PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 8 de mayo de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Filtran datos de la cuenta de Microsoft en GitHub ....................................................................................... 3

Ataque de rasomware a Fresenius ................................................................................................................ 4

Vulnerabilidad de código arbitrario de un proceso privilegiado en Android ................................................ 5

Estafa de mensajes sobre compartir la riqueza. ........................................................................................... 6

Vulnerabilidad en el software Cisco Firepower Threat Defense ................................................................... 7

Intentan implementar remcos malware con mensajes relacionados con COVID-19.................................... 8

Bots maliciosos se infiltran en la entrega de alimentos en línea .................................................................. 9

Ataque tipo phishing a usuarios de Outlook ...............................................................................................10

Vulnerabilidad en los teléfonos inteligentes “Smartphone”. ......................................................................11

Vulnerabilidades en productos Cisco ..........................................................................................................12

Suplantación de identidad a compañía Telefónica Movistar ......................................................................14

Índice alfabético ..........................................................................................................................................16

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 3 de 16

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Filtran datos de la cuenta de Microsoft en GitHub

Tipo de ataque Divulgación no autorizada de información Abreviatura DivNoActInfoPer

Medios de propagación Internet

Código de familia A Código de Sub familia A01

Clasificación temática familia Acceso no autorizado

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la compañía tecnológica multinacional Microsoft Corporation sufrió la filtración de aproximadamente 500 GB de datos de su cuenta en el repositorio de GitHub.

2. Detalles de la alerta:

GitHub es uno de los principales repositorios de código de todo Internet, una de las herramientas imprescindibles para muchos desarrolladores. Además, permite organizar proyectos, gestionar versiones y subir el código fuente de los sistemas informáticos; como su nombre indica, está basado en el software de control de versiones Git.

El incidente de seguridad ocurrió la última semana del mes de marzo del presente año, pero la información fue filtrada por un hacker el día miércoles 6 mayo del presente. Donde unos 500 GB de datos de la cuenta de Microsoft, principalmente código fuente de proyectos no anunciados por la compañía, habrían sido robados por un hacker con acceso a la cuenta oficial de la compañía en el repositorio de GitHub.

El ciberdelincuente que realizo la filtración se hace llamar Shiny Hunters, y de alguna forma habría conseguido acceso a la cuenta de Microsoft y a todos sus repositorios privados.

Al parecer, el plan inicial del hacker era vender los archivos robados al mejor postor, pero parece que la fama es demasiado tentadora para este ciberdelincuente, porque ahora ha decidido filtrar de forma gratuita. Por el momento, ha filtrado 1 GB de archivos en un foro frecuentado por hackers, pero la veracidad de esos datos no ha podido ser comprobada.

Cabe resaltar, Microsoft no usa su cuenta de GitHub para almacenar el código de sus grandes programas y sistemas, sino sólo de proyectos que probablemente se harán públicos en el futuro.

3. Recomendaciones:

Implementar y promover las mejores prácticas de ciberseguridad.

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Tener contraseñas que sean fuertes y complejas.

Realizar copias de seguridad de la información periódicamente.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 4 de 16

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Ataque de rasomware a Fresenius

Tipo de ataque Rasonware Abreviatura Rasonware

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de sub familia C09

Clasificación temática familia Secuestro de información

Descripción

1. El 07 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento según el informe de KrebsonSecurity, sobre el ataque de ransomware contra los sistemas de la compañía de Fresenius (operador de hospitales privados más grande de Europa y un importante proveedor de productos y servicios de diálisis), el cual limito algunas operaciones en la empresa. Fresenius,

2. Según KrebsonSecurity, la compañía Fresenius indico que este ataque ha limitado algunas de sus operaciones, pero la atención a la paciente continua. El portavoz de Fresenius, Matt Kuth, confirmó que la compañía estaba luchando con un brote de virus informático por lo que dijo "Puedo confirmar que la seguridad de TI de Fresenius detectó un virus informático en las computadoras de la compañía", asimismo, indico que sus expertos en TI continúan trabajando para que sus operaciones funcionen de la mejor manera posible.

3. Cabe señalar que el COVID-19 puede causar insuficiencia renal repentina, por lo que se considera a las personas con que tienen enfermedad renal con alto riesgo ante el COVID-19, por lo que el ataque a Frasenius es lamentable en estos momentos en que se vive la pandemia.

