PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 14 de julio de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Vulnerabilidades en la Plataforma SAP NetWeaver. ..................................................................................... 3

Vulnerabilidad app Chingari .......................................................................................................................... 4

Fallas de seguridad convierten el firewall de palo alto en una bomba de tiempo. ...................................... 5

Sistemas de video vigilancia en Moscú son hackeados. acceso a cámaras en escuelas, parques, calles,

oficinas y hospitales a la venta en Dark Web ................................................................................................ 6

Malware sogou virus ..................................................................................................................................... 7

Malware “adobe email virus” ataca a través de correo ................................................................................ 8

Ransomware Avaddon usa macros de excel ................................................................................................. 9

Nueva campaña de phishing suplanta sitio web de HMRC en el Reino Unido ...........................................11

Detección del ransomware Avaddon ..........................................................................................................12

Índice alfabético ..........................................................................................................................................14

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 101

Fecha: 14-07-2020

Página: 3 de 14

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidades en la Plataforma SAP NetWeaver.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red e internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad han detectado cinco (5) vulnerabilidades en la plataforma de tecnología integrada SAP NetWeaver. Estas fallas de seguridad podrían permitir a los ciberdelincuentes obtener acceso remoto a información confidencial almacenada en el sistema objetivo.

2. Detalles de la alerta:

SAP NetWeaver es una plataforma de tecnología integrada para todas las aplicaciones SAP en el plano técnico. También, es conocida como una aplicación orientada a servicios y a la integración. Provee al usuario de un vínculo entre lenguajes y aplicaciones.

Esta aplicación provee al usuario de un vínculo entre lenguajes y aplicaciones. SAP NetWeaver está construido usando estándares abiertos de la industria por lo que es sencillo negociar transacciones de información con desarrollos de Microsoft .NET, Sun Java EE, e IBM WebSphere.

Las vulnerabilidades identificadas se detallan a continuación:

CVE-2020-6287: Una serie de problemas no especificados dentro de SAP NetWeaver AS JAVA permitiría que un actor de amenazas remoto comprometa el sistema enviando solicitudes especialmente diseñadas. La falla recibió un puntaje de 8.5/10 en la escala CVSS.

CVE-2020-6286: Un error no especificado en el componente “LM Configuration Wizard”, permitiría a los atacantes comprometer el sistema objetivo con el fin de ejecutar código malicioso. La vulnerabilidad recibió un puntaje de 8.5/10 en la escala CVSS.

CVE-2020-6285: Un error no especificado dentro de SAP NetWeaver, permitiría a los ciberdelincuentes obtener acceso remoto a información confidencial almacenada en el sistema objetivo. La vulnerabilidad recibió un puntaje de 5.7/10 en la escala CVSS.

CVE-2020-6282: Una validación insuficiente del origen de la solicitud HTTP dentro de SAP NetWeaver AS JAVA, permitiría que los atacantes remotos realicen ataques de falsificación de solicitudes entre sitios (CSRF) usando un sitio web especialmente diseñado. La falla recibió un puntaje de 5.3/10 en la escala CVSS.

CVE-2020-6280: Esta falla existe debido a un error no especificado dentro de SAP NetWeaver y la plataforma ABAP, permitiría a los atacantes obtener acceso a información confidencial en el sistema objetivo. La falla recibió un puntaje de 2.4/10 en la escala CVSS.

Cabe precisar, los desarrolladores de esta plataforma han corregido el fallo de seguridad y las actualizaciones han sido publicados en el sitio web oficial de la empresa.

3. Recomendaciones:

Descargar y actualizar los parches de seguridad del sitio web oficial de proveedor.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 101

Fecha: 14-07-2020

Página: 4 de 14

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad app Chingari

Tipo de ataque Vulnerabilidad, robo de cuentas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Vulnerabilidades

Descripción

1. El 14 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que se ha encontrado en la aplicación Chingari una nueva vulnerabilidad de omisión de autenticación, crítica, pero muy fácil de explotar, que permite a cualquier atacante secuestrar una cuenta de usuario y alterar su información, contenido e incluso subir videos no autorizados.

2. La aplicación india para compartir videos está disponible para móviles Android e iOS a través de tiendas de aplicaciones oficiales. Se trata de una app diseñada para permitir a los usuarios grabar videos cortos, ponerse al día con las noticias y conectarse con otros usuarios a través de una función de mensaje directo.

