Embed Size (px)
Citation preview
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 1 de agosto de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Nueva variante de ransomware VHD, encripta archivos de víctimas empresariales ................................... 3
El malware Ensiko puede cifrar, apuntar a Windows, macOS, Linux ............................................................ 4
Cloudflare fue hackeada; base de datos con 3 millones de direcciones IP reales se filtró en Darknet ........ 5
Nuevo malware “Anchor Linux” dirigido a usuarios con sistema operativo Linux. ...................................... 6
Nuevo ransomware “VHD” ............................................................................................................................ 7
Detección del malware GuLoader ................................................................................................................. 8
Índice alfabético ..........................................................................................................................................10
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 119
Fecha: 1-08-2020
Página: 3 de 10
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Nueva variante de ransomware VHD, encripta archivos de víctimas empresariales
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación USB, disco, red, correo electrónico, navegación en internet
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una nueva variante de ransomware denominado “VHD”, utilizada contra objetivos empresariales. Este malware se implementa en la red con la ayuda de una herramienta de propagación de fuerza bruta en protocolos SMB y el framework del malware MATA también conocido como Dacls
2. Detalles de la alerta:
El ransomware VHD es una herramienta funcionalmente bastante estándar. Se arrastra a través de las unidades conectadas a la computadora de la víctima, encripta archivos y elimina todas las carpetas de información del volumen del sistema saboteando así los intentos de restauración del sistema en Windows
Investigadores de la empresa de ciberseguridad Kaspersky examinaron dos incidentes de este malware, donde pudieron determinar toda la cadena de infección del ransomware VHD comenzando con los atacantes obteniendo acceso a la red de sus víctimas después de explotar con éxito las puertas de enlace VPN vulnerables. A continuación, escalaron sus privilegios en los dispositivos comprometidos e instalaron una puerta trasera, parte del marco de malware MATA multiplataforma y modular.
Una vez que se implementó la puerta trasera, permitió a los atacantes tomar el control del servidor Active Directory de sus víctimas, lo que permitió entregar cargas útiles de ransomware VHD a todos los sistemas de la red en 10 horas con la ayuda de un cargador basado en Python.
3. Indicadores de Compromiso (IoC)
Hash VHD:
o 6D12547772B57A6DA2B25D2188451983 - D0806C9D8BCEA0BD47D80FA004744D7D
o DD00A8610BB84B54E99AE8099DB1FC20 - CCC6026ACF7EADADA9ADACCAB70CA4D6
Dominios e IP MATA C2
o 172 [.] 93 [.]184 [.] 62 - 23 [.] 227 [.] 199 [.] 69
o 104 [.] 232 [.] 71 [.] 7 - mnmski.cafe24 [.] Com
4. Recomendaciones:
Evaluar el bloqueo de indicadores de compromiso.
Actualizar el sistema operativo, aplicaciones y dispositivos.
Contar con un antivirus o antimalware y estar actualizado.
Realizar periódicamente copias de seguridad de los activos de información.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 119
Fecha: 01-08-2020
Página: 4 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta El malware Ensiko puede cifrar, apuntar a Windows, macOS, Linux Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso
Descripción
1. El 01 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 30 de julio de 2020 por Bleepingcomputer, sobre un nuevo malware rico en funciones que puede cifrar archivos en cualquier sistema que ejecute PHP, lo que lo convierte en un alto riesgo para los servidores web de Windows, macOS y Linux.
2. El malware recibió el nombre de Ensiko y es un shell web escrito en PHP. Los atacantes pueden usarlo para controlar de forma remota un sistema comprometido y ejecutar una gran cantidad de actividades maliciosas. De la gran lista de capacidades de Ensiko, el componente de cifrado de archivos se destaca porque puede usarse para ataques de ransomware contra servidores.
3. Ensiko cifra los archivos en un directorio y subdirectorios de shell web y agrega la extensión .BAK a los archivos procesados. Ensiko puede cargar varias herramientas, que el malware descarga de Pastebin y las almacena en un directorio llamado "tools_ensikology".
4. Una de las funciones del malware se llama Steganologer, que puede identificar archivos de imagen que tienen código en sus metadatos (encabezados EXIF). El código se extrae y ejecuta en el servidor comprometido. Ensiko también puede verificar si un shell web de una lista predefinida está presente en un host remoto. Otra función de escaneo llamada Remote File Check permite al operador buscar archivos arbitrarios en un sistema remoto.
5. Otra función en esta herramienta maliciosa permite la sobrescritura recursiva de todos los archivos con una extensión especificada en un directorio de un shell web. El malware permite a los actores de amenazas ejecutar ataques de fuerza bruta en FTP, cPanel y Telnet, lo que les permite un acceso extendido.
