PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 26 de junio de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Ciberataque a páginas web del Gobierno de Ecuador .................................................................................. 3

Malware Octopus Scanner ............................................................................................................................ 4

El malware Lucifer autopropagable se dirige a los sistemas Windows. ........................................................ 5

Hackers ocultan los scripts de robo de tarjetas de crédito en los datos EXIF de favicon ............................. 6

Malware nitrohack roba información de tokens ........................................................................................... 8

Ataque tipo phishing suplantando una identidad bancaria. ......................................................................... 9

Ataque tipo phishing suplantando una identidad bancaria. .......................................................................11

Vulnerabilidad en WebEx, pone en riesgo información de usuarios ..........................................................13

Hackeo de la página del Centro de Diagnóstico de la India ........................................................................15

Nueva variante de ransomware WastedLocker desarrollada por el grupo Evil Corp .................................16

WastedLocker Ransomware distribuido a través de programas falsos. .....................................................18

Índice alfabético ..........................................................................................................................................20

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 3 de 20

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Ciberataque a páginas web del Gobierno de Ecuador

Tipo de ataque Modificación del sitio web (Defacement) Abreviatura ModSitWeb

Medios de propagación Red e internet

Código de familia L Código de subfamilia L01

Clasificación temática familia Vandalismo

Descripción

1. Resumen:

El Equipo de Respuesta a Incidentes de Seguridad Digital Nacional, informa que a través del monitoreo y búsqueda de ciberamenazas en el ciberespacio, en horas de la mañana del día jueves 25 de junio del presente año, se detectó que ciberdelincuentes vulneraron los sitios web del Gobierno de Ecuador, los hechos estarían atribuidos al grupo denominado Anonymous, como protesta al arresto Julian Assange fundador de WikiLeaks.

2. Detalles de la alerta:

Los ciberdelincuentes aprovechando las vulnerabilidades de los sitios web del Gobierno del Ecuador, para realizar ciberataques de tipo modificación al sitio web (Defacement), el cual consiste en insertar imágenes alusivas a su agrupación y con el siguiente mensaje de protesta “FREE JULIAN ASSANGE”.

Las entidades afectadas son el Gobierno autónomo de San José Minas y el Gobierno Autónomo Descentralizado Municipal de Chunchi.

Las direcciones web afectadas son:

hxxp://www.sanjosedeminas.gob.ec/images/anonymous.jpg

hxxp://www.municipiochunchi.gob.ec/images/anonymous.jpg

Según una publicación en la red social Twitter, se atribuye el ciberataque al grupo denominado Anonymous.

Al parecer, este tipo de ciberataque fue realizado en protesta por el arresto del fundado de WikiLeaks Julian Assange, quien fue detenido en la embajada de Ecuador en Reino Unido.

3. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Tener actualizado sus protocolos de seguridad.

Realizar copias de seguridad de los activos de información.

Realizar evaluaciones periódicas de toda la Infraestructura de TI.

Tener medias de contingencia ante este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 4 de 20

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Malware Octopus Scanner

Tipo de ataque Malware Abreviatura Malware Octopus

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia Vulnerabilidades

Descripción

1. El 26 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento sobre un nuevo tipo de malware llamado Octopus Scanner desarrollado por investigadores del Laboratorio de seguridad de GitHub que compromete las computadoras de los desarrolladores al infectar sus repositorios NetBeans después de plantar cargas maliciosas en binarios JAR, archivos de proyecto y dependencias, y luego se extendió a los sistemas de desarrollo posteriores.

2. El equipo de seguridad de GitHub descubrió el malware durante un análisis de los proyectos alojados. Se considera que Octopus Scanner es una amenaza peligrosa que está programada para implementarse principalmente a través del entorno de desarrollo Apache NetBeans. Todo el código peligroso se ofusca, lo que hace que sea más difícil detectarlo.

3. Este malware se ha colocado en varios repositorios y el objetivo es utilizar una táctica basada en el principio de que los desarrolladores aprovechan el código publicado y lo integran en sus propios proyectos. Una de las herramientas más populares para la creación de aplicaciones Java notificó al equipo de seguridad de GitHub de un código sospechoso que provocó una investigación que condujo al descubrimiento de la amenaza.

4. Cuando los archivos de salida compilados se copian e inician en un sistema determinado, se inician varias acciones peligrosas de malware:

Infección de archivos: el código de malware se asegurará de que todos los archivos relevantes tengan copiado el código del malware. Esto se hace para continuar la replicación de la amenaza.

