Lima, 16 de julio de 2020€¦ · PECERT │Equipo de Respuestas ante Incidentes de Seguridad...
12
Transcript of Lima, 16 de julio de 2020€¦ · PECERT │Equipo de Respuestas ante Incidentes de Seguridad...
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 16 de julio de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Suplantan identidad de Disney+ para robar datos de la tarjeta de crédito. ................................................. 3
Twitter sufre uno de sus hackeos más grandes en la historia ....................................................................... 4
Juniper Networks abordó muchos problemas en sus productos .................................................................. 6
Vulnerabilidad crítica afecta a los servidores DNS de Windows ................................................................... 7
Vulnerabilidad de ejecución remota de código "SigRed" que afecta las versiones de Windows Server
2003 a 2019 ................................................................................................................................................... 8
Detección del Troyano bancario Mekotio dirigido a países de Latinoamérica ............................................. 9
Índice alfabético ..........................................................................................................................................11
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 103
Fecha: 16-07-2020
Página: 3 de 11
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Suplantan identidad de Disney+ para robar datos de la tarjeta de crédito.
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte sobre una campaña de Phishing que se está difundiendo a través de anuncios publicitarios falsos que suplantan a Disney Plus a través de la red social de Facebook, cuya finalidad es robar las credenciales de acceso y recopilar datos de la tarjeta de crédito de la víctima.
2. Detalles de la alerta:
Ciberdelincuentes están distribuyendo una campaña maliciosa a través de falsos anuncios de publicidad en la red social de Facebook que contienen un enlace que envía a los usuarios a un sitio que busca robar información sensible de las víctimas.
El anuncio que se muestra en la red social intenta hacer creer a las potenciales víctimas que se trata de una publicidad legítima de Disney Plus, el servicio de streaming online de Disney, que anuncia la supuesta llegada al país del servicio para captar la atención de los usuarios.
Al analizar la información sobre la página de Facebook desde la cual se publicó el anuncio, se corroboro que la misma fue creada en las últimas 48 horas.
El sitio web falso cuenta con el certificado SSL que marca al sitio como seguro. Esto significa que la información que desde el lado del usuario se enviará al servidor ira de manera segura, pero a un servidor controlado por los ciberdelincuentes; no al oficial.
La página que suplanta a Disney plus tiene la validez del certificado SSL; pero, al verificar la información, corroboramos que se trata de una campaña que comenzó hace pocos días y que está registrado para una organización de nombre desconocido; situación más que particular si se tratara del sitio oficial de la empresa de entretenimientos cuya identidad se intenta suplantar.
Asimismo, en cuanto a los datos que busca robar esta campaña, además de las credenciales de acceso (usuario y contraseña), en caso de que la víctima continúe avanzando la campaña buscará recopilar los datos de la tarjeta de crédito de la víctima, además del número de documento. Una vez ingresados los datos solicitados, seguidamente el sitio web muestra un error.
3. Indicadores de compromisos (IoC):
Registro dominio : Dattatec Corp.
Nombre del Servidor : ns1.donweb.cl / ns1.donweb.uy / ns2.donweb.pe / ns1.donweb.co / ns1.donweb.mx
4. Recomendaciones:
Contar con un antivirus y estar actualizado.
En caso de observar un anuncio sobre un producto o servicio de interés, verificar su procedencia y buscar más información en el sitio oficial.
No hacer clic en enlaces que aparezcan en un contexto sospechoso, sobre todo si se trata de un mensaje que llega de manera inesperada.
En caso fuese víctima de esta estafa cibernética y compartió su información personal, recomendamos modificar sus credenciales de acceso y comunicarse con la entidad financiera para reportar el incidente.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 103
Fecha: 16-07-2020
Página: 4 de 11
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Twitter sufre uno de sus hackeos más grandes en la historia
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
1. El 15 de julio de 2020, un grupo de piratas informáticos, hasta ahora desconocidos, pero relacionados con la minería de criptomonedas y con estafas en bitcoin en línea, hackearon varias cuentas en Twitter, incluidas las de Barack Obama, Joe Biden, Jeff Bezos Elon Musk, Apple, Uber y Bill Gates, y muchos más.
