Alerta Integrada De Seguridad Digital N° 198-2020-PECERT
Total Page:16
File Type:pdf, Size:1020Kb
Lima, 19 de octubre de 2020 La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de Seguridad Digital. El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que pudieran afectar la continuidad de sus servicios en favor de la población. Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020. La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos. PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe [email protected] Contenido Vulnerabilidad de ejecución remota de código de Microsoft SharePoint .................................................... 3 Campaña de phishing que utilizan Basecamp ............................................................................................... 4 Nuevo archivo adjunto Windows Update del malware Emotet. .................................................................. 5 El malware Windows “GravityRAT” ahora también se dirige a Android, macOS .......................................... 6 Nuevo malware “Vizom” ............................................................................................................................... 7 Suplantan sitio web del Banco de la Nación ................................................................................................. 8 Nueva campaña de phishing Vizom que afecta a las cuentas bancarias del sector financiero. ................... 9 Campaña de una nueva variante del grupo APT Cobalt Dickens ................................................................10 Índice alfabético ..........................................................................................................................................12 PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe [email protected] ALERTA INTEGRADA DE Fecha: 19-102020 SEGURIDAD DIGITAL N° 198 Página: 3 de 00 Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL Nombre de la alerta Vulnerabilidad de ejecución remota de código de Microsoft SharePoint Tipo de ataque Explotación de vulnerabilidades Conocidas Abreviatura EVC Medios de propagación Red e internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión Descripción 1. Resumen: El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que especialista en ciberseguridad, han identificado una vulnerabilidad de ejecución remota de código en Microsoft SharePoint cuando el software no puede verificar el código fuente de un paquete de aplicación. Un ciberdelincuente que aprovechara con éxito la falla de seguridad podría ejecutar código arbitrario en el contexto del grupo de aplicaciones de SharePoint y la cuenta de la granja de servidores de SharePoint. 2. Detalles de la alerta: A través de la búsqueda de amenazas en el ciberespacio, especialistas en ciberseguridad identificaron el hallazgo de una vulnerabilidad de ejecución remota de código (RCE) en Microsoft SharePoint. Identificada como CVE-2020-16952, esta falla de seguridad permitiría a los actores de amenazas realizar diversas acciones maliciosas en el contexto del administrador local en cualquier implementación afectada del servidor. Asimismo, los expertos mencionan que esta falla de seguridad es generada por un problema de validación en los datos proporcionados por el usuario a la aplicación vulnerable. La falla puede ser explotada cuando un usuario carga un paquete de aplicación de SharePoint especialmente diseñado en una versión afectada, impactando en las siguientes versiones: Microsoft SharePoint Foundation 2013 Service Pack 1 Microsoft SharePoint Enterprise Server 2016 Microsoft SharePoint Enterprise Server 2016 Cabe precisar, esta vulnerabilidad ya ha sido corregido por Microsoft y es encuentra disponible en su sitio web oficial. 3. Recomendaciones: Actualizar los parches de seguridad en el sitio web oficial del fabricante. Establecer procedimientos de registro de incidentes. Preparar un plan de recuperación operacional. Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza. Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe [email protected] ALERTA INTEGRADA DE Fecha: 19-10-2020 SEGURIDAD DIGITAL N°198 Página: 4 de 00 COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS Componente que reporta ARMADAS / CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Campaña de phishing que utilizan Basecamp Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de subfamilia G02 Clasificación temática familia Fraude Descripción 1. El 19 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de la publicación, sobre una campaña de phishing que utilizan Basecamp para insertar malware o robar credenciales de inicio de sesión. 2. Basecamp, es una herramienta colaborativa para equipos, que organiza proyectos de forma sencilla y eficaz, que permite a las personas colaborar, chatear entre sí, crear documentos y compartir archivos, también permite a los usuarios cargar proyecto, que incluye formatos de archivo como ejecutables, archivos JavaScript, etc. Los usuarios para poder compartir públicamente los archivos cargados tienen que crear un enlace público que permita a personas ajenas a la organización visualizar y descargar el archivo. 3. Según los investigadores de seguridad malwarehunterteam y James, han descubierto que los ciberdelincuentes se encuentran distribuyendo ejecutables del malware BazarLoder a través de enlaces de descarga públicos de Basecamp. 4. Asimismo, según el investigador de seguridad Will Thomas descubrió que los actores de amenazas utilizan Basecamp para alojar páginas intermediarias que redirigen a los usuarios a páginas de inicio de phishing, a fin de robar las credenciales de inicio de sesión de los usuarios. 5. Por lo que se recomienda a todos los usuarios a extremar las precauciones y ser cautelosos, para no ser víctima de estafa que ponen en riesgo a las redes corporativas, robo, entre otros. 6. Se recomienda: Mantener actualizado el antivirus. No descargar enlaces o archivos no confiables. No abrir correos de usuarios desconocidos o que no hayan solicitado. Mantener actualizado todos los softwares de la computadora como herramientas, navegadores, etc. Establecer una estrategia de backups eficiente. Implementar una cultura de ciberseguridad. https[:]//www.bleepingcomputer.com/news/security/hackers-now-abuse-basecamp-for- Fuentes de información free-malware-hosting/ PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe [email protected] ALERTA INTEGRADA DE Fecha: 19-10-2020 SEGURIDAD DIGITAL N°198 Página: 5 de 00 Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Nuevo archivo adjunto Windows Update del malware Emotet. Tipo de ataque Malware Abreviatura Malware Medios de propagación Usb, correo, red, navegación internet Código de familia C Código de subfamilia C02 Clasificación temática familia Código malicioso Descripción 1. El 19 de octubre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por investigadores de seguridad y la página web “Bleeping Computer”, quienes han reportado que la botnet “Emotet” ha comenzado a utilizar un nuevo archivo adjunto malicioso que pretende ser un mensaje de Windows Update que le indica que actualice Microsoft Word. 2. El malware “Emotet” es una infección que se propaga a través de correos electrónicos no deseados que contienen documentos maliciosos de Word o Excel. 3. Estos documentos utilizan macros para descargar e instalar el malware “Emotet” en la computadora de la víctima, que utiliza la computadora para enviar correo electrónico no deseado y, en última instancia, conduce a un ataque de ransomware en la red de la víctima. 4. Para actualizar Word, el mensaje le dice al usuario que haga clic en los botones Habilitar edición y Habilitar contenido, lo que hará que se activen las macros maliciosas. 5. Se recomienda lo siguiente: Tener una protección antimalware y la base de datos del antivirus actualizada. No descargar archivos de correo eléctrico de remitentes desconocidos. Fuentes de información https[:]//www.bleepingcomputer.com/news/security/watch-out-for-emotet-malwares- new-windows-update-attachment/ PECERT │Equipo de Respuestas ante