Lima, 3 de setiembre de 2020 · 2020. 9. 4. · PECERT │Equipo de Respuestas ante Incidentes de...

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

[email protected]

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 3 de setiembre de 2020

http://www.gob.pe/

mailto:[email protected]


www.gob.pe

[email protected]

Contenido Email suplanta a Bankia para robar información de los usuarios ................................................................. 3

Vulnerabilidades en Cisco Jabber .................................................................................................................. 4

El nuevo archivo adjunto 'Red Dawn' del malware Emotet es igualmente peligroso ................................... 5

El problema de enrutamiento de CenturyLink provocó interrupciones en Hulu, Steam, Discord y más ..... 6

Nuevo malware “KryptoCibule” .................................................................................................................... 7

Malware “Sepulcher” .................................................................................................................................... 8

Suplantan identidad de la plataforma Amazon Prime por correo electrónico ............................................. 9

Grupo “BeagleBoyz” vinculado a Corea del Norte está robando bancos en todo el mundo ......................10

Detección del Malware KryptoCibule ..........................................................................................................13

Índice alfabético ..........................................................................................................................................15

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 152

Fecha: 03-09-2020

Página: 3 de 15

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Email suplanta a Bankia para robar información de los usuarios

Tipo de ataque Troyano Abreviatura Troyano

Medios de propagación Correo electrónico, Red e Internet

Código de familia C Código de subfamilia C01

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, a través de búsqueda de amenazas en el ciberespacio, identificó la propagación de correo electrónico que suplantaba a financiera Bankia de España.

2. Detalles de la alerta:

Si nos centramos en el cuerpo del mensaje (Figura 1) podemos observar como este se encuentra bien redactado, usando los colores y el logo corporativo de esta entidad. Podríamos pensar que los enlaces incluidos en el correo pertenecen a alguna web de phishing que está intentando suplantar a la entidad para tratar de robarnos las credenciales de acceso a nuestra banca online, pero nada más lejos de la realidad.

La clave aquí se encuentra en el fichero adjunto “0000001569.pdf (9K).rar” que se menciona en el mensaje y que resulta sospechoso ya que, supuestamente viene en formato PDF, pero en realidad se encuentra comprimido en formato RAR. Además, las cabeceras del mensaje, a pesar de parecer legítimas esconden detalles que, sin nos paramos a revisar sirven para determinar que se está suplantando la identidad de Bankia. A pesar de que, apartados como el remitente, el Message ID e incluso el Return Path parecen estar correctos, otros como el campo X-PPP-VHost apuntan a un dominio perteneciente a una empresa de Vigo, lo que hace que salten las alarmas de no pocos filtros antispam corporativos. Si el usuario abre el archivo desencadenara la ejecución del troyano, el cual contiene código malicioso.

Este malware está especializado en el robo de información del sistema, concretamente en recopilar información de una serie de aplicaciones en las que los delincuentes están interesados. Entre las aplicaciones que buscan los atacantes encontramos clientes de correo electrónico y FTP y navegadores, obteniendo datos de perfiles de usuario y credenciales que luego pueden ser usadas en otros ataques o simplemente vendiéndolas a otros delincuentes.

3. Indicadores de Compromiso:

Instalación: %appdata%\¬SubDir\¬Client.exe Fichero: lc6WfBbqYyJmk2p.exe

4. Recomendaciones:

Evaluar bloqueo preventivo de los indicadores de compromiso.

Revisar los controles de seguridad de los AntiSpam y SandBoxing.

No abrir correos ni mensajes de dudosa procedencia.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 03-09-2020

Página: 4 de 15

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidades en Cisco Jabber Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H1 Clasificación temática familia Intento de intrusión

Descripción

1. El 03 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una publicación, sobre cuatro vulnerabilidades en Cisco Jabber los identificadores asignados a estas vulnerabilidades son: CVE-2020-3430, CVE-2020-3495, CVE-2020-3537 y CVE-2020-3498.

2. Según los investigadores de seguridad de Watchcom han descubierto cuatro vulnerabilidades en Cisco Jabber, la cual es una aplicación de mensajería instantánea y videoconferencia, utilizada en empresas para comunicaciones internas; así como, llamar, charlar o realizar reuniones con empresas externas a la organización.