2. Los primeros en reportar la noticia fue la gente de Coindesk, que afirma que, “los atacantes desconocidos tuitearon mensajes idénticos prometiendo que estaban “devolviendo 5000 BTC ($ 45,889,950) a la comunidad” el miércoles por la tarde desde las cuentas de Gemini, Binance, KuCoin, Coinbase, Charlie Lee de Litecoin, Justin Sun de Tron, Bitcoin, Bitfinex, Ripple, Cash App, Elon Musk y CoinDesk. Sus mensajes, enviados con minutos de diferencia entre sí, incitaron a los lectores a reclamar sus recompensas en un enlace incluido asociado con “Crypto For Health”.
3. Un tweet enviado por la cuenta de Elon Musk el miércoles solicitó Bitcoin y prometió “duplicar todos los pagos” enviados a una dirección, tras unos minutos arriba, se eliminó, lo mismo le pasó a la cuenta de Bill Gates.
4. Las cuentas de Apple y de Uber también fueron hackeadas por el mismo método:
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
5. Twitter comentó a las 17:45 ET en su cuenta de soporte, reconociendo que existe un problema, “Somos conscientes de un incidente de seguridad que afecta las cuentas en Twitter. Estamos investigando y tomando medidas para solucionarlo. Actualizaremos a todos en breve”.
6. Hasta ahora, el pirata informático parece haber ganado más de $ 55,000 con estas operaciones de criptomoneda basado en blockchain.
7. Se recomienda:
No ingresar a enlaces dudosos que lleguen vía correo, chat o redes sociales.
Solicitar y/o realizar copias de seguridad de la información clave.
No compartir tus credenciales con ninguna persona.
Reporta las ventanas emergentes repetitivas que requieran darle clic.
Tomar screenshot del mensaje o alerta sospechosas que pueda aparecer y reportarlo a la oficina de seguridad informática.
Utilizar los últimos parches de seguridad.
Fuentes de información https[:]//es.digitaltrends.com/sociales/hackean-cuentas-twitter-elon-musk-bill-gates/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 103
Fecha: 16-07-2020
Página: 6 de 11
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Juniper Networks abordó muchos problemas en sus productos
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet.
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 16 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información de especialistas de ciberseguridad, sobre Juniper Networks abordó varias vulnerabilidades en sus firewalls, la mayoría de ellos pueden ser explotados por atacantes para ataques de denegación de servicio (DoS).
2. La compañía publicó una lista de avisos de seguridad para informar a sus clientes de las vulnerabilidades en sus productos. Algunos de los problemas también afectaron a componentes de terceros, incluidos OpenSSL, firmware Intel, Bouncy Castle, Java SE, software Apache y otros.
3. La mayoría de las vulnerabilidades afectan al sistema operativo Junos, otros problemas afectan a Juniper Secure Analytics, Junos Space y Junos Space Security Director.
4. Una de las fallas más graves abordadas por Juniper Networks es un problema doble gratuito, rastreado como CVE-2020-1647 , que puede conducir a DoS o ejecución remota de código debido al procesamiento de un mensaje HTTP específico cuando el servicio de redireccionamiento ICAP está habilitado. La falla afecta a Junos OS 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, 19.3.
5. Otra vulnerabilidad crítica abordada por la empresa es CVE-2020-1654 , podría explotarse para activar una condición DoS o ejecutar código arbitrario de forma remota.
6. En Juniper Networks SRX Series con el servicio de redireccionamiento ICAP (Protocolo de adaptación de contenido de internet) habilitado, el procesamiento de un mensaje HTTP con formato incorrecto puede conducir a una Denegación de servicio (DoS) o Ejecución remota de código (RCE).
7. El procesamiento continuo de este mensaje HTTP con formato incorrecto puede dar lugar a una condición de denegación de servicio (DoS) extendida. El mensaje HTTP ofensivo que causa este problema puede originarse tanto en el servidor HTTP como en el cliente HTTP.
8. Se recomienda:
Tener cuidado con los productos de Juniper Networks.
Fuentes de información https[:]//securityaffairs.co/wordpress/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRAL DE SEGURIDAD DIGITAL N° 103 Fecha: 16-07-2020
Página: 7 de 11
Componente que reporta DIRECCIÓN DE INTELIGENCIA – FUERZA AÉREA DEL PERÚ
Nombre de la alerta Vulnerabilidad crítica afecta a los servidores DNS de Windows
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 16 de julio de 2020, se detectó una vulnerabilidad crítica registrada como CVE-2020-1350, que afecta a los servidores de Windows que están configurados para ejecutar el rol de servidor DNS y podría permitir la ejecución de código remoto.
