lima, 30 de noviembre de 2020
TRANSCRIPT
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 30 de noviembre de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Malware OceanLotus apunta usuarios de MacOS ........................................................................................ 3
Microsoft Defender detecta ataques de Zerologon ...................................................................................... 4
Vulnerabilidad crítica en DRUPAL que podría permitir la ejecución arbitraria de código PHP ..................... 5
El phishing de Office 365 abusa de los servicios en la nube de Oracle y Amazon ........................................ 6
Vulnerabilidades de denegación de servicio (DoS) en IBM DataPower Gateway ......................................... 7
Ataques a usuarios de MacOS con versión actualizada de malware (Backdoor) – grupo OceanLotus ........ 8
Nueva campaña phishing usa servicios en la nube y URL falsa de MS Office. .............................................. 9
Campaña de phishing en nombre de la Autoridad Nacional de Seguridad Vial (ANSR) - infracción. .........10
Vulnerabilidad de denegación de servicio en el software de Cisco IOS XR para routers de la serie 9000 .11
Detección de una nueva variante del ransomware Egregor .......................................................................12
Índice alfabético ..........................................................................................................................................14
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 3 de 14
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Malware OceanLotus apunta usuarios de MacOS
Tipo de ataque Backdoor Abreviatura Backdoor
Medios de propagación Correo electrónico, red e internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una nueva forma de malware recientemente descubierta llamado OceanLotus, el cual se dirige a los usuarios de Apple MacOS para robar información y documentos comerciales confidenciales
2. Detalles de la alerta:
La campaña ha sido detallada por analistas de ciberseguridad de la empresa Trend Micro que la vincularon al backdoor OceanLotus, también conocido como APT32, un grupo de ciberdelincuentes que se cree que tiene vínculos con el gobierno vietnamita.
Según las investigaciones, se sabe que OceanLotus apunta a organizaciones extranjeras que trabajan en Vietnam, incluidos los medios de comunicación, la investigación y la construcción, y aunque la motivación para esto no se comprende completamente, se cree que el objetivo es utilizar el espionaje para ayudar a las empresas de propiedad vietnamita.
Asimismo, la puerta trasera de MacOS proporciona a los atacantes una ventana a la máquina comprometida, lo que les permite espiar y robar información confidencial y documentos comerciales confidenciales.
Cabe señalar, los ataques comienzan con correos electrónicos de phishing que intentan engañar a las víctimas a ejecutar un archivo Zip disfrazado de documento de Word. Evita la detección de los escáneres antivirus mediante el uso de caracteres especiales en el interior de una serie de carpetas Zip.
3. Indicadores de Compromiso:
SHA-256:
o cfa3d506361920f9e1db9d8324dfbb3a9c79723e702d70c3dc8f51825c171420
o 48e3609f543ea4a8de0c9375fa665ceb6d2dfc0085ee90fa22ffaced0c770c4f
o 05e5ba08be06f2d0e2da294de4c559ca33c4c28534919e5f2f6fc51aed4956e3
o fd7e51e3f3240b550f0405a67e98a97d86747a8a07218e8150d2c2946141f737
Dominios:
o mihannevis[.]com
o mykessef[.]com
o idtpl[.]org
3. Recomendaciones:
Evaluar bloqueo preventivo de los indicadores de compromiso.
Mantener un protocolo de actualizaciones de sistemas operativos.
No abrir archivos adjuntos de correos electrónicos que no sean de confianza.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 4 de 14
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Microsoft Defender detecta ataques de Zerologon
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 27 de noviembre de 2020, a través del monitoreo y
búsqueda de amenazas en el ciberespacio, se tuvo
conocimiento acerca de Microsoft, indica que ha agregado
soporte para la detección de explotación de Zerologon a
Microsoft Defender for Identity para permitir que los
equipos de operaciones de seguridad detecten ataques
locales que intentan abusar de esta vulnerabilidad crítica.
