensaje de correo electrónico para que la víctima la use para abrir el archivo adjunto malicioso.
Cuando la víctima descomprime el archivo zip, se muestra un documento de Microsoft Word que contiene una macro que se ejecuta al abrir el documento. Luego que la víctima habilite la macro pensando que el documento se creó con una versión anterior de MS Word, el script VB descargará una DLL, la guardará como PDF y la instalará como un servicio usando regsvr32 para garantizar la persistencia.
Los autores de amenaza han recurrido a ser “minimalistas” en esta campaña. El código "macro" es muy simple y directo, todas las cadenas y llamadas a funciones en la macro están ofuscadas. La carga útil de la segunda etapa consiste en una DLL que se descarga desde 3wuk8wv [.] Com o 185.43.4 [.] 241, que está alojada en un proveedor de alojamiento en Rusia Siberia. Una vez descargada, la DLL maliciosa se guarda como un archivo PDF, luego la macro la ejecuta mediante una llamada a regsvr32.exe.
Una vez iniciada, la DLL descargará la siguiente etapa del malware como un archivo PNG y lo descifrará. De manera similar al cargador de segunda etapa que analizamos en nuestro blog anterior, este cargador combina su tráfico con solicitudes a dominios benignos, como apple.com, twitter.com, microsoft.com, etc. para parecer más benigno a los sandboxes que intentan analizarlo.
3. Indicadores de compromiso (IoC): Ver más IoC aquí.
4. Recomendaciones:
Descargar aplicaciones de sitios oficiales y legítimos.
Contar con soluciones de seguridad que proporcione seguridad integral y protección multidispositivo contra ciberamenazas.
No abrir correos de usuarios desconocidos o que no hayas solicitado.
Revisar los enlaces antes hacer clic y no abrir los enlaces acortados.
Mantener un protocolo de actualizaciones estricto del sistema operativo, antivirus y todas las aplicaciones que se ejecutan en ellos y concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
Fuentes de información hxxps://blogs.juniper.net/en-us/threat-research/iceid-campaign-strikes-back
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 137
Fecha: 19-08-2020
Página: 11 de 13
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de botnet FritzFrog peer-to-peer (P2P), también conocida como GOZ, Mapp, ZeuS P2P, dirigido a servidores SSH.
Tipo de ataque Botnets Abreviatura Botnets
Medios de propagación IRC, USB, Disco, Red, Correo, Navegación de Internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción
1. El 19 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “The Hacker News”, se informa sobre la detección de la Botnet FritzFrog peer-to-peer (P2P), también conocida como GOZ, Mapp, ZeuS P2P, la cual está dirigido a servidores SSH en todo el mundo, gobiernos, instituciones educativas, compañías financieras, entre otros. Al ejecutarse con éxito dicha Botnet comienza a distribuir Malware adicional en las maquinas infectadas, también realiza ataques de fuerza bruta.
2. Detalles:
FritzFrog al ejecutarse utiliza la fuerza bruta dirigido y tiene como objetivo principal decenas de millones de direcciones IP de oficinas gubernamentales, instituciones educativas, centros médicos, bancos, numerosas empresas de telecomunicaciones de EE. UU, Europa y de todo el mundo y a compañía ferroviaria.
FritzFrog no tiene archivos, lo que significa que ensambla y ejecuta cargas útiles en la memoria y es más agresivo al llevar a cabo ataques de fuerza bruta, al mismo tiempo que es eficiente al distribuir los objetivos de manera uniforme dentro de la botnet.
Una vez que se identifica una máquina objetivo, la botnet realiza una serie de tareas que implican forzar, infectar la máquina con cargas maliciosas en caso de una ejecución exitosa y agregar a la víctima a la red P2P.
La Botnet distribuye malware adicional, que se ejecuta como ifconfig y NGINX Para pasar desapercibido y comienza a escuchar en el puerto 1234 para recibir más comandos para su ejecución, incluidos aquellos para sincronizar a la víctima con la base de datos de pares de la red y objetivos de fuerza bruta.
Los propios comandos se transmiten al malware a través de una serie de aros diseñados para evitar la detección, el nodo atacante en la botnet primero se engancha a una víctima específica a través de SSH y luego usa la utilidad NETCAT para establecer una conexión con un servidor remoto.
Además, los archivos de carga útil se intercambian entre nodos al estilo BitTorrent, empleando un enfoque de transferencia de archivos segmentados para enviar blobs de datos.
Imagen del proceso de infección de la Botnet peer-to-peer (P2P) o FritzFrog:
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. Indicadores de compromiso.
Archivos analizados: Nombre: Rale
Tipo: Win32 EXE
Tamaño: 369.00 KB (377856 bytes)
MD5: d711b3d9ca4beacb468269c5654cc515
SHA-1: 74e42268a526893c1cbe9958d6edc02716714cf3
SHA-256: e65315616ee6ac28ec9e8f0f43ddb0f189a81b515369a72fc8a6b69db280d829
Reutilización de código durante la ejecución de la Botnet peer-to-peer (P2P) o FritzFrog:
4. Algunas Recomendaciones:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//thehackernews.com/2020/08/p2p-botnet-malware.html?utm_source=social_share
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 13 de 13
Índice alfabético
botnet .................................................................................................................................................................... 2, 11, 12 Botnets............................................................................................................................................................................. 11 Código malicioso .................................................................................................................................................... 4, 10, 11 Correo electrónico ......................................................................................................................................................... 4, 5 Correo electrónico, redes sociales, entre otros ............................................................................................................ 4, 5 Explotación de vulnerabilidades conocidas ....................................................................................................................... 3 Fraude ................................................................................................................................................................................ 7 fuerza bruta ..................................................................................................................................................................... 11 hxxp ................................................................................................................................................................................... 8 Intento de intrusión ........................................................................................................................................................... 3 internet .............................................................................................................................................................................. 3 malware ........................................................................................................................................................... 6, 10, 11, 12 Malware ................................................................................................................................................................. 2, 10, 11 phishing ................................................................................................................................................................... 7, 9, 10 Phishing ............................................................................................................................................................................. 7 puerto .............................................................................................................................................................................. 11 ransomware ........................................................................................................................................................... 2, 4, 5, 6 Ransomware .......................................................................................................................................................... 2, 4, 5, 6 redes sociales ..................................................................................................................................................................... 1 Redes sociales ................................................................................................................................................................ 7, 8 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 7 Robo de información ......................................................................................................................................................... 8 servidor ............................................................................................................................................................................ 11 servidores .................................................................................................................................................................... 2, 11 software ..................................................................................................................................................................... 4, 7, 9 Uso inapropiado de recursos ............................................................................................................................................. 8 Vulnerabilidades ............................................................................................................................................................ 2, 3