Instalación persistente: el código de malware que se incrustará en los proyectos de Java garantizará que el motor se inicie cada vez que se inicie el sistema.

RAT: el código incluido tiene una funcionalidad RAT que permite a los atacantes remotos tener control sobre las computadoras infectadas. Esto puede incluir robo de archivos y vigilancia

5. Recomendaciones:

Actualizar a la versión más reciente, una vez más se demuestra la gran importancia de contar siempre con las últimas versiones. Es vital que tengamos actualizados los equipos con los parches de seguridad disponibles. En muchas ocasiones pueden surgir vulnerabilidades que son aprovechadas por piratas informáticos para llevar a cabo sus ataques. Es vital que tengamos siempre las últimas actualizaciones y corrijamos así esos problemas.

Fuentes de información https[:]//blog.segu-info.com.ar/2020/06/malware-octopus-scanner-utiliza-github.html?m=1

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 5 de 20

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta El malware Lucifer autopropagable se dirige a los sistemas Windows. Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 26 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 24 de junio de 2020 por Threat Post, sobreun malware autopropagante, denominado Lucifer, que apunta a los sistemas Windows con criptojacking y ataques de denegación de servicio distribuido (DDoS).

2. Este malware intenta infectar las PC con exploits con el fin de obtener una lista "exhaustiva" de vulnerabilidades sin parches de configuracion informatica. Lucifer es un tipo híbrido de cryptojacking y variante de malware DDoS que aprovecha las vulnerabilidades antiguas para propagarse y realizar actividades maliciosas en las plataformas de Windows.

3. Las vulnerabilidades atacadas por Lucifer incluyen HTTP File Server ( CVE-2014-6287 ), Oracle Weblogic ( CVE-2017-10271 ), ThinkPHP RCE ( CVE-2018-20062 ), Apache Struts ( CVE-2017-9791 ), marco Laravel CVE-2019-9081 ) y Microsoft Windows ( CVE-2017-0144 , CVE-2017-0145 y CVE-2017-8464).

4. Después de explotar con éxito estas fallas, el atacante se conecta al servidor de comando y control (C2) y ejecuta comandos arbitrarios en el dispositivo vulnerable, Estos comandos incluyen realizar un ataque DoS TCP, UDP o HTTP. Otros configuraciones de comandos permiten que el malware inicie ataques de criptojacking , además de recopilar información de la interfaz y enviar el estado del actividad de informacion dañado al C2.

5. El malware también es capaz de autopropagarse a través de varios métodos, busca puertos TCP abiertos (también conocidos como puerto 1433) o puertos abiertos de llamada a procedimiento remoto (RPC) (también conocido como puerto 135).

6. Se recomienda lo siguiente:

Utilizar parches de configuracion de seguridad y fortalecer las contraseñas. Fuentes de información https[:]//threatpost.com/self-propagating-lucifer-malware-targets-windows-systems/156883/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 6 de 20

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Hackers ocultan los scripts de robo de tarjetas de crédito en los datos EXIF de favicon Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código Malicioso

Descripción

1. El 26 de Junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontro información que se detalla a continuación: Los hackers siempre están desarrollando sus tácticas para estar un paso por delante de las compañías de seguridad. Un ejemplo perfecto de esto es la ocultación de scripts de robo de tarjetas de crédito maliciosas en los datos EXIF de una imagen favicon para evadir la detección. Un ataque común utilizado para robar tarjetas de crédito es piratear el sitio web e inyectar scripts de JavaScript maliciosos que roban la información de pago enviada cuando un cliente realiza una compra. Estas tarjetas de crédito robadas se envían de vuelta a un servidor bajo el control de los actores de la amenaza donde se recolectan y se utilizan para compras fraudulentas o para vender en mercados criminales de la web oscura. Este tipo de ataques se llaman Magecart y se han utilizado en sitios web de compañías conocidas como Claire's , Tupperware , Smith & Wesson , Macy's y British Airways .

2. En un nuevo informe de Malwarebytes, se descubrió que una tienda en línea que usaba el complemento WooCommerce de WordPress estaba infectada con un script de Magecart para robar las tarjetas de crédito de los clientes. Lo que hizo que este ataque sobresaliera fue que los scripts utilizados para capturar datos de los formularios de pago no se agregaron directamente al sitio, sino que estaban contenidos en los datos EXIF para la imagen favicon de un sitio remoto. Cuando se crean imágenes, el desarrollador puede incrustar información como el artista que la creó, información sobre la cámara, información de derechos de autor e incluso la ubicación de la imagen. Esta información se denomina datos de formato de archivo de imagen intercambiable (EXIF).