2. Microsoft Defender para Identity (anteriormente conocido
como Azure Advanced Threat Protection o Azure ATP) es una
solución de seguridad basada en la nube diseñada para
aprovechar las señales de Active Directory locales para
detectar y analizar identidades comprometidas, amenazas
avanzadas y actividad interna maliciosa dirigida a una organización inscrita.
3. "Microsoft Defender para Identity puede detectar esta vulnerabilidad desde el principio", dijo el gerente de programas
de Microsoft, Daniel Naim. "Cubre tanto los aspectos de explotación como la inspección del tráfico del canal Netlogon".
4. Las alertas que se muestran cada vez que se detecta una explotación de Zerologon o una actividad relacionada
permitirán a los equipos de SecOps obtener información rápidamente sobre el dispositivo o el controlador de dominio
detrás de los intentos de ataque.
5. Las alertas también proporcionarán información que puede ayudar a identificar afirmaciones específicas y si los
ataques tuvieron éxito.
6. "Por último, los clientes que utilizan Microsoft 365 Defender pueden aprovechar al máximo el poder de las señales y
alertas de Microsoft Defender para Identity, combinados con eventos de comportamiento y detecciones de Microsoft
Defender para Endpoint”, agregó Naim.
7. "Esta protección coordinada le permite no solo observar los intentos de explotación de Netlogon a través de los
protocolos de red, sino también ver el proceso del dispositivo y la actividad de los archivos asociados con la
explotación".
8. Se recomienda:
Actualice sus controladores de dominio.
Encuentre qué dispositivos están haciendo conexiones vulnerables mediante la supervisión de los registros de eventos.
Dirigir dispositivos no compatibles que hacen conexiones vulnerables.
Abordar CVE-2020-1472 y su entorno.
Fuentes de información hxxps://www.bleepingcomputer.com/news/security/microsoft-defender-for-identity-now-detects-zerologon-attacks/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 5 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidad crítica en DRUPAL que podría permitir la ejecución arbitraria de código PHP Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 28 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que Drupal ha lanzado actualizaciones de seguridad de emergencia para abordar una vulnerabilidad crítica con exploits conocidos que podrían permitir la ejecución arbitraria de código PHP en algunas versiones de CMS.
2. En este momento, más de 944,000 sitios web están usando versiones vulnerables de Drupal de un total de 1,120,941 según las estadísticas oficiales. Drupal también es utilizado por el 2,5% de todos los sitios web con sistemas de gestión de contenido, lo que lo convierte en el cuarto CMS más popular en Internet, después de WordPress (63,8%), Shopify (5,1%) y Joomla (3,6%).
3. Según el aviso de seguridad de Drupal, la vulnerabilidad es causada por dos errores en la libreria PEAR Archive_Tar utilizada por el sistema de administración de contenido (CMS) rastreado como “CVE-2020-28948” y “CVE-2020-28949”.
4. La vulnerabilidad crítica de ejecución del código Drupal se puede aprovechar si el CMS está configurado para permitir y procesar la carga de archivos .tar, .tar.gz, .bz2 o .tlz.
5. Drupal recomienda instalar las siguientes actualizaciones en los servidores afectados:
Los usuarios de Drupal 9.0 deben actualizar a Drupal 9.0.9
Los usuarios de Drupal 8.9 deben actualizar a Drupal 8.9.10
Los usuarios de Drupal 8.8 o anteriores deben actualizar a Drupal 8.8.12
Los usuarios de Drupal 7 deben actualizar a Drupal 7.75
Fuentes de información hxxps[:]//www.bleepingcomputer.com/news/security/drupal-issues-emergency-fix-for-critical-bug-with-known-exploits/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 6 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta El phishing de Office 365 abusa de los servicios en la nube de Oracle y Amazon
Tipo de ataque Robo de información Abreviatura RobInfo
Medios de propagación Red, internet, redes sociales
Código de familia K Código de subfamilia K01
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 29 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada por “Bleepingcomputer”, quienes detectaron un esquema de phishing bastante complejo para robar credenciales de Office 365 de pequeñas y medianas empresas, combina servicios en la nube de Oracle y Amazon en su infraestructura. La campaña ha estado activa durante más de medio año y utiliza una red de sitios web legítimos que se han visto comprometidos para funcionar como una cadena de proxy.