“Una vez que la cuenta de una víctima se ve comprometida utilizando el método que se muestra en el video, un atacante puede cambiar el nombre de usuario, el nombre, el estado, la fecha de nacimiento, el país, la foto de perfil, cargar / eliminar videos de usuarios, etc. En definitiva, obtiene acceso la totalidad de la cuenta”

3. La actualización del parche Chingari se lanzó el día 11 de julio el investigador se acogió al código de buenas prácticas y reveló de forma responsable el fallo a la compañía para que procediesen a su subsanación. En respuesta, la organización, reconoció la vulnerabilidad.

4. Se recomienda:

Para mitigar los problemas de seguridad, se recomienda actualizar a la versión más reciente, una vez más se demuestra la gran importancia de contar siempre con las últimas versiones. Es vital que tengamos actualizados los equipos con los parches de seguridad disponibles.

Fuentes de información https[:]//blog.segu-info.com.ar/2020/07/vulnerabilidad-en-app-similar-tiktok.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 101

Fecha: 14-07-2020

Página: 5 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Fallas de seguridad convierten el firewall de palo alto en una bomba de tiempo. Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 14 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 10 de julio de 2020 por Security Affairs, sobre tres vulnerabilidades en PAN-OS , el sistema operativo que funciona en las soluciones de seguridad de Palo Alto Networks, la explotación exitosa de estos defectos puede conducir a la inyección de comandos, entre otros escenarios.

2. CVE-2020-2034 : la validación de entrada incorrecta en el portal PAN-OS GlobalProtect permite a hackers remotos ejecutar comandos de shell arbitrarios en el sistema de destino. Los actores de amenazas pueden pasar datos especialmente diseñados a la aplicación para explotar la falla, mencionaron los especialistas en pruebas de penetración de red.

3. CVE-2020-2031 : esta falla existe debido a un menor flujo de enteros en el componente dnsproxyd de la interfaz de administración web PAN-OS, lo que permitiría a los hackers remotos desplegar ataques de denegación de servicio (DoS) mediante el envío de solicitudes especialmente diseñadas a la aplicación afectada.

4. CVE-2020-2030 : la validación de entrada incorrecta en la interfaz de administración de PAN-OS permitiría a los actores de amenazas remotas ejecutar comandos de shell arbitrarios en el sistema vulnerable. Los hackers remotos podrían pasar datos especialmente diseñados y ejecutar comandos con fines maliciosos, mencionaron especialistas en pruebas de penetración de red.

5. Se recomienda:

La actualizacion inmediata del sistema operativo.

Fuentes de información https[:]//gbhackers.com/zoom-0day-vulnerability-let-remote-attacker-to-execute-arbitrary-code-on-victims-computer/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 101

Fecha: 14-07-2020

Página: 6 de 14

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Sistemas de video vigilancia en Moscú son hackeados. acceso a cámaras en escuelas, parques, calles, oficinas y hospitales a la venta en Dark Web

Tipo de ataque Ataque de fuerza bruta Abreviatura AtaqFueBru Medios de propagación Red, correo, navegación de internet Código de familia A Código de subfamilia A01 Clasificación temática familia Acceso no autorizado

Descripción

1. El 14 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información que se detalla a continuación: El Departamento de Tecnologías de la Información de Moscú acaba de informar que, durante un monitoreo regular en dark web, se detectaron múltiples foros de hacking donde se pone a la venta el acceso a múltiples sistemas de vigilancia de esa ciudad. Estos sistemas transmiten información en tiempo real de gran interés para los actores de amenazas, mencionan expertos de una empresa de ciberseguridad. Un representante del Centro de Procesamiento y Almacenamiento de Datos Unificado (ECSD) señala que, en respuesta a esta campaña maliciosa, las autoridades están restringiendo el número de empleados públicos con acceso a los sistemas de vigilancia como una forma de evitar que las credenciales de acceso a estos sistemas terminen expuestas en foros de hacking.

2. Un supuesto hacker identificado como Zpoint publicó un anuncio sobre los accesos a los sistemas de vigilancia en casas, parques, clínicas y escuelas de Moscú, algunas de las cuales incluso pueden ser controladas de forma remota. El vendedor ofrece proporcionar acceso a las cámaras en tiempo real y a través de cualquier dispositivo, mencionan los expertos de una empresa de ciberseguridad. Además, el vendedor ofrece un archivo de registros de la actividad de los últimos cinco días registrada por estas cámaras. Los hackers consiguen estos accesos explotando vulnerabilidades sin corregir en estos sistemas, abusando de configuraciones incorrectas, o simplemente desplegando ataques de fuerza bruta, aseguran los expertos de la empresa de ciberseguridad.