3. Después de una mayor investigación, Malwarebytes descubrió que este favicon, aunque parecía inofensivo, en

realidad contenía scripts JavaScript maliciosos incrustados en sus datos EXIF, Una vez que la imagen de favicon se cargó en la página, los scripts agregados al sitio por los piratas informáticos cargarían los scripts de skimmer maliciosos incrustados en la imagen. Una vez que se cargaron estas secuencias de comandos, la información de la tarjeta de crédito presentada en las páginas de pago fue enviada de regreso a los atacantes donde podían ser recopilados a su gusto.

4. Como estas secuencias de comandos de robo de tarjetas maliciosas no están contenidas en el sitio pirateado, es

más difícil para el software de seguridad o incluso para los desarrolladores web darse cuenta de que algo puede estar mal. Malwarebytes pudo encontrar el kit que se utilizó para crear y realizar este ataque de magecart. Después de un análisis más detallado, se determinó que este ataque podría estar vinculado a un grupo de actores de amenazas conocido como 'Magecart 9'. Este grupo se ha relacionado con otras técnicas inteligentes en el pasado, como el uso de zócalos web para evadir la detección.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

5. Se recomienda lo siguiente:

Comunicar el suceso llamando por teléfono al banco y anular las tarjetas. También es necesario denunciar el robo de datos de la tarjeta puesto que sin la denuncia, no se puede reclamar contra los seguros o ir contra la entidad si no se hace responsable. A continuación, hay que reclamar ante el Servicio de atención al cliente en caso que la entidad no quiera hacerse cargo de las cantidades defraudas.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/hackers-hide-credit-card-stealing-scripts-in-favicon-exif-data/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 8 de 20

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Malware nitrohack roba información de tokens

Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C03 Clasificación temática familia

Código Malicioso

Descripción

1. El 26 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un nuevo malware de Discord denominado “NITROHACK” que modifica el cliente de Windows Discord en un troyano infostealing. Este malware introduce un código malicioso en el archivo de extensión .js con el nombre de “index.js” e intentó cambiar el mismo archivo en los clientes Iscord Canary y Discord Public Test Build, con la finalidad de obtener ilegalmente los tokens de los usuarios.

2. Asimismo, el malware está programado para intentar conectarse al enlace hxxps://discordapp.com/api/v6/users/@me/billing/payment-source e intentar recopilar información de pago guardada, con el propósito de obtener los detalles de la tarjeta de crédito, nombre completo, dirección de facturación y otros datos confidenciales. Al obtener la lista de contactos de la víctima, los ciberdelincuentes envían por medio de mensajes fraudulentos suplantando la identidad de Discord, donde ofrecen una suscripción al servicio Premium Discord Nitro descargando un archivo, al descargarlo el usuario se infecta inadvertidamente con dicho malware.

3. Al respecto, el malware copiará las bases de datos del navegador para Chrome, Discord, Opera, Brave, Yandex Browser, Vivaldi y Chromium y los escaneará en busca de tokens Discord, cuando finaliza la búsqueda, la lista de tokens encontrados se publicará en un canal de Discord bajo el control del atacante.

4. Recomendaciones:

Para eliminar el malware NitroHack, elimine el código de malware del archivo index.js, que puede hacerse manualmente o desinstalando el cliente Discord e instalándolo nuevamente.

Si utilizan VPN debes obtener una buena VPN y cambiar su configuración de privacidad de Discord.

No abrir mensajes de personas que no conocemos.

No instalar softwares desconocidos y sin analizar.

Realizar copias de seguridad periódicas de los datos.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 9 de 20

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Ataque tipo phishing suplantando una identidad bancaria. Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 26 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que ciberdelincuentes siguen aprovechándose del confinamiento social generado por la pandemia Covid-19 (Coronavirus), mediante una campaña tipo phishing suplantando una identidad bancaria, por medio del enlace fraudulento, con la finalidad de realizar el robo de información bancaria.

SITIO WEB MALICIOSO

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

2. Por otro lado, se analizó el enlace en la página web “Virus Total” donde es catalogado como phishing.

3. Recomendaciones:

Evitar ingresar a enlaces desconocidos o de dudosa procedencia.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Virus Total, Osint.