2. Los operadores maliciosos saturan a los destinatarios con notificaciones falsas de mensajes de voz e invitaciones de Zoom que, en última instancia, llevan a la víctima a la página de phishing que recopila credenciales de inicio de sesión, el actor de amenazas envía mensajes de phishing desde cuentas de correo electrónico comprometidas y utiliza Amazon Web Services (AWS) y Oracle Cloud en la cadena de redireccionamiento.
3. Una vez que se hace clic en el enlace, el usuario es redirigido a través de varios proxy, incluidos los balanceadores de carga de AWS, hasta un sitio web legítimo pero comprometido.
4. A continuación, las víctimas son redirigidas a un sitio web pirateado que las lleva a la página falsa de Office 365 alojada principalmente en el servicio de computación Oracle Cloud. En algunos casos, el actor utilizó Amazon Simple Storage Service (Amazon S3). Las credenciales ingresadas en esta página se envían automáticamente a otro sitio web pirateado.
5. Las pistas encontradas en el código HTML de las páginas falsas de Office 365 sugieren que la infraestructura es parte de un negocio de phishing como servicio alquilado a varios clientes. Prueba de esto son instrucciones comentadas como "// Establecer enlace aquí" y pequeñas diferencias en variables, nombres de funciones o sitios comprometidos que recibieron las credenciales robadas, lo que podría indicar que varias partes utilizan la misma infraestructura.
6. Se recomienda lo siguiente:
Habilite la autenticación de dos factores (2FA) para el inicio de sesión de Office 365.
Aplicar actualizaciones de contraseña de Office 365.
Habilite alertas para actividades sospechosas, como inicios de sesión inusuales, y analice los registros del servidor en busca de acceso anormal al correo electrónico.
Fuentes de información hxxps[:]//www.bleepingcomputer.com/news/security/office-365-phishing-abuses-oracle-and-
amazon-cloud-services/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 7 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Vulnerabilidades de denegación de servicio (DoS) en IBM DataPower Gateway Tipo de ataque Denegación de servicio DoS Abreviatura DoS Medios de propagación Red, correo, navegación de internet Código de familia F Código de subfamilia F01 Clasificación temática familia Disponibilidad del servicio.
Descripción
7. El 29 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los investigadores de seguridad de F-SecureLabs y F-Secure Consulting, quienes han reportado sobre tres vulnerabilidades de denegación de servicio (DoS) en IBM DataPower Gateway. Un atacante puede enviar solicitudes HTTP creadas a través de la puerta de enlace, lo que provocará que la puerta de enlace se bloquee.
8. IBM DataPower Gateway es una pasarela de API. Proporciona funcionalidad para asegurar, controlar, conectar y acelerar la entrega de API. IBM DataPower Gateway se utiliza en la solución API Connect (APIC) de IBM.
9. Las puertas de enlace de API a menudo se implementan como un componente orientado a Internet para manejar las solicitudes de API entrantes. Un atacante puede aprovechar las vulnerabilidades para bloquear la puerta de enlace y denegar eficazmente a los clientes el acceso a las API publicadas.
10. Las tres vulnerabilidades identificadas son las siguientes:
CVE-2020-4579 - Solicitud de actualización HTTP2 sin encabezado de host y longitud de contenido no válida:
CVE-2020-4580 - Caracteres no imprimibles en clave JSON:
CVE-2020-4581 - HTTP / 2.0 en combinación con Transfer-Encoding: fragmentado:
11. Se recomienda lo siguiente:
Actualizar a la siguiente versión del software: IBM DataPower Gateway 2018.4.1.13.