3. Asimismo el hacker asegura que el acceso a esta clase de recursos solo puede ser obtenido por representantes de la policía, autoridades judiciales y abogados desde sus lugares de trabajo, para lo que deberán conectarse al ECSD mediante una solicitud por escrito presentada previamente. Se desconoce la cantidad de dinero exigida por el cibercriminal.

4. Se recomienda:

Implementar un bloqueo de cuenta después de varios intentos fallidos de inicio de sesión no es efectivo, ya que hace que el servidor sea presa fácil de ataques de denegación de servicio. Sin embargo, si se realiza con retrasos progresivos, este método se vuelve mucho más efectivo.

Si se permite el acceso solo desde una dirección IP o rango designado, los atacantes de fuerza bruta deberán trabajar arduamente para superar ese obstáculo y obtener acceso a la fuerza. Es como colocar un perímetro de seguridad alrededor de tus datos más preciados, y no se permite el acceso a todos los que no se originan en la dirección IP correcta.

Fuentes de información https[:]//noticiasseguridad.com/hacking-incidentes/sistemas-de-video-vigilancia-en-moscu-son-hackeados-acceso-a-camaras-en-escuelas-parques-calles-oficinas-y-hospitales-a-la-venta-en-dark-web/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 101

Fecha: 14-07-2020

Página: 7 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Malware sogou virus

Tipo de ataque Malware Abreviatura Malware Medios de propagación Red, navegación de internet. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso.

Descripción

1. El 14 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó el malware “SOGOU VIRUS”, el cual se distribuye aleatoriamente en las computadoras infiltrándose con ayuda de virus “troyanos” sin consentimiento de los usuarios y realiza cambios de configuración de los navegadores como la página de inicio con 123.sogou.com sin importar cuál era el que usabas con anterioridad. El malware “Sogou Virus” está categorizado como programa potencialmente no deseado, debido a sus métodos para acceder a las computadoras y las acciones generadas en los sistemas infectados. Este malware provoca redirecciones hacia diferentes sitios web, muestra ventanas emergentes con el objetivo de incrementar el tráfico web en ellos, también puede recabar información acerca de tus hábitos de navegación. Esta información posteriormente puede ser utilizada para fines relacionados con la publicidad. Esta es otra razón por la que los expertos en seguridad recomiendan eliminar esta aplicación no deseada.

2. Se recomienda:

No abrir archivos de remitentes desconocidos.

Mantener software actualizados

Pasar el antivirus periódicamente

No abrir dispositivos externos sin antes pasarles antivirus.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 101

Fecha: 14-07-2020

Página: 8 de 14

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Malware “adobe email virus” ataca a través de correo

Tipo de ataque Malware Abreviatura Malware Medios de propagación Red, navegación de internet. Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso.

Descripción

1. El 14 de Julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó una nueva variante de infección vía email de nombre: “Adobe Email Virus”, el cual se promueve principalmente en la web a través de medios o métodos maliciosos en línea que nunca revelan su identidad real a los usuarios. Se instalan en computadoras sin el consentimiento del usuario, ya que el código malicioso viene empaquetado o incluido con grandes cantidades de descargas gratuitas. El malware manipula también una serie de valores administrativos dentro de los navegadores o sistemas, para cuando se trate de eliminar pueda llevar a una serie de consecuencias como pérdida de datos, robo de identidad, revelación de su información personal o financiera, etc. En la mayoría de los casos, los delincuentes también utilizan los mensajes de estafa de correo electrónico para promover algunas infecciones de troyanos o ransomware que, si logran instalarse, el sistema o sus archivos esenciales se verán muy afectados y pueden llevar a los usuarios a sufrir una gran pérdida potencial.

2. Adobe Email Virus, es un tipo de virus de correo electrónico que se disfraza para aparecer en nombre de adobe para estafar a los usuarios. Significa que simplemente vendrá por computadora a través de correos electrónicos que parecerán recibidos de una organización confiable que intenta hacer que los usuarios descarguen e instalen algunos archivos adjuntos en el correo electrónico, o simplemente haciendo clic en el enlace. Pero, una vez que los usuarios realizan tales acciones, su sistema se ve afectado por algún malware oculto o los usuarios son engañados de alguna manera para que compartan sus detalles a través de redireccionamientos de phishing.