4. Según los investigadores de seguridad indican que el ransomware Snake, busca identificar procesos de TI vinculados a herramientas de gestión empresarial y sistemas de control (ICS), así como también extrae archivos sin cifrar antes de cifrar computadoras en una red, por lo que las víctimas tienen 48 horas para pagar el rescate.

5. Se recomienda:

Actualizar sistemas y aplicaciones.

Instalar y mantener una solución antimalware.

No utilizar cuentas con privilegios de administrador.

Realizar copias de seguridad de datos importantes como tarea de mantenimiento.

Fuentes de información

https://krebsonsecurity.com/2020/05/europes-largest-private-hospital-operator-fresenius-hit-by-ransomware/

https://www.infosecurity-magazine.com/news/ransomware-attack-on-fresenius/ https://www.seguridadpy.info/2020/05/fresenius-victima-de-un-ataque-de-

ransomware/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 5 de 16

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Vulnerabilidad de código arbitrario de un proceso privilegiado en Android

Tipo de ataque Backdoors Abreviatura Backdoors

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de sub familia C03

Clasificación temática familia Código malicioso

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una vulnerabilidad “CVE-2020-0096” clasificada por el equipo de seguridad de Android como una vulnerabilidad crítica, además, son los encargados de monitorear activamente el abuso a través de google play protect y advierte a los usuarios sobre aplicaciones potencialmente dañinas.

2. El equipo de seguridad de Android indica que es una vulnerabilidad de seguridad crítica en el componente del sistema que podría permitir a un atacante remoto que utiliza una transmisión especialmente diseñada para ejecutar código arbitrario dentro del contexto de un proceso privilegiado. La evaluación de la gravedad se basa en el efecto que la explotación de la vulnerabilidad podría tener en un dispositivo afectado, suponiendo que las mitigaciones de plataforma y servicio estén desactivadas para fines de desarrollo o si se omiten con éxito.

3. Esta vulnerabilidad podría permitir que un atacante local use un archivo especialmente diseñado para ejecutar código arbitrario dentro del contexto de un proceso privilegiado.

4. Se recomienda:

Descargar las actualizaciones de seguridad en los dispositivos con Android 10 y versiones posteriores, así como actualizaciones del sistema Google Play .

Fuentes de información https://source.android.com/security/bulletin/2020-05-01 https://android.googlesource.com/platform/frameworks/base/+/a952197bd161ac0e03ab c6acb5f48e4ec2a56e9d

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 6 de 16

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Estafa de mensajes sobre compartir la riqueza.

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de Subfamilia C02

Clasificación temática familia Código Malicioso

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 01 de mayo de 2020, por los analistas de ESET, este fraude se ha mantenido popular entre los estafadores, aprovechándose de las personas que han tenido dificultades financieras o que pueden ser engañadas para pensar que pueden ganar dinero fácil, esta modalidad de estafa consiste en que extrañas personas se hace pasar por empresario de negocios afirmando ser diagnosticado con COVID-19 y, en un intento de redimir su alma, quiere compartir su riqueza con organizaciones de caridad. Solo necesita tu ayuda para hacerlo y por eso, pagará generosamente. Aunque la solicitud suena caritativa, es una estafa. Una vez que la víctima se comunica, el estafador tratará de sacar a la víctima de cantidades cada vez mayores de dinero con reclamos falsos de honorarios, costos imprevistos y sobornos necesarios para finalmente liberar la fortuna resultante.

2. Es seguro decir que ningún empresario que valga la pena sería tan descuidado como para confiar en la buena voluntad de los extraños para acceder a su riqueza.

3. Se recomienda:

Utilizar siempre una solución de seguridad de punto final acreditada que pueda protegerlo contra malware, phishing y otros tipos de amenazas cibernéticas.

Examinar las ofertas que parecen demasiado buenas para ser verdaderas o sospechosas, y nunca compre nada de un proveedor no verificado. Si tiene dudas, incluso en lo más mínimo, no compre nada del proveedor bajo ninguna circunstancia. No haga clic en enlaces ni abra archivos adjuntos, para el caso. Siempre busque comentarios sobre el proveedor y evalúelos.