Implementar herramientas de seguridad.
Fuentes de información hxxps[:]//labs.f-secure.com/advisories/ibm-datapower-denial-of-service
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 8 de 14
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Ataques a usuarios de MacOS con versión actualizada de malware (Backdoor) – grupo OceanLotus
Tipo de ataque Backdoors Abreviatura Backdoors Medios de propagación USB, disco, red, correo, navegación de internet. Código de familia C Código de subfamilia C04 Clasificación temática familia Código malicioso
Descripción
1. El 30 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los investigadores de seguridad de Trend Micro, quienes han reportado sobre una nueva puerta trasera que está relacionada con el grupo OceanLotus. Algunas de las actualizaciones de esta nueva variante incluyen nuevos comportamientos y nombres de dominio.
2. La puerta trasera de MacOS proporciona a los atacantes una ventana a la máquina comprometida, lo que les permite espiar y robar información confidencial y documentos comerciales confidenciales.
3. Al igual que las versiones anteriores de la puerta trasera OceanLotus, la nueva versión contiene dos funciones principales: una para recopilar información del sistema operativo y enviarla a sus servidores C&C maliciosos y recibir información de comunicación C&C adicional, y otra para las capacidades de la puerta trasera.
4. Los ataques comienzan con correos electrónicos de phishing que intentan alentar a las víctimas a ejecutar un archivo Zip disfrazado de documento de Word. Evita la detección de los escáneres antivirus mediante el uso de caracteres especiales dentro de una serie de carpetas Zip.
5. Otra técnica que utiliza para evadir la detección es agregar caracteres especiales al nombre de su paquete de aplicaciones. Cuando un usuario busca la carpeta de documentos falsos a través de la aplicación macOS Finder o la línea de comandos de la terminal, el nombre de la carpeta muestra "ALL tim nha Chi Ngoc Canada.doc" ("tìm nhà Chị Ngọc" se traduce aproximadamente como "encuentra la casa de la Sra. Ngoc ”). Sin embargo, al comprobar el archivo Zip original que contiene la carpeta se muestran 3 bytes inesperados entre "." y "doc".
6. El sistema operativo ve el paquete de la aplicación como un tipo de directorio no admitido, por lo que, como acción predeterminada, el comando "abrir" se utiliza para ejecutar la aplicación maliciosa. De lo contrario, si el sufijo es .doc sin caracteres especiales, se llama a Microsoft Word para abrir el paquete de aplicaciones como un documento; pero como no es un documento válido, la aplicación no puede abrirlo.
7. Se recomienda lo siguiente:
Utilizar soluciones de seguridad adecuadas para su sistema operativo.
Nunca haga clic en enlaces ni descargue archivos adjuntos de correos electrónicos que provengan de fuentes sospechosas.
Parchear y actualizar software y aplicaciones con regularidad.
Fuentes de información hxxps[:]//www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 9 de 14
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Nueva campaña phishing usa servicios en la nube y URL falsa de MS Office. Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Correo electrónico. Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude
Descripción
1. El 28 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó una nueva campaña tipo Phishing de Office que abusa de los servicios en la nube de Oracle y Amazon para robar credenciales de pequeñas y grandes empresas.
Los operadores ceban a los destinatarios con notificaciones falsas de mensajes de voz e invitaciones de Zoom redirigiéndolos a una página de phishing que recopila las credenciales de inicio de sesión.
2. Es un ataque sofisticado puesto que esta campaña utiliza una red de sitios web legítimos, comprometidos para funcionar como una cadena de proxy.
3. Los mensajes son enviados desde cuentas de correo electrónico comprometidas y utiliza Amazon Web Services (AWS) y Oracle Cloud en la cadena de redireccionamiento. Las víctimas son redirigidas a un sitio pirateado que las lleva a la página falsa de Office alojada en los servicios antes mencionados.
4. Se recomienda:
Verificar el remitente del correo.
Evitar ingresar a enlaces no confiables.