3. Según los expertos muchas organizaciones utilizan estas aplicaciones en el cual se comparte información confidencial a través de videollamadas o mensajes instantáneos, lo que lo convierte en un objetivo más atractivo para los ciberdelincuentes, por ello la seguridad en este tipo de aplicaciones es muy importante para poder detectar las brechas de seguridad que puedan tener.

4. Asimismo, según los expertos las vulnerabilidades que se descubrieron son de gravedad media y critica, dos de las vulnerabilidades encontradas pueden ser aprovechadas a través de ejecución remota de código; así como, la vulnerabilidad más grave se puede usar con gusanos para propagar malware automáticamente sin interacción con el usuario. Por lo que los investigadores informaron sobre estas vulnerabilidades encontradas a Cisco. Por ello se recomienda a los usuarios que actualicen la aplicación a la última versión de la página del proveedor.

5. Se recomienda:

Actualizar a la última versión de Cisco Jabber.

Actualizar el antivirus.

No abrir la aplicación hasta actualizar a una versión parchada.

Fuentes de información https[:]//watchcom.no/nyheter/nyhetsarkiv/uncovers-cisco-jabber-vulnerabilities

http://www.gob.pe/


https://watchcom.no/nyheter/nyhetsarkiv/uncovers-cisco-jabber-vulnerabilities


www.gob.pe

[email protected]

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 152

Fecha: 03-09-2020

Página: 5 de 15

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta El nuevo archivo adjunto 'Red Dawn' del malware Emotet es igualmente peligroso Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso

Descripción

1. El 03 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 31 de agosto de 2020 por Bleepingcomputer, sobre la botnet Emotet ha comenzado a utilizar una nueva plantilla para sus archivos adjuntos maliciosos, y es tan peligrosa como siempre.

2. Después de unas "vacaciones" de cinco meses, el malware Emotet regresó en julio de 2020 y comenzó a arrojar cantidades masivas de spam malicioso en todo el mundo.

3. Estas campañas de spam pretenden ser facturas, información de envío, información de COVID-19 , currículums, documentos financieros o documentos escaneados, adjuntos a estos correos electrónicos no deseados hay archivos adjuntos maliciosos de Word (.doc) o un enlace para descargar uno.

4. Cuando se abren, estos archivos adjuntos pedirán al usuario que 'Habilite contenido' para que se ejecuten macros maliciosas para instalar el malware Emotet en la computadora de la víctima. Para engañar a un usuario para que habilite las macros, Emotet ha estado usando una plantilla de documento que le dice a los usuarios que el documento fue creado en iOS y no se puede ver correctamente a menos que se haga clic en el botón 'Habilitar contenido'.

5. Emotet se considera el malware más extendido dirigido a los usuarios en la actualidad. También es particularmente dañino, ya que instalará otro malware peligroso como Trickbot y QBot en la computadora de la víctima.

6. Se recomienda lo siguiente:

No descargar archivos de sitios de dudosa reputación, mantén los programas y el sistema operativo actualizados,

no confíar en e-mails con programas o archivos ejecutables adjuntos.

Fuentes de información https[:]//www.bleepingcomputer.com/news/security/emotet-malwares-new-red-dawn-attachment-is-just-as-dangerous/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 03-09-2020

Página: 6 de 15

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta El problema de enrutamiento de CenturyLink provocó interrupciones en Hulu, Steam, Discord y más

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación USB, disco, red, correo, navegación de internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión

Descripción

1. El 03 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 31 de agosto de 2020 por Bleepingcomputer, sobre un error de enrutamiento de CenturyLink BGP ha provocado un efecto dominó en internet que provocó interrupciones en numerosos servicios conectados a internet como Cloudflare, Amazon, Garmin, Steam, Discord, Blizzard y muchos más.

2. Estas interrupciones comenzaron aproximadamente a las 6 am EST, cuando los clientes comenzaron a informar una interrupción a gran escala en los EE. UU. Que afectaba los servicios de CenturyLink.

3. En Twitter, hubo una afluencia repentina de quejas sobre un rendimiento deficiente o interrupciones en numerosos servicios conectados como Blizzard, Steam, Discord, Roblox, Cloudflare, Hulu, Slink, Reddit, Amazon AWS y muchos más, CenturyLink afirma que su centro de datos de nivel 3 CA3 está causando esta interrupción y están investigando el problema.