Fuentes de información https://www.welivesecurity.com/2020/05/01/no-time-let-your-guard-down-coronavirus-fraud-rampant/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 7 de 16

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad en el software Cisco Firepower Threat Defense

Tipo de ataque Interrupción de Servicios Tecnológicos Abreviatura Intservtec

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia F Código de Subfamilia F02

Clasificación temática familia Disponibilidad del Servicio

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de especialistas de ciberseguridad de la empresa Cisco, el 07 de mayo de 2020 detectaron la vulnerabilidad “CVE-2020-3308” que afecta a la función de verificación de firma de imagen del software Cisco Firepower Threat Defense (FTD).

2. La vulnerabilidad existe debido a una incorrecta validación de firmas digitales para imágenes de parches. Un actor de amenazas podría abusar de esta vulnerabilidad creando un parche de software sin autenticación de firmas digitales, esquivando las verificaciones de firmas para cargarlo en un sistema objetivo. La explotación exitosa de la vulnerabilidad permitiría a los hackers iniciar una imagen de parche con propósitos maliciosos.

3. La vulnerabilidad explota la función de verificación de firma esta falla permite a los actores de amenazas remotos autenticados con credenciales de nivel de administrador instalar un parche de software malicioso en un dispositivo afectado.

4. La vulnerabilidad también permite no verificar la firma criptográfica de los datos, esto causa la invalidación de verificación del control de acceso que permite impactar la integridad y confidencialidad, para obtener privilegios, asumir identidad, modificar datos de la aplicación, ejecutar código o comandos no autorizados y alcanzar el acceso a datos confidenciales.

5. Se recomienda:

Tener cuidado a la instalación de parches de páginas desconocidas.

Instalar parches autorizados a través de páginas oficiales.

Fuentes de información

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sigbypass-FcvPPCeP

https://noticiasseguridad.com/vulnerabilidades/hackear-redes-empresariales-que-tienen-el-software-cisco-firepower-threat-defense-con-cve-2020-3308/

https://www.cybersecurity-help.cz/vdb/SB2020050707

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 8 de 16

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Intentan implementar remcos malware con mensajes relacionados con COVID-19

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet.

Código de familia C Código de Subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 07 de mayo de 2020 por Hot For Security, sobre atacantes web que intentan implementar Remcos malware con mensajes relacionados con COVID-19.

2. Una multitud de campañas de phishing y spam directamente relacionadas con la situación creada por la pandemia COVID-19 están activas en este momento. Los malos actores intentan diferentes enfoques en sus esfuerzos por engañar a las personas para que compartan credenciales o descarguen malware. Con la economía directamente afectada por la pandemia, las personas prestan más atención a los correos electrónicos que pretenden ofrecer soluciones, préstamos y otros tipos de apoyo financiero. Otro enfoque efectivo es asustar a las personas con amenazas de cierre de cuentas o permisos de la compañía.

3. Una nueva campaña de phishing, está tratando de implementar Remcos, un poderoso malware que permite a un atacante obtener el control total de la computadora de la víctima. En esta nueva campaña, los atacantes no están interesados en el phishing, sino en implementar el malware Remcos. Si se implementa con éxito, el malware se puede usar para robar credenciales, controlar la PC de forma remota o incluso transformar la PC en un bot.

4. Este ataque se está dirigiendo a sectores específicos y utilizan varios señuelos temáticos COVID-19 asi como archivos adjuntos de correo electrónico atípicos, a diferencia de otros malware, las campañas de Remcos parecen ser limitadas y de corta duración, en un intento de pasar desapercibido".

5. Se recomienda:

No abrir correos electrónicos o archivos adjuntos de fuentes desconocidas.

Fuentes de información https://hotforsecurity.bitdefender.com/blog/attackers-try-to-deploy-remcos-malware-with-covid-19-related-messages-23205.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 9 de 16

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Bots maliciosos se infiltran en la entrega de alimentos en línea

Tipo de ataque Botnets Abreviatura Virus

Medios de propagación IRC, USB, disco, red, correo, navegación de internet

Código de familia C Código de Subfamilia C01

Clasificación temática familia Código Malicioso

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 07 de mayo de 2020 a través de la red social Twitter por el usuario “@SecurityNewsbot”, sobre Bots maliciosos infiltrados en la entrega de alimentos en línea, demanda que ha aumentado debido a la pandemia COVID-19.