Evitar brindar información personal.
Aplicar actualizaciones de contraseña de office 365.
Habilitar alertas para inicios de sesión inusuales.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 10 de 14
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Campaña de phishing en nombre de la Autoridad Nacional de Seguridad Vial (ANSR) - infracción.
Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Correo electrónico. Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude
Descripción
5. El 28 de noviembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó una nueva campaña tipo Phishing en nombre de la Autoridad Nacional de Seguridad Vial (ANSR) de Portugal, notificando infracción.
Esta modalidad viene circulando a través de correos electrónicos falsos en nombre de la Autoridad Nacional de Seguridad Vial (ANSR), que notifican a los ciudadanos de una infracción administrativa, donde se pide al destinatario víctima ingresar al enlace proporcionado en el mensaje, para robar sus credenciales y datos personales.
6. Se recomienda:
Verificar el remitente del correo.
Evitar ingresar a enlaces no confiables.
Evitar brindar información personal.
Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 11 de 14
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Vulnerabilidad de denegación de servicio en el software de Cisco IOS XR para routers de la serie 9000
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intrusión
Descripción
1. Resumen:
Los investigadores del equipo de Cisco, ha reportado una vulnerabilidad de severidad ALTA de tipo cierre o liberación de recursos incorrectos que afecta al Software de Cisco IOS XR para routers de la serie 9000. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante no autenticado provocar una condición de denegación de servicio (DoS) en un dispositivo afectado.
2. Detalles:
La vulnerabilidad se debe a una asignación inadecuada de recursos cuando un dispositivo afectado procesa el tráfico de red en modo de conmutación de software. Un atacante podría aprovechar esta vulnerabilidad enviando secuencias específicas de unidades de datos de protocolo (PDU) de capa 2 o capa 3 a un dispositivo afectado. Un exploit exitoso podría hacer que el dispositivo afectado se quede sin recursos de búfer, lo que podría hacer que el dispositivo no pueda procesar o reenviar el tráfico, lo que provocaría una condición DoS. El dispositivo deberá reiniciarse para recuperar la funcionalidad.
Así mismo, la explotación de esta vulnerabilidad podría resultar en el agotamiento de los recursos de búfer. Cuando un dispositivo experimenta un agotamiento de los recursos, es posible que se vea el siguiente mensaje en los registros del sistema:
% PKT_INFRA-spp-4-PKT_ALLOC_FAIL: no se pudieron asignar “n” paquetes para enviar.
Este mensaje de error indica que el dispositivo no podría asignar recursos de búfer y reenviar el tráfico de red en el modo de conmutación de software. Sin embargo, el agotamiento de los recursos del búfer podría ocurrir por una razón distinta a la explotación de esta vulnerabilidad.
CVE-2020-26070
3. Productos vulnerables:
Esta vulnerabilidad afecta a los routers de servicios de agregación de la serie Cisco ASR 9000 si ejecutan una versión del Software de Cisco:
Cisco IOS XR serie 9000 anteriores a la versión 6.7.2.
Cisco IOS XR serie 9000 anteriores a la versión 7.1.2.
4. Solución:
Cisco recomienda actualizar su software vulnerable de la serie ASR 9000 a las versiones:
Cisco IOS XR serie 9000 versión 6.7.2.
Cisco IOS XR serie 9000 versión 7.1.2.
Fuentes de información hxxps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-xr-cp-dos-ej8VB9QY#vp
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 240
Fecha: 30-11-2020
Página: 12 de 14
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de una nueva variante del ransomware Egregor
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Undercode”, se informa sobre la detección de una nueva variante del ransomware denominado Egregor, dirigido a personas y/u organizaciones de todo el mundo, que al ser ejecutado infecta la PC objetivo, para luego encriptar todos los archivos de texto y documentos almacenados en el dispositivo comprometido. Egregor, tiene como finalidad exigir un rescate a cambio de la recuperación o acceso a los mismos.
