Lima, 19 de enero de 2021

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Contenido
Foros de IObit sufre ataque para distribuir el ransomware DeroHE .............................................................3
Ransomware “DeroHE” se distribuye a través de correos electrónicos de phishing ....................................4
Malware FreakOut explota errores críticos para infectar hosts de dispositivos Linux .................................5
Índice alfabético ............................................................................................................................................7

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 19-01-2021
SEGURIDAD DIGITAL N° 013 Página: 3 de 7
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Foros de IObit sufre ataque para distribuir el ransomware DeroHE
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, red e internet
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, advierte que el desarrollador de utilidades de
Windows IObit fue atacado, el incidente ocurrió durante el último fin de semana, con la finalidad de realizar un ataque
generalizado para poder distribuir el ransomware llamado “DeroHE” a los miembros de su foro.
2. Detalles de la alerta:
IObit es un desarrollador de software conocido por la
optimización del sistema de Windows y los programas
antimalware, como Advanced SystemCare.
El pasado fin de semana, los miembros del foro de IObit
comenzaron a recibir correos electrónicos que decían
ser de IObit y que indicaban que tenían derecho a una
licencia gratuita de 1 año para su software como una
ventaja especial de ser miembros del foro.
Asimismo, en el correo electrónico se incluye un enlace
"OBTENERLO AHORA" que redirige a hxxps:
//forums.iobit.com/promo.html. Esta página ya no
existe, pero en el momento del ataque, distribuía un
archivo en hxxps: //forums.iobit.com/free-iobit-license-
promo.zip.
El archivo comprimido (zip), contiene archivos firmados
digitalmente del programa legítimo IObit License Manager, pero con IObitUnlocker.dll reemplazado por una versión
maliciosa sin firmar que se muestra en la Figura 1. Cuando se ejecuta IObit License Manager.exe, el archivo
IObitUnlocker.dll malicioso se ejecutará para instalar el ransomware DeroHE en “C: \Archivos de programa (x86)\ IObit
\iobit.dll” y ejecutarlo. Una vez cifrado los ficheros, agregará la extensión “.DeroHE”.
3. Indicadores de Compromiso:
• SHA-256: 976af19ce19cd9dc4ff6fd7cb580c16fac25c046ad9fd529bf50451db6032727
• MD5: e93fc5b5329960d75cb283bdf37ab268
• Ficheros: iobit.dll - xghhgke.dat
• URL:
o hxxps: //forums.iobit.com/promo.html.
o hxxps: //forums.iobit.com/free-iobit-license-promo.zip.
4. Recomendaciones:
• Evaluar bloqueo preventivo de los indicadores de compromiso.
• Mantener actualizado los parches de seguridad en todas las aplicaciones.
• No abrir correos electrónicos de dudosa procedencia.
• Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 19-01-2021
SEGURIDAD DIGITAL N° 013 Página: 4 de 7
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Ransomware “DeroHE” se distribuye a través de correos electrónicos de phishing
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
El investigador de seguridad Elise Van Dorp de Emsisoft ha descubierto un ataque generalizado de ransomware llamado
“DeroHE” dirigido a todos los miembros del foro IObit. Los ciberdelincuentes piden en su nota de rescate 200 monedas
de una criptomoneda llamada “DERO” para descifrar los archivos que han sido cifrados por el ransomware. Estos
ataques mediante el envío de correos electrónicos que incluía un enlace malicioso a una página donde se procedía a la
descarga maliciosa. Estos correos se hacían pasar por el desarrollador de utilidades de Windows “IObit” y en el mensaje
le indicaban a la víctima que tenían derecho a una licencia gratuita de 1 año, por ser miembros del foro.
2. Detalles:
IObit es un desarrollador de software conocido por la optimización del sistema de Windows y los programas anti-
malware, como Advanced SystemCare. Los miembros del foro de IObit recibieron correos electrónicos que decían ser
de IObit y que indicaban que tenían derecho a una licencia gratuita de 1 año para su software como una ventaja especial
de ser miembros del foro. En el correo electrónico un aviso en el mensaje: "OBTENERLO AHORA" que incluye un enlace
malicioso que redirige a las víctimas a dos páginas donde se distribuye el malware.
• hxxps: //forums.iobit.com/promo.html.
• hxxps: //forums.iobit.com/free-iobit-license-promo.zip.
Para crear la página de promoción falsa y alojar una descarga maliciosa, los atacantes probablemente piratearon el foro
de IObit y obtuvieron acceso a una cuenta administrativa.
La carga maliciosa en formato Zip contiene archivos firmados digitalmente del programa legítimo de Administrador de
licencias IObit, pero con “IObitUnlocker.dll” reemplazado por una versión maliciosa sin firmar. Cuando se ejecuta IObit
License Manager.exe, el IObitUnlocker.dll malicioso se ejecutará para instalar el ransomware DeroHE y ejecutarlo.
Los ejecutables están firmados con el certificado de IOBit y el archivo Zip estaba alojado en su sitio web oficial, los
usuarios instalaron el ransomware pensando que era una promoción legítima, pero según los informes del foro de IObit
y otros foros, se trata de un ataque generalizado dirigido a todos los miembros.
Cuando se inicia por primera vez, el ransomware agregará una ejecución automática de Windows llamada "IObit License
Manager" que lanza el comando "rundll32" C: \ Archivos de programa (x86) \ IObit \ iobit.dll, DllEntry" al iniciar sesión
en Windows. Además, el ransomware agregará exclusiones en Windows Defender para que la DLL maliciosa se ejecute.
El ransomware muestra también un cuadro de alerta que dice ser de IObit License Manager: "Espere. Puede que tarde
un poco más de lo esperado. ¡Mantenga su computadora en funcionamiento o con la pantalla encendida!". El
ransomware muestra esta alerta para evitar que las víctimas apaguen sus dispositivos antes de que finalice el
ransomware. Luego de cifrar los archivos de la víctima, se añadirá la extensión “.DeroHE” a los archivos cifrados. Cada
archivo cifrado también tendrá una cadena de información adjunta al final del archivo. El ransomware puede utilizar
esta información para descifrar los archivos si se paga un rescate.
En el escritorio de Windows, el ransomware DeroHE creará dos archivos llamados FILES_ENCRYPTED.html, que
contienen una lista de todos los archivos cifrados, y la nota de rescate “READ_TO_DECRYPT.html” que exige el pago en
una criptomoneda llamada DERO.
3. Recomendaciones:
Mantener el equipo actualizado y las medidas de protección activadas (antivirus y firewall). También, evitar ejecutar
archivos, links o utilizar dispositivos USB de dudosa procedencia, evitar descargar archivos maliciosos.