4. Como se trata principalmente de un sistema basado en la confianza, cuando un ISP grande comienza a anunciar rutas para rangos de direcciones IP que no administra, provoca interrupciones en todo el mundo y problemas de rendimiento.

5. Según los informes de los clientes, CenturyLink parece haber cometido un error en el enrutamiento de BGP, lo que generó problemas a gran escala en la actualidad. Como se trata principalmente de un sistema basado en la confianza, cuando un ISP grande comienza a anunciar rutas para rangos de direcciones IP que no administra, provoca interrupciones en todo el mundo y problemas de rendimiento.

6. Según los informes de los clientes, CenturyLink parece haber cometido un error en el enrutamiento de BGP, lo que generó problemas a gran escala en la actualidad.

7. Se recomienda lo siguiente:

Para que internet funcione, los proveedores de servicios de internet, los centros de datos y los proveedores de red anuncian a través del protocolo de enrutamiento BGP las direcciones IP que enrutan y administran.

Fuentes de información https[:]//www.bleepingcomputer.com/news/technology/centurylink-routing-issue-led-to-outages-on-hulu-steam-discord-more/

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 03-09-2020

Página: 7 de 15

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Nuevo malware “KryptoCibule”

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet



Descripción

1. El 2 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un nuevo malware denominado “KryptoCibule” tiene como objetivo instalar un minero en los sistemas de los usuarios que tienen criptomonedas, luego roba los archivos relacionados con la billetera de criptomonedas y finalmente, reemplaza las direcciones de billetera en el portapapeles del sistema operativo, con la finalidad de robar información de los pagos en criptomonedas.

2. KryptoCibule, se distribuye a traves de archivos de Torrent para software pirateado, al descargarlo este ejecuta de forma automática el malware. Asimismo, usa el cliente Tor para comunicarse de forma segura con sus servidores de comando y control (C&C), alojados en la web oscura, mientras que el cliente torrent se usa para cargar archivos torrent que eventualmente descargarán otros módulos adicionales, como servidores proxy, módulos de cripto-minería y servidores HTTP y SFTP, todos útiles para una o más tareas en el modus operandi del malware.

3. Recomendaciones:

Evitar descargar software de sitios web no oficiales.

Mantener el sistema operativo y antivirus actualizados principalmente.

Evitar abrir correos de remitentes desconocidos.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

http://www.gob.pe/



www.gob.pe

[email protected]


Fecha: 03-09-2020

Página: 8 de 15


Nombre de la alerta Malware “Sepulcher”

Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de subfamilia C03 Clasificación temática familia Código malicioso

Descripción

1. El 3 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento sobre una investigación realizada por la empresa PROOFPOINT, dedicada al ámbito de ciberseguridad donde menciona DOS (02) campañas de ciberespionaje realizadas por un grupo de hackers de origen chino denominado “APT TA413” donde utilizan el malware denominado “Sepulcher”.

2. La primera campaña de phishing se realizó en Marzo dirigida a Europa (organismos diplomáticos y legislativos europeos) en la que los hackers enviaban supuestas directrices contra el coronavirus de parte de la Organización Mundial de la Salud (OMS) a través de correos electrónicos adjuntando un archivo llamado “Covdi.rtf”, al ejecutarse, explota una vulnerabilidad del editor de ecuaciones de Microsoft, instalando un metarchivo de Windows (WMF) en un archivo directorio (% \ AppData \ Local \ Temp \ wd4sx.wmf), el que finalmente al ser ejecutado instala de forma automática el malware.

3. La segunda campaña de phishing, que comenzó a finales de julio, se dirigió a los disidentes tibetanos con la misma cepa de malware Sepulcher. Los correos electrónicos, que supuestamente provenían de la “Asociación de Mujeres Tibetanas”, incluían un archivo adjunto malicioso en PowerPoint (titulado “TIBETANOS SON GOLPEADOS POR UN VIRUS MORTAL QUE LLEVA UN ARMA Y HABLA CHINO.ppsx”). El correo electrónico estaba dirigido a disidentes, y el archivo adjunto, una vez abierto, hacía referencia a "Tíbet, activismo e información". Cuando se ejecuta el archivo adjunto de PowerPoint, llama a la IP 118[.]99[.]13 para descargar una carga útil de malware Sepulcher llamada "file.dll".