2. A medida que aumenta la demanda de compras de comestibles en línea, también lo hace la disponibilidad de nuevas extensiones de navegador para ayudar a los compradores a jugar con el sistema de entrega. En las últimas semanas, los desarrolladores han lanzado complementos que realizan funciones como escanear y alertar a los usuarios sobre los espacios de entrega, completar el pago y presentar inadvertidamente una vía para que los robots maliciosos recopilen información del usuario.

3. El mal tráfico incluye bots maliciosos que ejecutan ataques que incluyen la toma de cuenta y el raspado de la web. Se ha detectado un aumento en el volumen de ataques y en la sofisticación de los ataques de bots realizados en los sitios web relacionados a COVID-19.

4. Se recomienda:

Cambiar regularmente las contraseñas de las cuentas.

Evitar acceder a sitios inseguros.

Tener siempre actualizado su sistema operativo y los programas antivirus.

Fuentes de información https://twitter.com/SecurityNewsbot/status/1258539656334860289 https://www.darkreading.com/cloud/malicious-bots-infiltrate-online-food-delivery-/d/d-

id/1337773?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 10 de 16

Componente que Reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Ataque tipo phishing a usuarios de Outlook

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de sub familia G02

Clasificación temática familia Fraude

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de un ataque tipo phishing que viene circulando en la red principalmente entre los usuarios de outlook web app, que es una aplicación web de administración de información personal de Microsoft, lo usan las organizaciones que administran servidores de correo electrónico con Exchange Server 2013 o 2010. Incluye un cliente de correo electrónico basado en la web, una herramienta de calendario, un administrador de contactos y un administrador de tareas.

Link malicioso: [hxxp://kontay.byethost4.com/ziglar/ss.html?i=2&i=1]

2. Luego de ingresar los datos en el formulario, se muestra el siguiente mensaje:

3. Dicho Link fue analizado y está catalogado como phishing.

4. Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina, , Osint, Virus Total.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRAL DE

SEGURIDAD DIGITAL N° 034

Fecha : 08-05-2020

Página: 11 de 16

Componente que Reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ

Nombre de la alerta Vulnerabilidad en los teléfonos inteligentes “Smartphone”.

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de sub familia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento que, el especialista de ciberseguridad de Project Zero (google), investigador Mateusz Jurczyk, detectó la vulnerabilidad en el código SVE -2020-16747, (código propio del sistema operativo móvil “Androide 4.4.4” de la empresa Samsung).

2. La vulnerabilidad reside cuando el usuario recibe una imagen por el MMS (mensaje de Samsung) y redirige la imagen a la biblioteca gráfica Skia para procesarla en el formato de imagen [.qmg], esto le permite al ciberdelincuente ejecutar un código malicioso dentro de la memoria del teléfono en forma remota.

3. Cabe señalar que la empresa Samsung ha corregido la vulnerabilidad a través de una actualización de seguridad.

4. Se recomienda:

Los usuarios que tengan los teléfonos inteligentes “Smartphone” con sistema operativo móvil “Android de 4.4.4” de la empresa Samsung deben descargar las actualizaciones de los parches de seguridad.

Fuentes de información https://www.welivesecurity.com/la-es/2020/02/26/krook-vulnerabilidad-critica-afecto-cifrado-millones-dispositivos-wi-fi/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 12 de 16

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Vulnerabilidades en productos Cisco

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, Internet

Código de familia H Código de Subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. El 07 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en el sitio web INCIBE (Instituto Nacional de Ciberseguridad), informa sobre vulnerabilidades en productos Cisco; todas de severidad alta.

2. Productos Afectados:

Productos de Cisco si están ejecutando Cisco ASA (Adaptive Security Appliance), con autenticación Kerberos configurada para VPN, o acceso a dispositivos locales.

Productos de Cisco que ejecutan una versión vulnerable de Cisco ASA o Cisco FTD (Firepower Threat Defense), que están configurados para admitir el enrutamiento OSPF (Open Shortest Path First) con el procesamiento de bloques LLS (Link-Local Signaling) habilitado.

