View
2
Download
0
Category
Preview:
Citation preview
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 2 de agosto de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
Contenido Empresa Telstra es víctima de ciberataque de denegación de servicios (DoS) ............................................ 3
Detección del malware FastPOS .................................................................................................................... 4
Índice alfabético ............................................................................................................................................ 6
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 120
Fecha: 2-08-2020
Página: 3 de 6
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Empresa Telstra es víctima de ciberataque de denegación de servicios (DoS)
Tipo de ataque Denegación de servicio (DoS) Abreviatura DoS
Medios de propagación Red, correo, navegación en internet
Código de familia F Código de subfamilia F02
Clasificación temática familia Disponibilidad del servicio
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la empresa de telecomunicaciones Telstra ha sufrido un ciberataque de denegación de servicios (DoS) el día domingo 02 de agosto del presente año en horas de la mañana, en la cual se vieron afectados las conexiones domesticas a internet de sus clientes.
2. Detalles de la alerta:
A través del monitoreo en búsqueda de amenazas en el ciberespacio, se reportó un ciberataque de denegación de servicios (DoS) a la empresa australiana de telecomunicaciones Telstra, el incidente comenzó el domingo 02 de agosto del presente año antes de las 10:30 a.m. en la costa este de Australia.
La empresa, emitió un comunicado mediante su red social Twitter, en la cual indica lo siguiente: "Algunos de nuestros servidores de nombres de dominio (DNS) utilizados para enrutar su tráfico en línea están experimentando un ataque cibernético, conocido como denegación de servicio (DoS). Su información no está en riesgo. Estamos haciendo todo lo posible para que vuelva a estar en línea"
Cabe resaltar, los clientes que cambiaron su configuración de DNS lejos de Telstra pudieron mitigar la interrupción. Al mismo tiempo, el sitio de interrupción de servicio de Telstra se estaba comportando mal y devolvía errores 502 en ocasiones, y otras veces devolvía errores 404.
El equipo técnico de ciberseguridad de Telstra pudo solucionar el incidente, indicando lo siguiente: “La tormenta de mensajes masivos que se presentó como un ciberataque de denegación de servicio ha sido investigada por nuestros equipos de seguridad y ahora creemos que no fue maliciosa, sino un problema del servidor de nombres de dominio”
Asimismo, la empresa ha expresado recientemente sobre sus capacidades de filtrado de DNS, denominadas Tubos de limpieza, que se utilizan para combatir el malware que pasa a través de su red.
La iniciativa se centra en bloquear el comando y controlar las comunicaciones de las botnets, la descarga de troyanos de acceso remoto, así como otras formas de malware. La compañía de telecomunicaciones dijo en mayo que ya está bloqueando "millones de comunicaciones de malware" cuando el tráfico llega a su infraestructura.
3. Recomendaciones:
Ubicar el servidor web en una zona desmilitarizada.
Implementar un sistema de detección y prevención de intrusiones (IDS/IPS).
Utilizar un dispositivo o software con funcionalidad mixta (antivirus, cortafuegos y otras) como un UTM
Sobre aprovisionamiento de ancho de banda para absorber picos de ancho de banda DoS.
Reducir la superficie expuesta a los ataques.
Supervisar el tráfico de aplicaciones y redes.
Detectar y detener usuarios malintencionados.
Detectar y detener solicitudes maliciosas.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 120
Fecha: 2-08-2020
Página: 4 de 6
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del malware FastPOS
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
1. El 02 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ZDNet”, se informa sobre la detección del Malware FastPOS, diseñado para infectar computadoras que procesan datos de tarjetas de pago de sistemas de punto de venta POS, el cual se distribuye a través de sitios web comprometidos, computación de red virtual, utilizando credenciales robadas o ataques de fuerza bruta y servicio de intercambio de archivos.
El malware FastPOS cuenta con tres componentes principales:
o Un extractor de memoria que recopilaba datos de la tarjeta de pago de la computadora RAM.
o Un keylogger para grabar pulsaciones de teclas del usuario.
o Un mecanismo de actualización automática.
Los componentes realizan las siguientes acciones para que todo el sistema infectado funcione:
o El archivo principal extrae todos los componentes y pasa el control al servicio principal (serv32.exe).
o Crea y monitorea un medio de comunicación central y envía directamente toda la información recibida al servidor de comando y control (C&C).
o Los componentes del registrador de teclas (Kl32.exe, Kl64.exe) enganchan el teclado y luego se comunican con el servicio principal para enviar pulsaciones de teclas registradas al servidor C&C.
o Los módulos RAM scraper supervisan los procesos y escanean los datos de seguimiento de la tarjeta de crédito, que luego se envían al servicio principal
FastPOS utiliza una serie de sitios web para comercializar los datos robados e implementan un comercio electrónico clásico y eficiente para la tarjeta robada y los datos personales, también crean un sistema de calificación, comentarios y un servicio de depósito en garantía para pagos en monedas digitales como Bitcoin.
o Funcionamiento de los componentes de FastPOS.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
Indicadores de compromiso.
o Archivos analizados: Nombre: peexe
Tipo: Win32 EXE
Tamaño: 137.00 KB (140288 bytes)
MD5: aa739ccebf272bb98dbd87706f8d8272
SHA-1: 01cdb9f7935434df31196660a7542e0b46bcf480
SHA-256: dd1be99f612a0f72a453bc69758f4bc4f9552e27bf49baef71b43185164892b5
Nombre: data.exe
Tipo: Win32 EXE
Tamaño: 137.00 KB (140288 bytes)
MD5: 7eb4e31965378c03253c65b4da3d39db
SHA-1: a5384a2a6f3099912f3c6e5f6646c07ad7b3963b
SHA-256: 1bb4fe3dc040daa0af0db7096c567cf6b6b55f28af94c56b5882193ccd258152
2. Algunas Recomendaciones:
No abra archivos sospechosos.
No siga instrucciones de desconocidos.
Mantenga su antivirus actualizado.
Descargar aplicaciones de fuentes confiables.
Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.
Fuentes de información https[:]//www.zdnet.com/article/author-of-fastpos-malware-revealed-pleads-guilty/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
pecert@pcm.gob.pe
Página: 6 de 6
Índice alfabético
botnets ............................................................................................................................................................................... 3 Código malicioso ................................................................................................................................................................ 4 Disponibilidad del servicio ................................................................................................................................................. 3 fuerza bruta ....................................................................................................................................................................... 4 internet .............................................................................................................................................................................. 3 malware ................................................................................................................................................................. 2, 3, 4, 5 Malware ............................................................................................................................................................................. 4 redes sociales ..................................................................................................................................................................... 1 servidor .......................................................................................................................................................................... 3, 4 servidores .......................................................................................................................................................................... 3 software ............................................................................................................................................................................. 3 troyanos ............................................................................................................................................................................. 3 USB, disco, red, correo, navegación de internet ............................................................................................................... 4
Recommended