4. Sepulcher, tiene una carga útil básica de un troyano de acceso remoto (RAT), con la capacidad de realizar funciones de reconocimiento dentro del host infectado, incluida la obtención de información sobre las unidades, información de archivos, estadísticas de directorio, rutas de directorio, contenido de directorio, procesos y servicios en ejecución. Asimismo, es capaz de eliminar directorios y archivos, crear directorios, mover el origen del archivo al destino, generar un shell para ejecutar comandos, finalizar un proceso, reiniciar un servicio, cambiar un tipo de inicio de servicio y eliminar un servicio.

5. Recomendaciones:

Evitar descargar software de sitios web no oficiales.

Mantener el sistema operativo y antivirus actualizados principalmente.

Evitar abrir correos de remitentes desconocidos.


http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 03-09-2020

Página: 9 de 15


Nombre de la alerta Suplantan identidad de la plataforma Amazon Prime por correo electrónico

Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude

Descripción

1. El 2 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó el envío de correos electrónicos fraudulentos suplantando la identidad de la plataforma de streaming “Amazon Prime Video”, donde solicita al usuario “complete cuestionario y obtener un año de suscripción solo por €2” ingresando en el enlace “Continuar”, con la finalidad de robar sus datos personales y credenciales de su cuenta bancaria.

2. Al ingresar al enlace, este redirige al usuario a un sitio web fraudulento donde solicita que ingrese sus datos personales y sus credenciales bancarias para acceder a la promoción que están realizando.

3. Recomendaciones:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes de dudosa procedencia.

Evitar brindar información personal.

Mantener los equipos protegidos, con el software actualizado.


http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 03-09-2020

Página: 10 de 15

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Grupo “BeagleBoyz” vinculado a Corea del Norte está robando bancos en todo el mundo

Tipo de ataque Malware Abreviatura Malware

Medios de propagación Red, correo, redes sociales, internet


Clasificación temática familia Código malicioso Descripción

1. Resumen:

La Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA), el Departamento del Tesoro, el FBI y US Cyber Command, han emitido una alerta conjunta indicando haber identificado un esquema de Cash-OUT o retiro de dinero de cajeros automáticos y transferencias fraudulentas por parte del grupo “BeagleBoyz” vinculado al gobierno de Corea del Norte y que ha dirigido sus ataques a instituciones financieras desde 2015 hasta 2020 en los siguientes países: Argentina, Brasil, Bangladesh, Bosnia y Herzegovina, Bulgaria, Chile, Costa Rica, Ecuador, Ghana, India, Indonesia, Japón, Jordania, Kenia, Kuwait, Malasia, Malta, México, Mozambique, Nepal, Nicaragua, Nigeria, Pakistán, Panamá, Perú, Filipinas, Singapur, Sudáfrica, Corea del Sur, España, Taiwán, Tanzania, Togo, Turquía, Uganda, Uruguay, Vietnam, Zambia.

Además de robar a las instituciones financieras tradicionales, BeagleBoyz apunta a los intercambios de criptomonedas para robar grandes cantidades de criptomonedas, valoradas en cientos de millones de dólares.

2. Detalles:

El aparato de inteligencia de Corea del Norte controla un equipo de piratería dedicado a robar bancos a través del acceso remoto a Internet. Para diferenciar los métodos de otras actividades cibernéticas maliciosas de Corea del Norte, el gobierno de EE. UU. se refiere a este equipo como BeagleBoyz, que representa un subconjunto de la actividad de Hidden COBRA. Los BeagleBoyz se superponen en diversos grados con grupos rastreados por la industria de la ciberseguridad como Lazarus, Advanced Persistent Threat 38 (APT38), Bluenoroff y Stardust Chollima y son responsables de los retiros de efectivo en cajeros automáticos FASTCash reportados en octubre de 2018, abuso fraudulento de bancos comprometidos, puntos finales del sistema SWIFT desde al menos 2015 y lucrativos robos de criptomonedas.