6. Se recomienda:
Protegerse con contraseña para un acceso seguro y evitar una toma de control.
Fuentes de información https[:]//www.bleepingcomputer.com/news/security/feature-rich-ensiko-malware-can-encrypt-targets-windows-macos-linux/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 119
Fecha: 01-08-2020
Página: 5 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Cloudflare fue hackeada; base de datos con 3 millones de direcciones IP reales se filtró en Darknet
Tipo de ataque Denegación distribuida de servicio DDoS Abreviatura DDoS Medios de propagación Red, correo, navegación de internet Código de familia F Código de subfamilia F01 Clasificación temática familia Disponibilidad del servicio
Descripción
1. El 01 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información que se detalla a continuación: Un equipo de expertos en pruebas de seguridad informática del Centro Nacional de Coordinación de Ciberseguridad, parte del Consejo Nacional de Seguridad de Ucrania, confirmó que los datos de más de 3 millones de sitios web que emplean servicios de Cloudflare se encuentran expuestos en foros de hacking en dark web. Cabe mencionar que Cloudflare presta servicios de red para ocultar la dirección IP real de un sitio web, un método para la protección contra algunas variantes de ciberataque, como denegación de servicios (DoS), entre otros.
2. La lista publicada contiene las direcciones IP reales de los sitios web comprometidos, lo que representa un gran riesgo de seguridad para los clientes de la compañía. Este ataque involucra compañías privadas y organizaciones gubernamentales, incluyendo 45 registros con dominio “.gov.ua”, además de 6 mil direcciones con dominio “.ua”, relacionados con infraestructura crítica. Los investigadores analizaron la información sobre los sitios web comprometidos, concluyendo que muchos de los registros expuestos se encuentran desactualizados. No obstante, una parte considerable de la información expuesta sigue siendo relevante para las compañías involucradas.
3. Los administradores de sitios web expuestos ya han sido notificados, por lo que deberán implementar las medidas requeridas para prevenir potenciales ataques mientras Cloudflare sigue investigando el incidente
4. Se recomienda:
Restablecer todas las direcciones IP asociadas a sus recursos en línea, además de habilitar todos los mecanismos de monitoreo contra ciberataques que sea posible.
Fuentes de información https[:]//noticiasseguridad.com/hacking-incidentes/cloudflare-fue-hackeada-base-de-datos-con-3-millones-de-direcciones-ip-reales-se-filtro-en-darknet/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 119
Fecha: 1-08-2020
Página: 6 de 10
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Nuevo malware “Anchor Linux” dirigido a usuarios con sistema operativo Linux.
Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso
Descripción
1. El 1 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un nuevo malware denominado “Anchor Linux”, dirigido a dispositivos como enrutadores, IoT, dispositivos VPN (Virtual Private Network) y NAS (Network Attached Storage) que cuenten con sistemas operativos basados en UNIX; con la finalidad de realizar el robo de información, contraseñas e infectar redes corporativas.
2. El malware actúa como una herramienta de persistencia estableciendo una puerta trasera en el sistema operativo de los dispositivos vulnerables, que permite a los atacantes pasar de forma encubierta a los dispositivos de Windows en la misma red.
3. Al infectar los hosts de Windows, copia el malware en los hosts de la misma red, utilizando protocolo SMB (Server Message Block) e IPC (interprocess communications). Luego lo configura como un servicio de Windows utilizando el protocolo remoto Service Control Manager y la canalización con nombre SMB SVCCTL.
4. Cuando se configura el servicio, el malware se inicia en el host de Windows, conectándose de nuevo al comando y al servidor de control, para que los comandos se ejecuten. Para detectar que un host de Linux pueda estar infectado, buscar el archivo de registro en /tmp/anchor.log.
5. Se recomienda:
En lo posible realizar un escaneo de vulnerabilidades y malware.
Evitar descargar e instalar aplicaciones de plataformas no oficiales.
Compartir una carpeta solo si es necesario.
Al compartir una carpeta determinar los privilegios de los usuarios.
Contar con antivirus para la protección del dispositivo.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 119
Fecha: 1-08-2020
Página: 7 de 10
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Nuevo ransomware “VHD”
Tipo de ataque Ransomware Abreviatura Ransomware Medios de propagación Correo electrónico, redes sociales, entre otros Código de familia C Código de subfamilia C09 Clasificación temática familia Código malicioso
Descripción
1. El 1 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un nuevo malware denominado “VHD”, que utiliza el marco MATA como puerta trasera; una vez que el código malicioso establece un punto de apoyo inicial dentro de la red, los operadores mantienen la persistencia usando las herramientas asociadas al grupo Lazarus (organización ciberdelincuente patrocinada por el estado que opera con el apoyo de Corea del Norte), posteriormente proceden a robar credenciales para comprometer Active Directory antes de implementar el ransomware. Luego, se propaga a través de la red forzando el protocolo SMB (Server Message Block) en los dispositivos conectados y copiándose.
