PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 2 de agosto de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Empresa Telstra es víctima de ciberataque de denegación de servicios (DoS) ............................................ 3

Detección del malware FastPOS .................................................................................................................... 4

Índice alfabético ............................................................................................................................................ 6

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 120

Fecha: 2-08-2020

Página: 3 de 6

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Empresa Telstra es víctima de ciberataque de denegación de servicios (DoS)

Tipo de ataque Denegación de servicio (DoS) Abreviatura DoS

Medios de propagación Red, correo, navegación en internet

Código de familia F Código de subfamilia F02

Clasificación temática familia Disponibilidad del servicio

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la empresa de telecomunicaciones Telstra ha sufrido un ciberataque de denegación de servicios (DoS) el día domingo 02 de agosto del presente año en horas de la mañana, en la cual se vieron afectados las conexiones domesticas a internet de sus clientes.

2. Detalles de la alerta:

A través del monitoreo en búsqueda de amenazas en el ciberespacio, se reportó un ciberataque de denegación de servicios (DoS) a la empresa australiana de telecomunicaciones Telstra, el incidente comenzó el domingo 02 de agosto del presente año antes de las 10:30 a.m. en la costa este de Australia.

La empresa, emitió un comunicado mediante su red social Twitter, en la cual indica lo siguiente: "Algunos de nuestros servidores de nombres de dominio (DNS) utilizados para enrutar su tráfico en línea están experimentando un ataque cibernético, conocido como denegación de servicio (DoS). Su información no está en riesgo. Estamos haciendo todo lo posible para que vuelva a estar en línea"

Cabe resaltar, los clientes que cambiaron su configuración de DNS lejos de Telstra pudieron mitigar la interrupción. Al mismo tiempo, el sitio de interrupción de servicio de Telstra se estaba comportando mal y devolvía errores 502 en ocasiones, y otras veces devolvía errores 404.

El equipo técnico de ciberseguridad de Telstra pudo solucionar el incidente, indicando lo siguiente: “La tormenta de mensajes masivos que se presentó como un ciberataque de denegación de servicio ha sido investigada por nuestros equipos de seguridad y ahora creemos que no fue maliciosa, sino un problema del servidor de nombres de dominio”

Asimismo, la empresa ha expresado recientemente sobre sus capacidades de filtrado de DNS, denominadas Tubos de limpieza, que se utilizan para combatir el malware que pasa a través de su red.

La iniciativa se centra en bloquear el comando y controlar las comunicaciones de las botnets, la descarga de troyanos de acceso remoto, así como otras formas de malware. La compañía de telecomunicaciones dijo en mayo que ya está bloqueando "millones de comunicaciones de malware" cuando el tráfico llega a su infraestructura.

3. Recomendaciones:

Ubicar el servidor web en una zona desmilitarizada.

Implementar un sistema de detección y prevención de intrusiones (IDS/IPS).

Utilizar un dispositivo o software con funcionalidad mixta (antivirus, cortafuegos y otras) como un UTM

Sobre aprovisionamiento de ancho de banda para absorber picos de ancho de banda DoS.

Reducir la superficie expuesta a los ataques.

Supervisar el tráfico de aplicaciones y redes.

Detectar y detener usuarios malintencionados.

Detectar y detener solicitudes maliciosas.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 120

Fecha: 2-08-2020

Página: 4 de 6

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección del malware FastPOS

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. El 02 de agosto de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ZDNet”, se informa sobre la detección del Malware FastPOS, diseñado para infectar computadoras que procesan datos de tarjetas de pago de sistemas de punto de venta POS, el cual se distribuye a través de sitios web comprometidos, computación de red virtual, utilizando credenciales robadas o ataques de fuerza bruta y servicio de intercambio de archivos.

El malware FastPOS cuenta con tres componentes principales:

o Un extractor de memoria que recopilaba datos de la tarjeta de pago de la computadora RAM.

o Un keylogger para grabar pulsaciones de teclas del usuario.

o Un mecanismo de actualización automática.

Los componentes realizan las siguientes acciones para que todo el sistema infectado funcione:

o El archivo principal extrae todos los componentes y pasa el control al servicio principal (serv32.exe).

o Crea y monitorea un medio de comunicación central y envía directamente toda la información recibida al servidor de comando y control (C&C).

o Los componentes del registrador de teclas (Kl32.exe, Kl64.exe) enganchan el teclado y luego se comunican con el servicio principal para enviar pulsaciones de teclas registradas al servidor C&C.

o Los módulos RAM scraper supervisan los procesos y escanean los datos de seguimiento de la tarjeta de crédito, que luego se envían al servicio principal

FastPOS utiliza una serie de sitios web para comercializar los datos robados e implementan un comercio electrónico clásico y eficiente para la tarjeta robada y los datos personales, también crean un sistema de calificación, comentarios y un servicio de depósito en garantía para pagos en monedas digitales como Bitcoin.

o Funcionamiento de los componentes de FastPOS.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Indicadores de compromiso.

o Archivos analizados: Nombre: peexe

Tipo: Win32 EXE

Tamaño: 137.00 KB (140288 bytes)

MD5: aa739ccebf272bb98dbd87706f8d8272

SHA-1: 01cdb9f7935434df31196660a7542e0b46bcf480

SHA-256: dd1be99f612a0f72a453bc69758f4bc4f9552e27bf49baef71b43185164892b5

Nombre: data.exe

Tipo: Win32 EXE

Tamaño: 137.00 KB (140288 bytes)

MD5: 7eb4e31965378c03253c65b4da3d39db

SHA-1: a5384a2a6f3099912f3c6e5f6646c07ad7b3963b

SHA-256: 1bb4fe3dc040daa0af0db7096c567cf6b6b55f28af94c56b5882193ccd258152

2. Algunas Recomendaciones:

No abra archivos sospechosos.

No siga instrucciones de desconocidos.

Mantenga su antivirus actualizado.

Descargar aplicaciones de fuentes confiables.

Tenga presente que los ciberdelincuentes siempre están buscando estafar a los usuarios.

Fuentes de información https[:]//www.zdnet.com/article/author-of-fastpos-malware-revealed-pleads-guilty/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 6 de 6

Índice alfabético

botnets ............................................................................................................................................................................... 3 Código malicioso ................................................................................................................................................................ 4 Disponibilidad del servicio ................................................................................................................................................. 3 fuerza bruta ....................................................................................................................................................................... 4 internet .............................................................................................................................................................................. 3 malware ................................................................................................................................................................. 2, 3, 4, 5 Malware ............................................................................................................................................................................. 4 redes sociales ..................................................................................................................................................................... 1 servidor .......................................................................................................................................................................... 3, 4 servidores .......................................................................................................................................................................... 3 software ............................................................................................................................................................................. 3 troyanos ............................................................................................................................................................................. 3 USB, disco, red, correo, navegación de internet ............................................................................................................... 4