El esquema generalizado de robo de bancos internacional de Corea del Norte que explota los sistemas bancarios críticos puede erosionar la confianza en esos sistemas y presenta riesgos para las instituciones financieras de todo el mundo. Cualquier robo de BeagleBoyz dirigido a un banco implica a muchas otras empresas de servicios financieros tanto en el robo como en el flujo de fondos ilícitos de regreso a Corea del Norte. La actividad de BeagleBoyz se ajusta a un patrón conocido de Corea del Norte de abusar del sistema financiero internacional para obtener ganancias.

El gobierno de los EE. UU. ha observado que BeagleBoyz monetiza con éxito el acceso ilícito a los terminales SWIFT de las instituciones financieras para permitir el fraude electrónico y obtener acceso a los servidores de aplicaciones de cambio de pago de las instituciones, lo que permitió retiros de efectivo fraudulentos en cajeros automáticos. Después de obtener acceso a uno o ambos de estos sistemas operacionalmente críticos, BeagleBoyz monitorea los sistemas para conocer sus configuraciones y patrones de uso legítimo, y luego implementan herramientas a medida para facilitar la monetización ilícita.

BeagleBoyz usa el malware FASTCash para interceptar mensajes de solicitud financiera y responder con mensajes de respuesta afirmativa fraudulentos, pero de apariencia legítima en el formato ISO 8583. Los BeagleBoyz tienen malware FASTCash funcionalmente equivalente para UNIX y Windows que implementan dependiendo del sistema operativo que se ejecuta en el servidor que aloja la aplicación de cambio de pago del banco.

Los robos bancarios de BeagleBoyz plantean un grave riesgo operativo para las empresas individuales más allá del daño a la reputación y la pérdida financiera por robo y costos de recuperación. Los BeagleBoyz han intentado robar casi USD 2 mil millones desde al menos 2015, según estimaciones públicas. Igualmente, preocupante, estos actores maliciosos han manipulado y, en ocasiones, han dejado inoperables sistemas informáticos críticos en bancos y otras instituciones financieras.

Esta campaña de ataques FASTCash, se inició en 2016, y tras haber permanecido pausada durante un tiempo, se alerta del aumento de su actividad y nivel de sofisticación.

http://www.gob.pe/


https://us-cert.cisa.gov/ncas/alerts/aa20-239a


www.gob.pe

[email protected]

Según indica el comunicado, se atribuye al grupo operaciones cibernéticas bien planificadas, disciplinadas y metódicas. BeagleBoyz utiliza una variedad de herramientas y técnicas para obtener acceso a la red de una institución financiera, aprender la topología para descubrir sistemas clave y monetizar su acceso.

Esta operación, trata de una maniobra fraudulenta internacional cuyo objetivo son las instituciones financieras de países de Latinoamérica, África, Asia o Europa. BeagleBoyz es conocido por utilizar la ingeniería social como vector de entrada, para obtener así el acceso inicial a instituciones financieras. El grupo utiliza campañas de phishing dirigido o spearphishing para atraer a las víctimas e incitar a que se descarguen malware en sus dispositivos.

BeagleBoyz explota selectivamente los sistemas informáticos de las víctimas después de comprometer inicialmente una computadora conectada a la red corporativa de una institución financiera. Después de obtener acceso inicial a la red corporativa de una institución financiera, los BeagleBoyz son selectivos en qué sistemas de víctimas explotan aún más. BeagleBoyz utiliza una variedad de técnicas para ejecutar su código en sistemas de víctimas locales y remotos, así como para mantener el acceso en redes comprometidas mediante reinicios del sistema, cambio de credenciales y otras interrupciones que podrían afectar su acceso.

Los BeagleBoyz a menudo buscan acceso a los sistemas de las instituciones financieras que tienen cuentas de usuario y sistema escalonadas con privilegios personalizados. BeagleBoyz debe superar estas restricciones para acceder a los sistemas necesarios, monitorear el comportamiento normal del usuario e instalar y ejecutar herramientas maliciosas adicionales. A lo largo de su explotación de la red informática de una institución financiera, los BeagleBoyz han utilizado diferentes técnicas para evitar ser detectados por las funciones de seguridad del sistema operativo, el software de seguridad del sistema y de la red y las auditorías del sistema.

BeagleBoyz puede utilizar malware como ECCENTRICBANDWAGON para registrar pulsaciones de teclas y realizar capturas de pantalla.