2. Detalles del ransomware Egregor:
Se distribuye de la siguiente manera:
o Campañas de malspam.
o Sitios web sospechosos.
o Programas gratuitos incluidos.
o Software descifrado.
o Enlaces maliciosos.
o Sitios web de pornografía o torrents.
o Intercambio de archivos entre pares.
Encripta los archivos y adjunta una nota de rescate con un mensaje que indica a las víctimas que descarguen el TOR del navegador web oscuro y se comuniquen con sus desarrolladores dentro de los próximos tres días. En caso de que la víctima no cumple con lo requerido, la información se publicará en el sitio de fuga de datos (DLS) de “Egregor News” para uso público.
Al ser ejecutado también realiza las siguientes acciones, como ataques de fuerza fruta, modificar permisos de los archivos infectados, obtener información confidencial del sistema, realizar capturas de pantalla, obtener credenciales de registro de las víctimas.
Imagen. Victimas de Egregor por país.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. Indicadores de compromiso (IoC).
Archivos analizados:
o Nombre: ewdk.dll o Tipo: Win32 DLL o Tamaño: 767.00 KB (785408 bytes) o MD5: 5f9fcbdf7ad86583eb2bbcaa5741d88a o SHA-1: 03cdec4a0a63a016d0767650cdaf1d4d24669795 o SHA-256: 004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a
o Nombre: pedll o Tipo: Win32 DLL o Tamaño: 766.50 KB (784896 bytes) o MD5: b9dcee839437a917dde60eff9b6014b1 o SHA-1: 069ef8443df750e9f72ebe4ed93c3e472a2396e2 o SHA-256: 2d01c32d51e4bbb986255e402da4624a61b8ae960532fbb7bb0d3b0080cb9946
4. Recomendaciones
Crear conexiones seguras hacia la oficina.
Establezca contacto directo con la oficina de tecnología de la información (TI).
Mantener los programas y el sistema operativo actualizados.
Realizar respaldos de seguridad.
No descargar archivos de sitios de dudosa reputación.
Fuentes de información hxxps://blog.underc0de.org/egregor-el-nuevo-malware-que-afecta-organizaciones/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 14 de 14
Índice alfabético
Backdoors .......................................................................................................................................................................... 8 Código malicioso ...................................................................................................................................................... 3, 8, 12 Correo electrónico ............................................................................................................................................. 3, 9, 10, 12 Correo electrónico, redes sociales, entre otros .............................................................................................................. 12 Denegación de servicio DoS .............................................................................................................................................. 7 Disponibilidad del servicio ................................................................................................................................................. 7 exploits .............................................................................................................................................................................. 5 Explotación de vulnerabilidades conocidas ............................................................................................................. 4, 5, 11 Fraude .......................................................................................................................................................................... 9, 10 Intento de intrusión ....................................................................................................................................................... 4, 5 internet .............................................................................................................................................................................. 3 malware ................................................................................................................................................................... 3, 8, 13 Malware ............................................................................................................................................................................. 3 phishing ........................................................................................................................................................... 3, 6, 8, 9, 10 Phishing ....................................................................................................................................................................... 9, 10 ransomware ..................................................................................................................................................................... 12 Ransomware .................................................................................................................................................................... 12 Red, correo, navegación de internet ................................................................................................................................. 7 Red, internet ........................................................................................................................................................ 4, 5, 6, 11 Red, internet, redes sociales ............................................................................................................................................. 6 redes sociales ..................................................................................................................................................................... 1 servidor .............................................................................................................................................................................. 6 servidores ...................................................................................................................................................................... 5, 8 software ......................................................................................................................................................... 7, 8, 9, 10, 11 USB, disco, red, correo, navegación de internet ............................................................................................................... 8 Uso inapropiado de recursos ............................................................................................................................................. 6 Vulnerabilidad.............................................................................................................................................................. 5, 11 Vulnerabilidades ................................................................................................................................................................ 7