SITIO WEB OFICIAL

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 11 de 20

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ Nombre de la alerta Ataque tipo phishing suplantando una identidad bancaria. Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico. Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 26 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó que ciberdelincuentes siguen aprovechándose del confinamiento social generado por la pandemia Covid-19 (Coronavirus), mediante una campaña de tipo phishing que se distribuye a través de anuncios en Facebook, donde suplantan una identidad bancaria con el objetivo de robar credenciales de acceso y su información personal. El anuncio en la red social ofrece a que los usuarios actualicen sus datos para participar en un sorteo diario de S/ 7,000 soles, ingresando al enlace fraudulento hxxps://bit.ly/2B3GqQa.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

2. Por otro lado, se analizó el enlace en la página web “Virus Total” donde es catalogado como phishing.

3. Recomendaciones:

Evitar ingresar a enlaces desconocidos o de dudosa procedencia.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Virus Total, Osint.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 13 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad en WebEx, pone en riesgo información de usuarios

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de subfamilia H01

Clasificación temática familia

Intento de intrusión

Descripción

1. El 26 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio se detectó que, el

investigador Martin Rakhmanov, de la compañía Trustwave, encontró una vulnerabilidad identificada con el código CVE-2020-3347, para Windows v. 40.4.12.8. El fallo consiste en la posibilidad de que un usuario no autenticado podría ganar acceso a información sensible que se encuentre en el dispositivo afectado por este fallo.

2. De acuerdo a la información publicada por CISCO, el fallo se debe a un uso inseguro de la memoria compartida utilizada por el dispositivo comprometido. Un atacante con permisos para leer la memoria del sistema podría explotar la vulnerabilidad ejecutando una aplicación en local diseñada para llevar a cabo dicha lectura. De ser exitosa la explotación de la vulnerabilidad, el atacante podría hacerse con información sensible almacenada en la memoria compartida, como por ejemplo nombres de usuarios, información sobre las reuniones, e incluso tokens de autenticación que permitirían al usuario malintencionado explotar nuevamente este fallo de manera más sencilla en un futuro.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

3. El modo de trabajo de la vulnerabilidad consiste, que durante el proceso de instalación de WebEx en el

dispositivo se añade un tray app que se ejecuta una vez el usuario inicia sesión y a al mismo tiempo da comienzo un proceso dependiente. Si el usuario en cuestión tiene configurado el cliente para que se realice un inicio de sesión automático (funcionalidad habilitada por defecto), ocurre lo que se explicará a continuación.

4. El cliente tiene varios archivos de memoria (o secciones, según la terminología de Windows) abiertos y algunos de ellos no están protegidos frente a la posibilidad de que se abran para llevar a cabo su lectura o escritura por cualquier usuario de Windows. Más específicamente, hay una sección llamada \Sessions\BaseNamedObjects\WBXTRA_TRACE_FILE_EX que resulta de particular interés.

5. Un atacante podría abrir este archivo y volcar su contenido si contase con acceso directo al equipo afectado. El investigador afirma que este archivo siempre contiene información como la cuenta de correo utilizada para iniciar sesión, y la URL de las conferencias. Además, una vez se comienza una reunión, el archivo también almacenará un WebExAccessToken que permitiría al atacante hacerse pasar por el usuario y acceder a su cuenta de WebEx.

6. Recomendaciones:

Los usuarios que hagan uso del servicio de WebEx, por parte de Cisco, deberán extremar medidas por medio de las áreas correspondientes para la actualización e instalación del parche de seguridad.

Fuentes de información https[:]//unaaldia.hispasec.com/2020/06/vulnerabilidad-en-webex-permite-a-atacantes-acceso-no-autorizado-a-las-videoconferencias-los-usuarios.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 15 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Hackeo de la página del Centro de Diagnóstico de la India

Tipo de ataque Modificación del Sitio Web Abreviatura ModSitWeb

Medios de propagación Red, internet

Código de familia L Código de subfamilia L01

Clasificación temática familia Vandalismo

Descripción

1. El 26 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio se detectó que, en

la red Social Twitter, el usuario identificado como “Sin1peCrew”, (@sin1pecrew), realizó una publicación, donde se muestra el ataque denominado defacement (ataque a un sitio web que cambia la apariencia visual de una página web), a la página del Centro de Diagnóstico de la India.