Una vez dentro de la red de una institución financiera, el BeagleBoyz parece buscar dos sistemas específicos: el terminal SWIFT y el servidor que aloja la aplicación de cambio de pago de la institución. A medida que avanzan a través de una red, aprenden sobre los sistemas a los que han accedido para mapear la red y obtener acceso a los dos sistemas de objetivos.

Para acceder al terminal SWIFT de una institución financiera comprometida y al servidor que aloja la aplicación de cambio de pago de la institución, BeagleBoyz aprovecha las credenciales recolectadas y aprovecha la accesibilidad de estos sistemas críticos desde otros sistemas en la red corporativa de la institución. Específicamente, se sabe que BeagleBoyz crea exenciones de firewall en puertos específicos, incluidos los puertos 443, 6443, 8443 y 9443. Dependiendo de la configuración de los sistemas comprometidos y el entorno de seguridad de la red informática de la víctima.

Desde finales de 2018 hasta 2019 y principios de 2020, se le atribuye ataques de phishing adjuntando archivos maliciosos, donde suplantan aplicaciones de empleo. Una vez dentro de los servidores de la institución objetivo, el malware utilizado en el esquema FASTCash tiene la capacidad de manipular servidores AIX. Como resultado, se pretende interceptar mensajes de solicitud financiera y responder con mensajes fraudulentos de respuesta afirmativa, pero de apariencia legítima. Con todo lo anterior se consigue permitir grandes retiros de efectivo en cajeros automáticos, según indica la alerta.

3. Imágenes:

Naciones probablemente objetivo de BeagleBoyz desde 2015

http://www.gob.pe/


https://us-cert.cisa.gov/ncas/alerts/aa20-239a


www.gob.pe

[email protected]

Representación gráfica de un atraco a un banco BeagleBoyz. La siguiente sección describe en detalle las acciones de extremo a extremo que toma BeagleBoyz para robar instituciones financieras con una operación cibernética maliciosa.

4. Indicadores de Compromiso (IoC):

4c26b2d0e5cd3bfe0a3d07c4b85909a4 52ec074d8cb8243976963674dd40ffe7

d1d779314250fab284fd348888c2f955 41fd85ff44107e4604db2f00e911a766

f34b72471a205c4eee5221ab9a349c55 cf733e719e9677ebfbc84a3ab08dd0dc

01d397df2a1cf1d4c8e3615b7064856c b484b0dff093f358897486b58266d069

5. Recomendaciones:

Mantener las firmas y los motores antivirus actualizados.

Mantener actualizados los parches del sistema operativo.

Desactivar los servicios para compartir archivos e impresoras. Si se requieren estos servicios, utilice contraseñas seguras o autenticación de Active Directory.

Restringir la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario.

Hacer cumplir la política de contraseñas fuerte y requiera cambios de contraseña regulares.

Tener cuidado al abrir archivos adjuntos de correo electrónico, incluso si se espera el archivo adjunto y el remitente parece ser conocido.

Habilite firewall personal en las estaciones de trabajo de las agencias y configúrelo para rechazar solicitudes de conexión no solicitadas.

Desactivar los servicios innecesarios en las estaciones de trabajo y los servidores de la agencia.

Escanear y eliminar archivos adjuntos de correo electrónico sospechosos; asegúrese de que el archivo adjunto escaneado sea su "tipo de archivo verdadero" (es decir, la extensión coincide con el encabezado del archivo).

Monitorear los hábitos de navegación web de los usuarios; restringir el acceso a sitios con contenido desfavorable.

Tener cuidado al utilizar medios extraíbles (por ejemplo, unidades de memoria USB, unidades externas, CD).

Escanear todo el software descargado de internet antes de ejecutarlo.

Mantener el conocimiento de la situación de las últimas amenazas.

Implemente listas de control de acceso adecuadas.

Fuentes de información hxxps://us-cert.cisa.gov/ncas/alerts/aa20-239a

http://www.gob.pe/



www.gob.pe

[email protected]

ALERTA INTEGRADA DE


Fecha: 03-09-2020

Página: 13 de 15

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del Malware KryptoCibule

Tipo de ataque Malware Abreviatura Malware Medios de propagación USB, disco, red, correo, navegación de internet



Descripción

1. El 03 de setiembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio “Welivesecurity”, se informa sobre la detección del malware KryptoCibule, que al ser ejecutado los actores de la amenaza pueden obtener acceso remoto al host comprometido de las víctimas, también pueden generar una puerta trasera utilizando la herramienta de post-explotación de Pupy, el cual tiene como finalidad robar carteras de monedas digitales, secuestrar portapapeles, extraer archivos y minar de criptomonedas en las máquinas infectadas. KryptoCibule implementa mineros que usan recursos de CPU y GPU para Monero y Ethereum.