hxxps://www.bleepingcomputer.com/news/security/iobit-forums-hacked-in-widespread-
Fuentes de información
derohe-ransomware-attack/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 19-01-2021
SEGURIDAD DIGITAL N° 013 Página: 5 de 7
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Malware FreakOut explota errores críticos para infectar hosts de dispositivos Linux
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción

1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “The Hacker News”,
se informa sobre la detección de un nuevo Malware denominado “FreakOut”, dirigido a usuarios de sistemas operativos
Linux, el cual permite a los actores de la amenaza realizar múltiples actividades maliciosas. FreakOut, tiene como
objetivo final descargar y ejecutar un script de Python llamado "out.py" utilizando Python2.
2. Detalles del Malware FreakOut:
• los actores de la amenaza para ejecutar su campaña maliciosa explotan múltiples vulnerabilidades registradas en
dispositivos de almacenamiento conectados a la red (NAS) que se ejecutan en Linux.
• Las fallas de seguridad son registradas con los códigos, CVE-2020-28188, CVE-2021-3007 y CVE-2020-7961, las
cuales con utilizados por los atacantes para inyectar y ejecutar comandos maliciosos en el servidor.
• El objetivo final del atacante cibernético es descargar y ejecutar un script de Python llamado "out.py" utilizando
Python2.
• Además, los hosts maliciosos pueden ser confiscados como parte de una operación de botnet para cripto-minería,
extendiéndose lateralmente a través de la red y lanzando ataques a objetivos externos mientras se hace pasar por
la empresa víctima.
• Capacidades del Malware FreakOut.
o Utilidad de escaneo de puertos.
o Recolección de huellas digitales del sistema.
o Creando y enviando paquetes.
o Fuerza bruta: uso de credenciales codificadas de forma rígida.
o Manipulación de enchufes.
o Propagar FreakOut a diferentes dispositivos, utilizando la función explotar.
o Ganando persistencia agregándose a sí mismo a la configuración rc.local.
o DDOS e inundaciones: HTTP, DNS, SYN.
o Abrir un shell inverso - shell en el cliente.
o Matar un proceso por nombre o identificación.
o Empaquetar y desempaquetar el código utilizando técnicas de ofuscación para proporcionar nombres aleatorios
a las diferentes funciones y variables.
• Imagen. Flujo de ataque del Malware FreakOut.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 3. Indicadores de compromiso (IoC).
• Archivos analizados:
o Nombre: Python
o Tipo: out.py
o Tamaño: 51.51 KB (52747 bytes)
o MD5: 3638cad5d7e2be07f63b97a751797298
o SHA-1: f0b15e56c1285a336d6762d63481d1db7efad435
o SHA-256: 7c7273d0ac2aaba3116c3021530c1c868dc848b6fdd2aafa1deecac216131779

o URL: hxxp://gxbrowser.net/
o Dominio: gxbrowser.net
o IP: 162[.]255[.]119[.]213
o Talla: 45B
o Sistema operativo: Windows 7 de 64 bits
o Puntuación de amenaza: 50/100

4. Recomendaciones
• Mantener actualizado su software antivirus y antimalware.
• Actualizar constantemente sus dispositivos para evitar que falten parches o correcciones de errores.
• No hacer clic, ni descargar archivos adjuntos de correo electrónico de remitentes desconocidos.
• Usar contraseñas seguras o de doble autenticación.
• Verificar que la conexión a internet sea segura y encriptada.

Fuentes de información hxxps://thehackernews.com/2021/01/freakout-ongoing-botnet-attack.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe
 Página: 7 de 7

Índice alfabético

botnet ............................................................................................................................................................................ 5, 6
Código malicioso ........................................................................................................................................................ 3, 4, 5
Correo electrónico ......................................................................................................................................................... 3, 4
Correo electrónico, redes sociales, entre otros ................................................................................................................ 4
Fuerza bruta....................................................................................................................................................................... 5
hxxp ................................................................................................................................................................................... 6
internet .......................................................................................................................................................................... 3, 6
malware ............................................................................................................................................................................. 4
Malware ............................................................................................................................................................................. 5
phishing ............................................................................................................................................................................. 4
ransomware ................................................................................................................................................................... 3, 4
Ransomware .................................................................................................................................................................. 3, 4
redes sociales..................................................................................................................................................................... 1
servidor .............................................................................................................................................................................. 5
software ..................................................................................................................................................................... 3, 4, 6
URL ................................................................................................................................................................................. 3, 6
USB, disco, red, correo, navegación de internet ............................................................................................................... 5

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional www.gob.pe

pecert@pcm.gob.pe