2. Recomendaciones:

Los administradores de red de las áreas de informática deberán extremar medidas en cuanto a las políticas de seguridad y las configuraciones de las páginas web del Estado.

Fuentes de información https[:]//twitter.com/sin1pecrew/status/1274845339862867973

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 16 de 20

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nueva variante de ransomware WastedLocker desarrollada por el grupo Evil Corp

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de subfamilia C09

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

El grupo de ciberdelincuentes de origen ruso conocido como Evil Corp, también conocido como Indrik Spider. Ha empezado a utilizar un nuevo ransomware llamado “WastedLocker” que ha sido utilizado en ataques dirigidos contra empresas. El grupo Evil Corp ha estado cambiando recientemente una serie de sus TTP, posiblemente en respuesta a las acciones legales contra el grupo y algunos de sus miembros.

2. Detalles:

El grupo Evil Corp ha estado activo desde al menos 2011 y ha utilizado ampliamente el troyano bancario Dridex y el ransomware BitPaymer. El grupo tiene acceso a exploits altamente calificados y desarrolladores de software capaces de eludir las defensas de la red en todos los niveles. El grupo parece hacer un gran esfuerzo para evitar los productos de protección de punto final.

Evil Corp es selectivo en términos de la infraestructura a la que apuntan al implementar su ransomware. Por lo general, llegan a servidores de archivos, servicios de bases de datos, máquinas virtuales y entornos en la nube.

NCC Group informa que, en mayo de 2020, el grupo Evil Corp comenzó a usar un nuevo paquete de ransomware llamado WastedLocker. El nuevo ransomware WastedLocker apareció en mayo de 2020. El nombre del ransomware se deriva del nombre de archivo que crea, que incluye una abreviatura del nombre de la víctima y la cadena “wasted”.

El grupo es selectivo en sus objetivos y, por lo general, en entornos de nube, servicios de bases de datos, servidores de archivos y máquinas virtuales. Estos tipos de objetivos tienen el potencial de un retorno financiero más alto que apuntar a los consumidores.

El método de distribución utilizado por el grupo no ha cambiado y continúan utilizando el marco de actualización falso de SocGholish que se usa para distribuir directamente un cargador CobaltStrike personalizado. Una de las características más notables de este marco es la evaluación de si un sistema de víctima comprometido es parte de una red más grande, ya que un único sistema de usuario final no sirve para los atacantes. El robot JavaScript SocGholish tiene acceso a la información del propio sistema, ya que se ejecuta bajo los privilegios del usuario del navegador. El bot recopila una gran cantidad de información y la envía al lado del servidor SocGholish que, a su vez, devuelve una carga útil al sistema de la víctima.

Las cargas útiles de CobaltStrike están integradas dentro de dos tipos de scripts de PowerShell. El primer tipo (que se dirige solo a Windows de 64 bits) decodifica una carga útil base64 dos veces y luego la descifra usando el algoritmo AES en modo CBC. El segundo tipo es relativamente más simple e incluye dos cargas útiles codificadas en base64, un inyector y un cargador para la carga útil CobaltStrike.

WastedLocker está protegido con un crypter personalizado, conocido como CryptOne por Fox-IT InTELL. El crypter contiene principalmente código basura para aumentar la entropía de la muestra y ocultar el código real. En el examen, el código resultó ser muy básico y utilizado también por otras familias de malware como: Netwalker, Gozi ISFB v3, ZLoader y Smokeloader.

Cuando se ejecuta WastedLocker, si no se ejecuta con derechos administrativos, intentará elevar sus privilegios utilizando una técnica de derivación UAC. Encriptará archivos en unidades fijas, remotas, extraíbles y compartidas. Cada archivo se encripta utilizando el algoritmo AES con una clave AES recién generada y IV (256 bits en modo CBC) para cada archivo. La clave AES y IV están encriptados con una clave RSA pública incorporada (4096 bits). La salida cifrada RSA del material clave se convierte en base64 y luego se almacena en la nota de rescate. Para cada archivo cifrado, el ransomware crea un archivo adicional que incluye la nota de ransomware.