3. Se recomienda:

No abrir archivos de remitentes desconocidos.

Mantener software actualizados.

Pasar el antivirus periódicamente.

No abrir dispositivos externos sin antes pasarles antivirus.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 101

Fecha: 14-07-2020

Página: 9 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Ransomware Avaddon usa macros de excel

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónicos, redes sociales, entre otros

Código de familia C Código de subfamilia -

Clasificación temática familia Código malicioso

Descripción

1.- El 14 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que el

Avaddon era el último malware que utilizaba las macros como vector de infección. Sin embargo, Avaddon busca datos para cifrar y luego agrega su propia extensión a los archivos cifrados, dejando caer una nota de rescate en cada carpeta que afecta. Eso enlaza con un sitio de pago accesible a través de la red Tor que contiene una identificación única que la víctima puede utilizar para iniciar sesión. Entonces pueden ver la cantidad del rescate e instrucciones sobre cómo pagar.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

2. Cabe mencionar que, las macros son un viejo método de distribución de malware que cayó en desuso después de que Microsoft introdujera más protecciones para detenerlas. Las macros están desactivadas por defecto en las versiones más recientes de Microsoft Office, lo que significa que los delincuentes tendrían que persuadir a las víctimas para activarlas. Los administradores de TI de la empresa pueden incluso configurar los documentos para no dar a los usuarios esa opción. Sin embargo, no todos lo hacen, y las computadoras de muchas víctimas no son ni siquiera gestionadas por un administrador. Así que este antiguo método de entrega sigue siendo un fructífero vector para los atacantes.

3. Se recomienda:

Los usuarios deberán de actualizar sus antivirus de sus computadoras, así como evitar ingresar a páginas e interactuar con enlaces de dudosa procedencia.

Fuentes de información https[:]//unaaldia.hispasec.com/2020/07/el-ransomware-avaddon-sigue-utilizando-las-macros-de-excel-4-0.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 101

Fecha: 14-07-2020

Página: 11 de 14

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva campaña de phishing suplanta sitio web de HMRC en el Reino Unido

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. Resumen:

El Centro de Defensa de Phishing de Cofense (PDC) ha detectado una nueva campaña de phishing en el Reino Unido que tiene como objetivo el robo de información confidencial y de credenciales de HMRC (Ingresos y Aduanas de Sus Majestades), y utiliza como señuelo el tema de las subvenciones fiscales para aquellos cuyo trabajo se ha visto afectado por la crisis de salud COVID-19.

2. Detalles:

Los actores de la amenaza, para agregar autenticidad al correo electrónico de phishing, han utilizado una dirección de correo electrónico (hmrc@hotmail.com) de la organización suplantada con el nombre y establecer el nombre para que coincida (HM Revenue & Customs). Eso, combinado con la línea de asunto, es una excelente manera de atraer el interés del usuario ("Ayudarle durante este COVID-19 del gobierno").

En esta campaña, en el correo electrónico que se le envía a la víctima, se le indica que el gobierno está ofreciendo entre £ 2500 y £ 7500 en subvenciones fiscales para aquellos cuyo trabajo se ha visto afectado por el virus COVID-19. En el correo electrónico se incluye un enlace malicioso para verificar su elegibilidad. Dado que el gobierno menciona públicamente y repetidamente tales sumas, el correo electrónico se hace más creíble para los usuarios desatentos. Asimismo, el atacante también menciona la "Licencia de Gobierno Abierto v3.0", una licencia legítima de derechos de autor utilizada por el Gobierno y los Servicios de la Corona, para proporcionar credibilidad adicional a la estafa.

Una vez que se hace clic en el enlace, se le presenta al usuario un sitio falso de GOV.UK. donde se le pide al usuario que ingrese algunos datos personales y confidenciales. A partir de ahí, el usuario se dirige a una página que parece estar cargando, para ayudar a dar la impresión de que los datos se están procesando y se realiza una verificación de elegibilidad.

3. Indicadores de compromiso (COI):

hXXps: // www [.] lagesports [.] com / [.] tmb / xml [.] php

hXXps: // rtoutletpremium [.] com [.] br / [.] bien conocido / pki-validation / UTR / index [.] php

69 [.] 10 [.] 32 [.] 186, 162 [.] 241 [.] 182 [.] 5

4. Recomendaciones:

Mantener un protocolo para la detección y gestión de malware, y de protección en la navegación Web.