Productos de Cisco si están ejecutando una versión vulnerable de Cisco ASA o Cisco FTD y tienen una función habilitada para procesar mensajes SSL/TLS, pero no limitado a:

o AnyConnect SSL VPN,

o Clientless SSL VPN,

o WebVPN,

Servidor HTTP utilizado para la interfaz de administración;

Versiones vulnerables de Cisco ASA o Cisco FTD, cuando se configura con el protocolo IPv6;

3. Riesgo: un atacante remoto, no autenticado, que aprovechase estas vulnerabilidades podría realizar alguna de las siguientes acciones:

Suplantar al KDC (Key Distribution Center) de Kerberos y omitir la autenticación,

Denegación de servicio (DoS),

Pérdida de memoria (memory leak),

Divulgación de información confidencial,

Reiniciar el dispositivo afectado,

Acceso a rutas no controlado (path traversal).

4. Detalles de las vulnerabilidades:

Herramienta Utilizada: Calculadora NIST.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

5. Algunas Recomendaciones:

Las actualizaciones de los productos mencionados, se puede realizar desde el sitio web de Cisco.

https://software.cisco.com/download/home.

Fuentes de información https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-cisco-67

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 034

Fecha: 08-05-2020

Página: 14 de 16

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Suplantación de identidad a compañía Telefónica Movistar

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de Subfamilia

Clasificación temática familia Fraude

Descripción

1. El 08 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes vienen llevando a cabo una campaña de phishing, suplantando la identidad de la empresa Telefónica Movistar, enviando un mensaje de la factura digital de servicios indicando que si el pago no se realiza en la fecha acordada los servicios prestados serán suspendidos.

2. Para esta suplantación de identidad se utilizó la siguientes URL.

hxxp://facturapendientes.com/

FACTURA DIGITAL ENVIADA POR EL CIBERDELINCUENTE

Presenta errores

ortográficos

Cuidado con estos

mensajes que nos

fuerzan a tomar

decisiones rápidas

para evitar supuestas

consecuencias

negativas.

Nos solicita descargar

la factura.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

3. Análisis del localizador uniforme de recursos (URL) siendo detectada en las diferentes compañías de seguridad informática teniendo como resultado:

Nombre de dominio: Facturapendientes.com

Dirección IP: 193[.]29[.]187[.]158

Algoritmo Hash: 798cfb4c889d892ed99a0989c82e6054dd95c7b69403cd392462b613502ef3ef

4. Análisis del contenido de dicha URL maliciosa.

5. Algunas Recomendaciones:

Verifica la fuente de información antes de ingresar tus datos personales.

Piensa siempre que los ciberdelincuentes, quieren obtener información personal.

Desconfía de ofertas, loterías o premios de gran valor.

Desconfía de textos mal redactados con faltas de ortografía.

Fuentes de información Análisis propio en redes sociales y fuentes abiertas

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 16 de 16

Índice alfabético

Acceso no autorizado ........................................................................................................................................................ 3 Backdoors .......................................................................................................................................................................... 5 bot ...................................................................................................................................................................................... 8 Botnets ............................................................................................................................................................................... 9 Código malicioso ............................................................................................................................................................ 5, 8 Correo electrónico ............................................................................................................................................................. 4 Correo electrónico, redes sociales, entre otros ................................................................................................................ 4 Explotación de vulnerabilidades conocidas ............................................................................................................... 11, 12 Fraude ........................................................................................................................................................................ 10, 14 hxxp ........................................................................................................................................................................... 10, 14 Intento de intrusión ................................................................................................................................................... 11, 12 IRC, USB, disco, red, correo, navegación de internet ........................................................................................................ 9 malware ..................................................................................................................................................................... 2, 6, 8 Malware ......................................................................................................................................................................... 6, 8 phishing ......................................................................................................................................................... 2, 6, 8, 10, 14 Phishing...................................................................................................................................................................... 10, 14 ransomware ....................................................................................................................................................................... 4 Red, internet .................................................................................................................................................................... 11 redes sociales ............................................................................................................................................................... 1, 15 Redes sociales ............................................................................................................................................................ 10, 14 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ................................................................ 10, 14 servidores ........................................................................................................................................................................ 10 software ......................................................................................................................................................... 2, 3, 7, 10, 13 Suplantación ................................................................................................................................................................ 2, 14 URL ............................................................................................................................................................................. 14, 15 USB, disco, red, correo, navegación de internet ................................................................................................... 5, 6, 7, 8 Vulnerabilidad ...................................................................................................................................................... 2, 5, 7, 11 Vulnerabilidades .......................................................................................................................................................... 2, 12