2. Detalles:

El malware KryptoCibule se distribuye a través de los siguientes métodos:

o A través de torrents maliciosos en archivos que simulan ser instaladores de versiones pirateadas de software y juegos populares y otro software en uloz.to.

o A través de archivos adjuntos de correo electrónico infectados.

o A través de anuncios maliciosos en línea.

o A través de ingeniería social.

o A través de grietas de software.

KryptoCibule monitorea el portapapeles del usuario, si detecta que se ha colocado una dirección legítima de billetera de criptomonedas en el portapapeles, la reemplaza silenciosamente por una propia.

Los operadores de la amenaza controlan las unidades conectadas a una computadora infectada, buscando archivos que puedan contener datos de interés, como contraseñas y claves privadas u otro tipo de archivos sensibles como .SSH, .AWS.

El malware agrega otras herramientas en una computadora infectada e instala el cliente Transmission BitTorrent, que recibe comandos remotos a través de la interfaz RPC en el puerto predeterminado.

Imagen del proceso de infección del malware KryptoCibule.

http://www.gob.pe/



www.gob.pe

[email protected]

Indicadores de compromiso.

o Archivos analizados: Nombre: Launcher.exe

Tipo: Win32 EXE

Tamaño: 99.50 KB (101888 bytes)

MD5: 3165d2f5d802226b0dd8d3ccc8336110

SHA-1: 3bcef852639f85803974943fc34eff2d6d7d916d

SHA-256: 5ee586a836049b22a90d5cabf3c2a29a2626ce96c55397bf36cc9024a2e6b430

Nombre: SystemArchitectureTranslation.exe

Tipo: Win32 EXE

Tamaño: 9.50 KB (9728 bytes)

MD5: 437d14610738f18977cefaac1af84686

SHA-1: 352743ebe6a0638cc0614216ad000b6a43c4d46e

SHA-256: 8c32a47ca925c8e424ed86c42257132ab2b381943b10c6d798e9b7b532db0a40

3. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//www.welivesecurity.com/la-es/2020/09/03/kryptocibule-malware-mina-roba-criptomonedas-exfiltra-archivos/

http://www.gob.pe/



www.gob.pe

[email protected]

Página: 15 de 15

Índice alfabético

botnet ................................................................................................................................................................................ 5 Código malicioso ........................................................................................................................................ 3, 5, 7, 8, 10, 13 Correo electrónico ............................................................................................................................................................. 3 Explotación de vulnerabilidades conocidas ................................................................................................................... 4, 6 Fraude ................................................................................................................................................................................ 9 Intento de intrusión ....................................................................................................................................................... 4, 6 internet .............................................................................................................................................................. 5, 6, 10, 12 malware ..................................................................................................................................... 3, 4, 5, 7, 8, 10, 11, 13, 14 Malware ......................................................................................................................................................... 5, 7, 8, 10, 13 phishing ................................................................................................................................................................... 3, 8, 11 Phishing ............................................................................................................................................................................. 9 puerto .............................................................................................................................................................................. 13 Red, internet ...................................................................................................................................................................... 4 redes sociales ............................................................................................................................................................... 1, 10 Redes sociales .................................................................................................................................................................... 9 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 9 servidor ...................................................................................................................................................................... 10, 11 servidores ........................................................................................................................................................ 7, 10, 11, 12 software ................................................................................................................................................... 7, 8, 9, 11, 12, 13 USB, disco, red, correo, navegación de internet ..................................................................................................... 7, 8, 13 Vulnerabilidades ................................................................................................................................................................ 4

http://www.gob.pe/


Lima, 3 de setiembre de 2020 · 2020. 9. 4. · PECERT │Equipo de Respuestas ante Incidentes de...

Documents

Transcript of Lima, 3 de setiembre de 2020 · 2020. 9. 4. · PECERT │Equipo de Respuestas ante Incidentes de...