Cabe resaltar que Windows, en sus diferentes versiones, es el sistema operativo más utilizado en equipos de escritorio. Por ello, cuando surge alguna vulnerabilidad, puede poner en riesgo la seguridad de muchos usuarios a lo largo del mundo.
2. Se recomienda:
Los administradores, deberán actualizar correctamente los equipos asignados, de esta forma podrán solventar este fallo de seguridad y evitar problemas.
Fuentes de información https[:]//www.redeszone.net/noticias/seguridad/vulnerabilidad-critica-servidores-dns-windows/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 103
Fecha: 16-07-2020
Página: 8 de 11
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Vulnerabilidad de ejecución remota de código "SigRed" que afecta las versiones de Windows Server 2003 a 2019
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intrusión
Descripción
1. Resumen:
El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, ha publicado un aviso sobre la detección de una nueva vulnerabilidad crítica que afecta las versiones de Windows Server 2003 a 2019. Se trata de un fallo de ejecución remota de código al que se ha denominado "SigRed" y podría permitir que un atacante remoto no autenticado obtenga privilegios de administrador de dominio sobre servidores específicos y tome el control de la infraestructura TI de una organización.
2. Detalles:
La vulnerabilidad registrada como CVE-2020-1350 se ubica en la implementación de DNS de Microsoft que puede explotarse cuando el servidor analiza una consulta entrante o una respuesta a una solicitud reenviada. ¡Concretamente, existe un desbordamiento de enteros que conduce a un desbordamiento de búfer en “dns.exe! SigWireRead", función que analiza los tipos de respuesta para consultas SIG. Por lo tanto, al enviar una respuesta DNS que contenga un registro SIG grande (>64KB), es posible causar dicho desbordamiento de memoria.
Cabe destacar que la vulnerabilidad es de naturaleza “wormable”, lo que quiere decir que un ataque podría propagarse de un sistema vulnerable a otro sin ninguna interacción por parte de los usuarios. Una explotación exitosa podría permitir la manipulación de correos electrónicos y tráfico de red, interrumpir servicios y/o acceder a las credenciales de los usuarios.
Por el momento la base de datos del NIST no ha asignado la correspondiente criticidad al CVE-2020-1350 según la escala CVSSv3, aunque Microsoft sí lo ha hecho con un score de 10.0 (CVSSv3.0). Hasta la fecha no se conocen reportes sobre la posible explotación activa en la red que se aproveche de esta vulnerabilidad.
3. Recursos afectados:
Windows Server 2008 for 32-bit Systems Service Pack 2 / (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2 / (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1 / (Server Core installation)
Windows Server 2012 / R2 / (Server Core installation)
Windows Server 2016 / (Server Core installation) Windows Server 2019 / (Server Core installation)
Windows Server, vers 1903 (Server Core installation) Windows Server, vers 1909 (Server Core installation)
Windows Server, vers 2004 (Server Core installation)
4. Solución:
Microsoft ha lanzado un parche CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability que soluciona esta vulnerabilidad y lo ha implementado como parte de su "martes de parches" de este mes de julio por lo que los clientes con actualizaciones automáticas activadas no necesitan realizar ninguna acción adicional.
5. Recomendación:
Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. Microsoft ha publicado una solución alternativa basada en claves de registro que no requiere de reinicio del servidor: KB4569509: Guidance for DNS Server Vulnerability CVE-2020-1350
Fuentes de información hxxp://www.ccn-cert.cni.es/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 103
Fecha: 16-07-2020
Página: 9 de 11
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del troyano bancario Mekotio dirigido a países de Latinoamérica
Tipo de ataque Troyano Abreviatura Troyano
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C01
Clasificación temática familia Código malicioso
Descripción
1. El 16 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web Welivesecurity (Noticias, opiniones y análisis de la comunidad de seguridad de ESET), se informa sobre la detección del Troyano bancario Mekotio, dirigido a sistemas Windows de diferentes países de Latinoamérica y se distribuye a través de correos electrónicos fraudulentos, la cual tiene como objetivo el robo de credenciales de acceso del servicio de banca electrónica, criptomonedas y otros tipos de credenciales de las víctimas.