En lugar de la lista común de tipos de archivos para encriptar, WastedLocker usa una lista de exclusión de directorios y archivos que no deben encriptarse.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

3. Indicadores de Compromiso (IoC):

CobaltStrike C & C Dominios

adsmarketart.com

advancedanalysis.be

advertstv.com

amazingdonutco.com

cofeedback.com

consultane.com

dns.proactiveads.be

mwebsoft.com

rostraffic.com

traffichi.com

typiconsult.com

websitelistbuilder.com

SHA256: Muestras personalizadas del cargador CobaltStrike

2f72550c99a297558235caa97d025054f70a276283998d9686c282612ebdbea0

389f2000a22e839ddafb28d9cf522b0b71e303e0ae89e5fc2cd5b53ae8356848

3dfb4e7ca12b7176a0cf12edce288b26a970339e6529a0b2dad7114bba0e16c3

714e0ed61b0ae779af573dce32cbc4d70d23ca6cfe117b63f53ed3627d121feb

810576224c148d673f47409a34bd8c7f743295d536f6d8e95f22ac278852a45f

83710bbb9d8d1cf68b425f52f2fb29d5ebbbd05952b60fb3f09e609dfcf1976c

91e18e5e048b39dfc8d250ae54471249d59c637e7a85981ab0c81cf5a4b8482d

adabf8c1798432b766260ac42ccdd78e0a4712384618a2fc2e3695ff975b0246

b0354649de6183d455a454956c008eb4dec093141af5866cc9ba7b314789844d

bc1c5fecadc752001826b736810713a86cfa64979b3420ab63fe97ba7407f068

c781c56d8c8daedbed9a15fb2ece165b96fdda1a85d3beeba6bb3bc23e917c90

c7cde31daa7f5d0833f9c7591378b4983765eac12efa75c1baaaefa5f6bdb2b6

f093b0006ef5ac52aa1d51fee705aa3b7b10a6af2acb4019b7bc16da4cabb5a1

Sha256: Muestras de WastedLocker

5cd04805f9753ca08b82e88c27bf5426d1d356bb26b281885573051048911367

887aac61771af200f7e58bf0d02cb96d9befa11deda4e448f0a700ccb186ce9d

8897db876553f942b2eb4005f8475a232bafb82a50ca7761a621842e894a3d80

bcdac1a2b67e2b47f8129814dca3bcf7d55404757eb09f1c3103f57da3153ec8

e3bf41de3a7edf556d43b6196652aa036e48a602bb3f7c98af9dae983222a8eb

ed0632acb266a4ec3f51dd803c8025bccd654e53c64eb613e203c590897079b3

4. Recomendaciones:

Realizar regularmente copias de seguridad de datos críticos para mitigar los efectos de un ataque de ransomware.

No abrir archivos adjuntos o enlaces web que en correos electrónicos recibidos que son irrelevantes, y/o enviados desde direcciones desconocidas y sospechosas.

Todo el software y los archivos deben descargarse de sitios web oficiales y confiables y a través de enlaces directos.

Asegúrese de que el software antivirus y los archivos asociados estén actualizados.

Busque signos existentes de las IoC indicadas en su entorno.

Considere bloquear y / o configurar la detección de todas las URL e IoC basadas en IP.

Mantenga las aplicaciones y los sistemas operativos en ejecución en el nivel de parche lanzado actual. Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

Fuentes de información hxxps://research.nccgroup.com/2020/06/23/wastedlocker-a-new-ransomware-variant-developed-by-the-evil-corp-group/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 083

Fecha: 26-06-2020

Página: 18 de 20

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta WastedLocker Ransomware distribuido a través de programas falsos.

Tipo de ataque Ransomware Abreviatura Ransomware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de subfamilia C09

Clasificación temática familia Código malicioso

Descripción

1. El 25 de junio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web bleepingcomputer, se informa que, el grupo ruso de Cibercrimen conocido como Evil Corp ha agregado un nuevo Ransomware a su arsenal llamado WastedLocker, el cual tiene como objetivo a empresas, para entregar el Ransomware, Evil Corp está pirateando sitios para insertar código malicioso que muestra alertas de actualización de software falsos del marco de actualización falso de SocGholish .

2. Detalles:

Una de las cargas útiles enviadas en estos ataques es la prueba de penetración Cobalt Strike y el kit de herramientas de post explotación, que Evil Corp utiliza para obtener acceso al dispositivo infectado.

Los actores de la amenaza luego usan este acceso para comprometer aún más la red e implementar WastedLocker Ransomware.

Cuando se inicia, el Ransomware WastedLocker elegirá un archivo EXE o DLL aleatorio en C: \ Windows \ System32 y usará el nombre de ese archivo para crear un nuevo archivo sin una extensión en la carpeta% AppData%.