2. El ransomware está escrito en lenguaje de programación C ++, encripta archivos de los discos conectados y elimina cualquier carpeta llamada "Información del volumen del sistema" (que están vinculadas a la función de punto de restauración de Windows). Los archivos están encriptados con una combinación de AES-256 en modo ECB y RSA-2048. También implementa un mecanismo para reanudar las operaciones de cifrado si se interrumpe. Para archivos de más de 16 MB, el ransomware almacena los materiales criptográficos actuales en el disco duro en texto claro.
3. Se recomienda:
En lo posible realizar un escaneo de vulnerabilidades y malwares.
Compartir una carpeta solo si es necesario.
Al compartir una carpeta determinar los privilegios de los usuarios.
Contar con antivirus para la protección del dispositivo.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 119
Fecha: 1-08-2020
Página: 8 de 10
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del malware GuLoader
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 01 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “malwarebytes”, se informa sobre la detección del malware GuLoader, es un programa de descarga de malware utilizado por los ciberdelincuentes para distribuir troyanos de acceso remoto (RAT), el cual es usado para infectar computadoras con programas maliciosos, con la finalidad de robar información confidencial de la víctima como contraseñas, información bancaria, robo de identidad, datos, entre otros.
GuLoader se distribuye a través de campañas de correo electrónico no deseado suplantando la identidad de compañías de paquetería a nivel mundial como DHL, anuncios maliciosos en línea, ingeniería social, grietas de software, también es utilizado por los ciberdelincuentes principalmente para descargar troyanos de acceso remoto y ladrones de información como Agent Tesla, FormBook, NanoCore RAT, Netwire RAT, Remcos RAT, Ave María y Parallax RAT.
El ejecutable GuLoader es un contenedor de Visual Basic 6 que descifra algún código shell que contiene la funcionalidad principal.
Los archivos adjuntos en los correos electrónicos vienen con temas de facturación y reembolso de impuestos falsos, que al ser abiertos solicitan a las víctimas que habiliten macros, donde a la vez se descarga y ejecuta GuLoader.
o Imagen: correo electrónico falso donde distribuye GuLoader
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: Startsym1
Tipo: Win32 EXE
Tamaño: 48.00 KB (49152 bytes)
MD5: 1ae080b109bc5ab7cfd42e5d02b12437
SHA-1: 0e48b88e2a79cc437bfd4934064e2779da9940b8
SHA-256: bfa5dba46db1253587058b0392c04c8403846fa55d7dcf1044e94e6a654d4715
Nombre: PROPTERYGI
Tipo: Win32 EXE
Tamaño: 100.00 KB (102400 bytes)
MD5: 3d1fd9bcef7cbe915bb49857461ad781
SHA-1: 2cefa31941545092ce5092bc98f3d58d66fb1b55
SHA-256: ea93cbe75bc0cd26e82acc4aa17b0f47662073b958c519897306c44d898a619b
2. Algunas Recomendaciones:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//blog.malwarebytes.com/threat-analysis/2020/07/malspam-campaign-caught-using-guloader-after-service-relaunch/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 10 de 10
Índice alfabético
Código malicioso ................................................................................................................................................ 3, 4, 6, 7, 8 Correo electrónico ............................................................................................................................................................. 7 Correo electrónico, redes sociales, entre otros ................................................................................................................ 7 DDoS .................................................................................................................................................................................. 5 Denegación distribuida de servicio DDoS .......................................................................................................................... 5 Disponibilidad del servicio ................................................................................................................................................. 5 fuerza bruta ................................................................................................................................................................... 3, 4 internet .............................................................................................................................................................................. 3 IoT ...................................................................................................................................................................................... 6 malware ......................................................................................................................................................... 2, 3, 4, 6, 7, 8 Malware ..................................................................................................................................................................... 4, 6, 8 ransomware ........................................................................................................................................................... 2, 3, 4, 7 Ransomware .................................................................................................................................................................. 3, 7 Red, correo, navegación de internet ................................................................................................................................. 5 redes sociales ..................................................................................................................................................................... 1 servidor ...................................................................................................................................................................... 3, 4, 6 servidores .......................................................................................................................................................................... 4 software ............................................................................................................................................................................. 8 troyanos ............................................................................................................................................................................. 8 USB, disco, red, correo, navegación de internet ....................................................................................................... 4, 6, 8