Contar con soluciones de seguridad. Se debe tener instalado un buen antivirus para prevenir la infección de malware.

Mantener un protocolo de actualizaciones estricto del sistema operativo, antivirus y aplicaciones.

No descargar o abrir archivos adjuntos de dudosa procedencia.

Bloquear los indicadores de compromisos (IoC) mostrados, en los dispositivos de seguridad de su infraestructura.

Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 101

Fecha: 14-07-2020

Página: 12 de 14

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del ransomware Avaddon

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de subfamilia C09

Clasificación temática familia Código malicioso

Descripción

1. El 14 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web Masterhacks Blog, se informa sobre la detección del ransomware Avaddon, la cual se distribuye a través de una configuración insegura de RDP, utilizando correos electrónicos no deseado con un emoji de guiño Y archivos adjuntos maliciosos (por ejemplo, Image.jpg.js .zip), descargas fraudulentas, botnets (Phorphiex), exploits, anuncios maliciosos, inyecciones web, actualizaciones falsas, instaladores reempaquetados e infectados. Los ciberdelincuentes Intentan engañar a los usuarios para que ejecuten un archivo malicioso al disfrazar sus correos electrónicos como importantes, oficiales y / o legítimos de otras maneras.

Avaddon al ejecutarse busca datos para cifrar y luego agrega su propia extensión a los archivos cifrados, dejando caer una nota de rescate en cada carpeta afectada, enlazado con un sitio de pago accesible a través de la red Tor que contiene una identificación única que la víctima puede utilizar para iniciar sesión, en la cual indicando la cantidad del rescate e instrucciones sobre cómo pagarlo.

El ransomware Avaddon modifica los documentos almacenados en el dispositivo afectado a través del cifrado de datos y pide que la víctima pague el rescate supuestamente para restaurarlo.

El ransomware encripta los datos agregando la extensión. avdn, que también genera un identificador único.

o Imagen:

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: peexe Tipo: Win32 EXE Tamaño: 1.08 MB (1135616 bytes) Máquina de destino: Intel 386 o posterior MD5: a4fac8df05ee106a9f658b9bb4f90d05 SHA-1: 8d02ab35f57f4a98679935c7fd6d20e5ceef585a SHA-256: 7b4a13c022f0948f0a7ace0c2ea8b85af4f596338af14c3a1be2e63f55cbb335

Topologia del hash: 7b4a13c022f0948f0a7ace0c2ea8b85af4f596338af14c3a1be2e63f55cbb335

2. Algunas recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//blogs.masterhacks.net/noticias/hacking-y-ciberdelitos/la-botnet-phorpiex-regresa-con-una-campana-con-una-campana-de-ransomware/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 14 de 14

Índice alfabético

Acceso no autorizado ........................................................................................................................................................ 6 Ataque de fuerza bruta ...................................................................................................................................................... 6 botnet .............................................................................................................................................................................. 13 botnets ............................................................................................................................................................................. 12 Código malicioso .................................................................................................................................................. 7, 8, 9, 12 Correo electrónico ....................................................................................................................................................... 9, 12 Correo electrónico, redes sociales, entre otros .............................................................................................................. 12 exploits ............................................................................................................................................................................ 12 Explotación de vulnerabilidades conocidas ................................................................................................................... 3, 5 Fraude .............................................................................................................................................................................. 11 fuerza bruta ....................................................................................................................................................................... 6 Intento de intrusión ....................................................................................................................................................... 3, 5 internet ...................................................................................................................................................................... 3, 7, 8 malware ......................................................................................................................................................... 7, 8, 9, 10, 11 Malware ..................................................................................................................................................................... 2, 7, 8 phishing ................................................................................................................................................................... 2, 8, 11 Phishing ........................................................................................................................................................................... 11 ransomware ................................................................................................................................................. 2, 8, 10, 12, 13 Ransomware ............................................................................................................................................................ 2, 9, 12 Red, correo, navegación de internet ................................................................................................................................. 6 Red, internet .................................................................................................................................................................. 4, 5 redes sociales ................................................................................................................................................................. 1, 9 servidor .............................................................................................................................................................................. 6 software ......................................................................................................................................................................... 7, 8 troyanos ......................................................................................................................................................................... 7, 8 USB, disco, red, correo, navegación de internet ............................................................................................................. 11 Vulnerabilidad................................................................................................................................................................ 2, 4 Vulnerabilidades ........................................................................................................................................................ 2, 3, 4