Adjunto a este archivo hay una secuencia de datos alternativa llamada 'bin', que luego se ejecutará.

Una vez ejecutado, el Ransomware intentará cifrar todas las unidades de la computadora, omitiendo archivos en carpetas específicas o que contengan ciertas extensiones.

El Ransomware combinará la cadena 'desperdiciada' y las iniciales de la compañía para generar una extensión que se agrega a los archivos cifrados de la víctima.

Para cada archivo que está encriptado, WastedLocker también creará una nota de rescate que termina con _info, esta nota de rescate contiene una dirección de correo electrónico protonmail.com y tutanota.com e instrucciones para contactarlos por el monto del rescate que, oscilan entre $ 500,000 y millones de dólares.

Imágenes:

Alertas falsas de actualización de software Ransomware ejecutable en% AppData%

Archivos cifrados WastedLocker flujo de datos alternativa

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de Compromiso:

o Hashes: (SHA-256) 5cd04805f9753ca08b82e88c27bf5426d1d356bb26b281885573051048911367

887aac61771af200f7e58bf0d02cb96d9befa11deda4e448f0a700ccb186ce9d

8897db876553f942b2eb4005f8475a232bafb82a50ca7761a621842e894a3d80

bcdac1a2b67e2b47f8129814dca3bcf7d55404757eb09f1c3103f57da3153ec8

e3bf41de3a7edf556d43b6196652aa036e48a602bb3f7c98af9dae983222a8eb

ed0632acb266a4ec3f51dd803c8025bccd654e53c64eb613e203c590897079b3

Archivo Analizado:

Nombre: Launchy.exe Creación: 29/05/2020 Tipo: Win32 EXE Tamaño: 1.08 MB (1130896 bytes) Objetivo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit MD5: 6b20ef8fb494cc6e455220356de298d0 SHA-1: 763d356d30e81d1cd15f6bc6a31f96181edb0b8f

o Inyector .Net sha256: 6088e7131b1b146a8e573c096386ff36b19bfad74c881ca68eda29bd4cea3339 Nombre: jerhgkjehrgerg.dll Tipo: Win32 DLL Tamaño: 5.50 KB (5632 bytes)

3. Algunas Recomendaciones:

No abra Email de remitentes desconocidos.

No descargue archivos adjuntos.

Mantenga su antivirus actualizado.

Tenga cuidado con los archivos adjuntos y enlaces en correos electrónicos.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 20 de 20

Índice alfabético

bot .................................................................................................................................................................................... 16 Código malicioso .................................................................................................................................................... 5, 16, 18 Correo electrónico ..................................................................................................................................................... 16, 18 Correo electrónico, redes sociales, entre otros ........................................................................................................ 16, 18 DDoS .................................................................................................................................................................................. 5 exploits ........................................................................................................................................................................ 5, 16 Explotación de vulnerabilidades conocidas ..................................................................................................................... 13 Fraude .......................................................................................................................................................................... 9, 11 hxxp ................................................................................................................................................................................... 3 Intento de intrusión ......................................................................................................................................................... 13 internet .......................................................................................................................................................................... 3, 5 malware ........................................................................................................................................................... 2, 4, 5, 8, 16 Malware ............................................................................................................................................................. 2, 4, 5, 6, 8 Modificación del sitio web ................................................................................................................................................. 3 phishing ....................................................................................................................................................... 2, 9, 10, 11, 12 Phishing ....................................................................................................................................................................... 9, 11 puerto ................................................................................................................................................................................ 5 ransomware ..................................................................................................................................................... 2, 16, 17, 19 Ransomware .......................................................................................................................................................... 2, 16, 18 Red, internet .......................................................................................................................................................... 4, 13, 15 redes sociales ..................................................................................................................................................................... 1 Redes sociales .............................................................................................................................................................. 9, 11 servidor .................................................................................................................................................................... 5, 6, 16 servidores ........................................................................................................................................................................ 16 software ........................................................................................................................................... 6, 8, 10, 12, 16, 17, 18 URL ............................................................................................................................................................................. 14, 17 USB, disco, red, correo, navegación de internet ........................................................................................................... 6, 8 Vandalismo .................................................................................................................................................................. 3, 15 Vulnerabilidad.............................................................................................................................................................. 2, 13 Vulnerabilidades ................................................................................................................................................................ 4