El proceso de propagación del troyano bancario Mekotio, comienza con una campaña de spam, a través de correos enviados que hacen uso de la ingeniería social para simular ser correos legítimos y suplantar la identidad de empresas u organismos gubernamentales con el objetivo de engañar a la víctima y lograr que haga clic sobre el enlace malicioso incluido en el cuerpo del mensaje.
El correo aparenta provenir de una entidad gubernamental en el cual se envía el comprobante de pago de un impuesto. El objetivo es despertar la curiosidad del usuario, ya que, si éste efectivamente realizó el pago de un impuesto, probablemente le interese guardar el comprobante; si no realizó tal acción, puede que haya un error de cobro y tenga interés en saber más sobre el asunto. En ambos casos, si el usuario decide abrir el enlace para descargar el supuesto comprobante, ya habrá dado inicio al proceso de infección.
o Robo de credenciales bancarias con ventanas falsas. - Esta amenaza monitorea constantemente los sitios web a los cuales la víctima accede desde su navegador, en caso de haber ingresado al sitio de alguno de los bancos de interés para los atacantes, el troyano Mekotio realiza una ventana de inicio de sesión falsa que simula ser de la entidad bancaria. El objetivo es que la víctima ingrese sus credenciales de acceso al sistema, una vez obtenidas las mismas son enviadas a un servidor remoto dedicado a almacenar la información robada.
o Robo de contraseñas almacenadas por navegadores web. - Una peculiaridad que caracteriza a algunas variantes de Mekotio es la capacidad de robar las credenciales de acceso almacenadas en el sistema por algunos navegadores web, como Google Chrome y Opera, al intentar acceder a un sitio web usando un formulario de log-in, el navegador pregunta al usuario si quiere guardar la contraseña en el equipo y en caso de autorizarlo, procede a hacerlo. Además, junto con la contraseña también se almacena el usuario y el sitio web asociado a la cuenta a la que acaba de ingresar. Esta funcionalidad maliciosa no se limita únicamente al robo de credenciales bancarias, sino que afecta a todas las cuentas cuyos datos también hayan sido almacenados en el sistema por estos navegadores.
o Reemplazo de direcciones de billeteras de Bitinio. - Esta funcionalidad maliciosa consiste en reemplazar las direcciones de billeteras de Bitcoin copiadas al portapapeles por la dirección de la billetera del atacante. De esta manera, si la víctima quiere hacer una transferencia o un depósito a una dirección determinada y utiliza el comando copiar (clic derecho-copiar/ctrl+c) en lugar de escribirla manualmente, al querer pegar (clic derecho-pegar/ctrl+v) no se pegará la dirección a la que pretendía hacerse la transferencia, sino la dirección del atacante al no percatarse de esta diferencia y decide continuar con la operación, acabará enviando el dinero directamente al atacante.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
o Imagen:
Indicadores de compromiso.
o Archivos analizados: Nombre: home_2505.jpg
Tipo: Win32 DLL
Tamaño: 8.12 MB (8518256 bytes)
Máquina de destino: Intel 386 o posterior
MD5: 57611564a7ceea3cb0ef4c8f3a4a014e
SHA-1: 723500a7e5ccadbc930a68cc49ba280aa8be4308
SHA-256:
8cbb919ea306b6583080eb654275385e803f4bfdd181db66f28150b6ff155370
2. Algunas recomendaciones:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//www.welivesecurity.com/la-es/2020/07/14/mekotio-troyano-bancario-dirigido-principalmente-chile-tambien-busca-criptomonedas
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 11 de 11
Índice alfabético
Código malicioso ................................................................................................................................................................ 9 Explotación de vulnerabilidades conocidas ............................................................................................................... 6, 7, 8 Fraude ............................................................................................................................................................................ 3, 4 hxxp ................................................................................................................................................................................... 8 Intento de intrusión ....................................................................................................................................................... 6, 7 internet .............................................................................................................................................................................. 6 Phishing ......................................................................................................................................................................... 3, 4 Red, internet .................................................................................................................................................................. 6, 7 redes sociales ................................................................................................................................................................. 1, 5 Redes sociales ................................................................................................................................................................ 3, 4 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 4 servidor .............................................................................................................................................................. 3, 6, 7, 8, 9 servidores .................................................................................................................................................................. 2, 7, 8 software ............................................................................................................................................................................. 6 USB, disco, red, correo, navegación de internet ........................................................................................................... 8, 9 Vulnerabilidad............................................................................................................................................................ 2, 7, 8
